Posted on

CSIRT-CV elabora una guia per a conscienciar a les famílies sobre l’aplicació de mesures de protecció dels menors en els jocs en línia

La Generalitat, a través del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), ha publicado una nueva guía para concienciar a las familias sobre la necesidad de implantar el control parental en los juegos online para proteger a los menores.

CSIRT-CV es un centro especializado en ciberseguridad, adscrito a la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), que ofrece sus servicios a la Administración Pública y a los profesionales y entidades privadas, así como a la ciudadanía.

En este sentido, CSIRT-CV desarrolla una intensa actividad de formación y concienciación que incluye la publicación de guías y recomendaciones, en sus perfiles de redes sociales y en su portal especializado, que ayudan a promover una cultura de la seguridad entre la sociedad y a fomentar las buenas prácticas en el uso de las tecnologías.

El director general de TIC, Javier Balfagón, ha explicado que “la guía se dirige a todas aquellas familias que deseen proteger y guiar a los menores a su cargo cuando estos hagan uso de juegos online como Roblox, Fortnite o Stumble Guys, así como de otros entornos digitales, que no son solo espacios de ocio sino lugares de socialización, donde se relacionan con otras personas igual que si estuvieran en el mundo real”.

“Estos entornos digitales -asegura- requieren de la misma atención y acompañamiento que los reales y conllevan riesgos asociados, desconocidos por los más pequeños. Por esta razón, es imprescindible que las familias conozcan y aprendan a utilizar las herramientas de apoyo que tienen a su alcance, como puede ser el control parental”.

Según Balfagón, “utilizar el control parental no es sinónimo de desconfianza hacia los menores y tampoco implica espiar ni castigar, sino protegerlos mediante un acompañamiento activo. Sin embargo, sí puede llegar a convertirse en una barrera cuando los adultos desconocen cómo implantarlo adecuadamente. Por ello, la guía explica cómo configurar la herramienta, no solo en los juegos sino en los propios chats que contienen”.

Supervisión responsable

Los expertos de CSIRT-CV explican que el control parental persigue proteger a los menores y guiarlos para que aprendan a moverse con seguridad en un entorno digital complejo que comparten con personas de todas las edades y con intenciones muy diferentes, lo que puede implicar riesgos como el ‘grooming’, las estafas, el acoso o el lenguaje tóxico.

Por ello, la guía ayuda a las familias a implantar la herramienta en los chats de juegos, con el objetivo de poner límites adecuados a la edad de cada menor y permitir una supervisión responsable por parte de los adultos. Además, la aplicación de medidas de protección permite a las familias detectar problemas a tiempo y actuar antes de que una situación se agrave.

Por otro lado, la guía se complementa con recomendaciones relativas a los controles adicionales que se deben realizar en los dispositivos, ya que, aunque se bloqueen los chats de los juegos, las consolas, tabletas u ordenadores, pueden contar con su propio chat independiente que, también, se debe proteger.

Por último, el documento incluye un listado de imprescindibles para poder imprimirlo a modo de recordatorio de reglas de seguridad digital en juegos y chats online, así como una batería de consejos clave para los menores de 13 años, como no compartir el nombre real ni otros datos personales, jugar solo con personas que conozcan en la vida real, compartir con los tutores cualquier situación anómala o incómoda vivida en el entorno digital, etc.

Posted on

Vulnerabilidad en Windows Admin Center

 
Microsoft ha publicat un avís de seguretat relatiu a la vulnerabilitat CVE-2026-26119, que afecta Windows Admin Center (WAC), una ferramenta web d’administració de sistemes àmpliament utilitzada en entorns Windows per a gestionar clients, servidors, clústers, Hyper-V i servicis d’Active Directory. La vulnerabilitat permet l’escalada de privilegis des de credencials amb permisos baixos, potencialment fins al nivell de l’usuari que executa l’aplicació.
 
Anàlisi
    • Identificador: CVE-2026-26119.
    • Tipus de fallada: autenticació incorrecta (CWE-287), que permet escalar privilegis sobre la xarxa sense interacció addicional de l’usuari.
    • Puntuació de risc: CVSS 3.x base ≈ 8.8 (Alta / Crítica).
    • Impacte: si s’explota amb èxit, un atacant podria elevar els seus privilegis al nivell de l’usuari que executa Windows Admin Center, la qual cosa en alguns entorns administratius pot conduir fins a un compromís total del domini.

Nota tècnica addicional: en l’anàlisi de tercers es detalla que la fallada s’origina en validacions insuficients d’autenticació dins de les API i components de WAC, la qual cosa facilita l’escalada des de comptes de baix privilegi.

