Publicado el

Boletín 15/02/2020 – 28/02/2020

Comenzamos el repaso a la quincena hablando de las novedades internas de CSIRT-CV:

El pasado 18 de febrero, CSIRT-CV publicó su informe anual de actividad, donde se repasan los principales acontecimientos e hitos conseguidos por el centro durante 2019. Recomendamos su lectura a todos los visitantes dedicados a la ciberseguridad, de donde seguro que podrán sacar ideas para sus proyectos, además de a aquellos interesados en la materia para conocer más de cerca todas las iniciativas y eventos gestionados.

Por otro lado, el pasado 14 de febrero, INCIBE y CSIRT-CV cerraron un convenio para aumentar la colaboración entre ambas entidades en materia de ciberseguridad. Principalmente se potenciará el intercambio de información que ayude a mejorar la seguridad de los ámbitos de actuación de ambos centros, como pueden ser cursos de formación, seminarios y documentación para formar a la ciudadanía.

También nos complace anunciar la reciente publicación del nuevo curso de uso de la herramienta Wireshark, ampliamente utilizada para el análisis de comunicaciones de red. Este curso está disponible online y gratuitamente a través de la plataforma de formación de la Generalitat, SAPS.

Revisando lo sucedido más allá de nuestras fronteras, ha sido una quincena salpicada por escándalos de espionaje gubernamental, ataques a infraestructuras críticas, y nuevas formas de ciberterrorismo y ciberextorsión:

    • La agencia CISA, encargada de seguridad de las infraestructuras críticas estadounidenses, publicaba una nota alertando a sus operadores de la posibilidad de recibir ataques ransomware tras detectarse un incidente de este tipo en un gaseoducto.
    • Gracias al navegador Brave, se ha descubierto una campaña de vigilancia masiva contra ciudadanos británicos por parte de más de 400 ayuntamientos.
    • Un nuevo grupo de atacantes, DRBControl, ha sido descubierto y relacionado con el ciberespionaje de casas de juego y apuestas. Los ataques se habrían producido en Europa, Oriente Medio y Asia utilizando toda una serie de «backdoors» y «exploits».
    • Poseedores de páginas web han recibido chantajes exigiendo el pago de cierta cantidad de Bitcoins a cambio de que sus cuentas de AdSense no sean boicoteadas simulando clics maliciosos. 

Por último, en ámbito técnico, han sido especialmente destacables las vulnerabilidades en Microsoft Exchange y Apache Tomcat que pueden consultarse en las correspondientes alertas emitidas.

Publicado el

Boletín 01/02/2020 – 14/02/2020

A continuación, os recordamos las noticias y alertas sobre ciberseguridad más destacadas de la última quincena.

Dado que uno de los temas de moda es el coronavirus, los atacantes no iban a perder la oportunidad para enviar correos electrónicos sobre falsas alertas provenientes de la agencia estadounidense de Centros para el Control y la prevención de Enfermedades (CDC). Este tipo de correos falsos incluyen un documento o enlace malicioso, con el objetivo de infectar nuestro sistema.

Por otra parte, también nos hicimos eco de la infección sufrida en una empresa de logística a través de un ataque ransomware dirigido. Según un estudio, más de mil compañías se infectaron de esta forma durante el segundo semestre del año pasado, en Estados Unidos.

Destacamos también la iniciativa presentada por CSIRT-CV, sobre su Plan de Capacitación en Ciberseguridad para Empresas de la Comunidad Valenciana. El objetivo principal es mejorar la seguridad de la información y de los sistemas informáticos en el sector empresarial. Accede a los nuevos contenidos publicados a través de este enlace.

Y como última noticia destacada, os recordamos que el pasado día 11 de febrero se celebró el Día de Internet Segura. Este día tiene una particularidad; se celebra el segundo martes del segundo mes del año. En esta ocasión CSIRT-CV ha publicado un “PDF interactivo” donde se representan cada uno de los servicios y contenidos disponibles en nuestro portal de concienciación, concienciaT.

Respecto a las alertas más importantes de esta quincena, destacan las siguientes:

Vulnerabilidad de nivel crítico en la gestión de credenciales de acceso remoto, de Teamviewer. Con este error se podían obtener las credenciales almacenadas. 

Por su parte, se ha corregido una vulnerabilidad, también de nivel crítico, en WhatsApp escritorio. El atacante podría aprovecharse y acceder a los archivos de la víctima.

Os recordamos también que Microsoft ha publicado, como viene siendo habitual, su boletín de seguridad. En esta ocasión, se han corregido hasta 101 vulnerabilidades, algunas de ellas de categoría muy importante.

Y por último, mucho cuidado con los mensajes de amor falsos. Desde CSIRT-CV os deseamos un feliz San Valentín.

Publicado el

Boletín 18/01/2020 – 31/01/2020

Como es habitual repasamos a continuación las noticias más interesantes relacionadas con ciberseguridad ocurridas en la última quincena.

Como primera noticia destacada de esta quincena nos hacíamos eco de la filtración de una lista con más de 500.000 credenciales de dispositivos IoT. Entre la información filtrada, se encontraba la IP del dispositivo, el nombre usuario y la contraseña para el servicio telnet. Cabe destacar que si bien estas listas suelen ser de carácter privado no es la primera vez que se filtra alguna de ellas como ya ocurrió en el verano de 2017.