Recursos afectats
    • Producte afectat: Windows Admin Center (abans de la versió 2511 / 2.6.4).
    • Versions vulnerables: totes les instal·lacions de WAC anteriors a l’actualització apedaçada (incloses versions 2.x i 2511 quan no estiguen actualitzades).
Recomendacions
    • Aplicar el pedaç o l’actualització oficial de Windows Admin Center a la versió 2511 (o superior) distribuïda per Microsoft o bé 2.6.4 d’ara en avant segons referència de diversos trackers tècnics.
Referencias
    • https://www.helpnetsecurity.com/2026/02/19/windows-admin-center-cve-2026-26119/
    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119
    • https://thehackernews.com/2026/02/microsoft-patches-cve-2026-26119.html

Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).

Posted on

Múltiples vulnerabilidades en Moodle

 
El centre espanyol de resposta a incidents de ciberseguretat INCIBE-CERT ha publicat un avís d’importància crítica per la detecció de diverses vulnerabilitats en Moodle, el sistema de gestió d’aprenentatge de codi obert àmpliament utilitzat en institucions educatives i entorns corporatius. L’explotació d’estes fallades podria permetre des de l’execució remota de codi fins a la denegació del servici i altres efectes adversos sobre la integritat i disponibilitat dels servicis.
 
Anàlisi
L’avís alerta sobre quatre vulnerabilitats classificades de severitat crítica en les versions actives del nucli de Moodle. Estes fallades les han reportat investigadors externs i, de ser explotades, podrien comprometre funcionalitats internes crítiques del gestor de continguts:
 
    • Execució remota de codi en restaurar arxius, la qual cosa podria permetre a un atacant executar instruccions arbitràries amb el context del servidor Moodle.
    • Riscos derivats de components d’infraestructura base, com ara mòduls de procés (per exemple, Symfony), que podrien derivar en execució d’ordes no desitjades.
Estes vulnerabilitats afecten les versions principals del producte (4.x i 5.x) prèvies a les actualitzacions de seguretat que ja ha llançat l’equip de desenrotllament de Moodle.
 
 
Recursos afectats
    • Instàncies de Moodle LMS anteriors a les versions 5.1.2, 5.0.5 i 4.5.9, configurades per a permetre la restauració d’arxius o amb filtres avançats de contingut habilitats.
    • Components interns de processament de contingut, inclosos el mòdul de processament Symfony i els filtres TeX integrats en el sistema.
    • Entorns educatius i corporatius que depenen d’estes versions per a gestionar cursos, avaluacions i servicis web d’autenticació.
Recomendacions
    • Per a mitigar els riscos associats a estes vulnerabilitats, es recomana:
Referències
    • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-11

Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).

Posted on

Publicación de parche de seguridad – Notepad++ (v8.9.2)

 
L’editor de text i codi Notepad++ ha publicat una actualització de seguretat per a corregir fallades en el seu mecanisme d’actualització que va aprofitar un actor d’amenaces avançat (vinculat amb grups de ciberespionatge de la Xina) per a segrestar actualitzacions legítimes i distribuir programari maliciós dirigit a usuaris específics. Este incident forma part d’un compromís de la cadena de subministrament que va afectar les versions anteriors del programari i va possibilitar el lliurament d’una porta del darrere (backdoor) anomenada Chrysalis.
 
Anàlisi
La vulnerabilitat es trobava en el procés d’actualització automàtica de Notepad++, on la falta de mecanismes robustos de verificació permetia que les actualitzacions foren interceptades i redirigides cap a servidors controlats per atacants. Això va permetre que se serviren instal·ladors maliciosos en lloc de versions legítimes.
 
La sofisticació de l’atac indica un compromís de la infraestructura en l’àmbit del proveïdor d’allotjament, no l’explotació directa d’una fallada en el codi font de Notepad++. Entre juny i desembre de 2025, els actors van aconseguir redirigir part del trànsit d’actualització per a determinats usuaris i entregar una porta del darrere sense documentar anomenada Chrysalis, capaç de l’execució remota de codi i altres capacitats malicioses.
 
Recursos afectats
    • Notepad++: versions anteriors a la 8.8.9 amb actualitzador WinGUp si no s’apliquen verificacions robustes.
    • Les versions sense el mecanisme de verificació de firma complet (abans de 8.9.2) estan potencialment en risc d’haver sigut blanc d’actualitzacions malicioses durant el període de compromís.
Recomendacions
    • Actualitzar immediatament totes les instal·lacions de Notepad++ a la versió 8.9.2 o superior.
Referencias
    • https://thehackernews.com/2026/02/notepad-fixes-hijacked-update-mechanism.html

Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).