Y relacionado también con la filtración de datos, publicamos una noticia relacionada con Microsoft. En esta ocasión fueron expuestos 250 millones de registros, muchos datos personales ya han sido eliminados de los registros, pero queda otra información muy relevante almacenada en texto plano.

Otra noticia destacable durante esta quincena, ha sido el ataque a routers con el firmware Tomato, al parecer una variante de la botnet Muhstik está atacando estos routers utilizando ataques de fuerza bruta para obtener acceso.

Adentrándonos en el mundo de venta de datos ilegal, os informábamos que CardPlanet, es uno de los sitios web ilegal donde se podía comprar y vender números de tarjetas bancarias robadas. En total, se han detectado más de 20 millones de dólares en compras fraudulentas. La mayoría de las tarjetas fueron obtenidas a través de phishing, malware bancario, bases de datos filtradas, contraseñas robadas, software malicioso, etc.

Por último, esta semana también os informábamos acerca de que habían sido hackeadas las cuentas de 15 equipos de la NFL. Varios equipos de la NFL americana sufrieron  el secuestro de sus cuentas oficiales de Twitter justo en las semanas previas a la gran competición SuperBowl 2020.  Según parece el ataque fue perpetrado desde la plataforma de un tercero que tenía acceso a las cuentas de dichos equipos. 

En lo que respecta a nuestras alertas de seguridad destacamos el aviso sobre vulnerabilidad 0 day en Internet Explorer, os informábamos que actualmente, esta vulnerabilidad está siendo explotada. El atacante podría obtener los mismos privilegios que el usuario actual, teniendo de esta manera el control del sistema.

Otra actualización destacable que se ha publicado durante esta quincena ha sido la publicada para Moodle. La actualización de seguridad solucionaba una vulnerabilidad de criticidad alta.

Por su parte Magento ha publicado la versión 2.3.4  de su conocida plataforma de ventas online, la cual solventa 4 vulnerabilidades, dos de ellas críticas, las cuales permitían, entre otros, ejecución de código arbitrario.

Publicado el

Boletín 21/12/2019 – 17/01/2020

Primer boletín de seguridad del 2020, donde seguimos resumiendo las noticias y alertas más importantes de la última quincena.

Destacamos la noticia referente a la filtración de los datos personales de millones de usuarios de Facebook, debido a que la base de datos donde se guardaba la información estaba alojada en un servidor de Elasticsearch, y no tenía contraseña de acceso. Recomendamos activar el doble factor de autenticación en todos los servicios que lo tengan disponible, y Facebook es uno de ellos.

Respecto a las aplicaciones para dispositivos Android, se han descubierto aplicaciones maliciosas, disponibles en la tienda de Google Play, las cuales aprovechaban una vulnerabilidad de Android para efectuar la descarga de archivos en el dispositivo infectado, y sin que la intervención del usuario fuera necesaria. Para corregir esta vulnerabilidad de Andriod que permitiría controlar el dispositivo de manera remota, debemos mantener siempre el sistema actualizado a la última versión que nos ofrezca el fabricante del dispositivo. Puedes consultar las aplicaciones que ocultaban el código malicioso desde nuestra noticia.

Y no solo el sistema debe mantenerse actualizado, también debemos actualizar las aplicaciones que tenemos instaladas en los diferentes dispositivos, ya que constantemente están encontrándose vulnerabilidades en muchas de ellas, y esto pondría en riesgo la seguridad de la información que almacenamos en nuestros dispositivos. Por ejemplo, os alertábamos de la necesidad de actualizar TikTok a la última versión, ya que las vulnerabilidades encontradas en dicha aplicación permitían secuestrar la cuenta de sus usuarios. Esta ha sido una de las aplicaciones más descargadas en 2019, sobretodo por los adolescentes.

Iniciamos el año celebrando el décimo aniversario de la aprobación del Esquema Nacional de Seguridad (ENS), habiéndose convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. De momento se han publicado 61 Guías CCN-STIC (Serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad (ITS).

Para los usuarios de sistemas Windows, recordamos que el 14 de enero de 2020 finalizó el soporte técnico a Windows 7, Windows Server 2008 y 2008 R2. Se hace necesario ya una actualización de esos sistemas por sus versiones más recientes, que sigan aportando mejoras en la seguridad de nuestra información.

En lo que respecta a nuestras alertas de seguridad,  cabe mencionar la explotación de la vulnerabilidad en Citrix, vulnerabilidad que ya reportamos en su momento cuando se descubrió, y que por tanto se hace necesario seguir las indicaciones del fabricante para reducir el impacto en caso de sufrir un ataque.

Además, se han publicado durante esta quincena diferentes boletines de seguridad, que permiten corregir las vulnerabilidades encontradas. Destacamos los boletines de seguridad de Mozilla, y el boletín de seguridad de Android, entre otros.

Y por último, finalizamos este boletín quincenal informando de que ya está abierta la primera edición de los cursos de seguridad de CSIRT-CV 2020, y animamos a todos nuestros lectores a que realicen los cursos y microcursos que ofrecemos de manera gratuita a través de la plataforma de formación SAPS.