Category: Butlletins

Este mes d’abril, vos portem un nou butlletí amb consells sobre com protegir-nos dels possibles atacs i ciberfraus durant la campanya de la declaració de la renda.  A més, destaquem la participació de CSIRT-CV en el congrés AW2024, en el qual la nostra companya Marina Galiano va destacar la importància de protegir les smart cities.

 Augment de les campanyes d’enginyeria social durant la declaració de la renda

Com cada any, entre abril i juny, els contribuents espanyols han de presentar la seua declaració de la renda davant de l’Agència Tributària. Este període és un dels moments preferits pels ciberdelinqüents per a augmentar la seua activitat delictiva mitjançant amenaces i fraus en línia en què es poden veure involucrats els ciutadans.

Per això, des de CSIRT-CV, hem posat en marxa la campanya de conscienciació titulada “#CIBERESCUDORENTA2023: protegix-te de l’enginyeria social!”. L’objectiu és que la societat puga extremar la precaució i estar alerta davant de l’arribada de possibles missatges fraudulents que ens poden arribar per diferents vies.

A continuació, vos destaquem alguns exemples de les comunicacions més habituals utilitzades pels ciberatacants per a robar informació personal i dades confidencials a les seues víctimes:

• • • • Smishing – Missatge de text fraudulent suplantant la identitat de l’Agència Tributària, informant de la devolució de la renda de 2023 a favor teu.
      • Phishing – Correu electrònic fraudulent en el qual se sol·licita el mètode pel qual desitges que se t’abone la devolució de la renda de 2023.
      • Vishing – Telefonades fraudulentes fent-se passar per l’Agència Tributària per a recaptar informació personal o financera.

Recorda que l’Agència Tributària:

• • • • No sol·licita per correu electrònic o SMS informació confidencial, econòmica o personal, números de compte ni números de targeta, ni adjunta annexos amb informació de factures o altra classe de dades.
      • Mai realitza devolucions a targetes de crèdit o dèbit, ni mitjançant Bizum.
      • Mai cobra cap import pels servicis que presta.
      • Si heu sol·licitat una cita prèvia, l’Agència Tributària pot posar-se en contacte amb tu telefònicament. En el cas de la campanya de la renda, el telèfon des del qual et poden telefonar és el 810 520 052 (o des del 91 727 62 22 si has facilitat un número de telèfon estranger).

Per a més informació sobre les amenaces que podem patir en este nou període de renda, i, sobretot, com protegir-nos d’estes, pots consultar l’enllaç següent.

A més, pots veure la notícia emesa per À punt sobre la nostra campanya de conscienciació (minut 19), amb declaracions de la consellera d’Hisenda, Economia i Administració Pública, Ruth Merino; el director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte, i de la subdirectora general de Ciberseguretat, Carmen Serrano, a més de llegir la nota de premsa de la Generalitat Valenciana.

 Participació de CSIRT-CV en AW2024

El passat 24 d’abril es va celebrar la conferència anual de la Xarxa Europea contra les Amenaces Híbrides, organitzada per EU-HYBNET, en la Central de la Policia Local de València, que va comptar amb una assistència de més d’un centenar d’inscrits procedents de 17 països, l’objectiu de la qual era analitzar, debatre i exposar aspectes relacionats amb el paradigma actual en l’àmbit de la ciberseguretat.

Enguany, des de CSIRT-CV, hem tingut el plaer de poder participar en este esdeveniment i exposar el nostre projecte de smart city. Concretament, la nostra companya Marina Galiano va centrar la seua intervenció en la importància de protegir les smart cities de la possibilitat de patir amenaces híbrides. En este sentit, va relatar les conseqüències que podria patir un carregador elèctric en rebre atacs de ciberdelinqüents o els inconvenients d’atacar les càmeres de vigilància del trànsit de la ciutat de València.

Juntament amb CSIRT-CV, hi han participat altres empreses i organismes tant de caràcter nacional com internacional, com:

• • • • EU-HYBNET
      • Policia Local de València
      • European External Action Service (EEAS)
      • Parlament Europeu
      • Universitat de Geòrgia
      • CSIC – Consell Superior d’Investigacions Científiques
      • Ministeri de l’Interior de França
      • Ministeri d’Ecologia de França
      • Fundació Hel·lènica per a la Política Europea i Exterior (Grècia)

Dia del Xiquet

El 26 d’abril se celebra a Espanya el Dia del Xiquet per a recordar la data emblemàtica en la qual els xiquets van eixir novament al carrer, després de 42 dies de confinament per la COVID-19. Des de 2020, al nostre país es du a terme esta efemèride el fi de la qual és valorar el pes de la família i passar més temps “de qualitat” amb els xiquets mitjançant activitats lúdiques, visitar museus, escoltar música, fer esport, jugar a jocs de taula… Totes aquelles accions que facen feliços els fills.

Davant d’este escenari, i sent coneixedors que un dels passatemps dels xiquets són els dispositius electrònics, des de CSIRTCV hem elaborat una infografia amb consells de ciberseguretat dirigits a este col·lectiu, perquè aprenguen a protegir-se des d’edats primerenques dels riscos digitals que poden trobar-se en el seu dia a dia.

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

• • • • Pegats de seguretat de productes Microsoft (abril 2024): Microsoft ha publicat actualitzacions de seguretat per al mes d’abril de 2024 per a corregir 149 vulnerabilitats, dos de les quals han sigut explotades activament en la naturalesa.

Dels 149 defectes, tres estan classificats com a crítics, 142 com a importants, tres com a moderats i un com de gravetat baixa.

• • • • Vulnerabilitat crítica en el plug-in de WordPress LayerSlider: el passat dia 25 de març es va publicar una vulnerabilitat crítica d’injecció SQL en el plug-in LayerSlider que pot ser explotada per a extraure informació sensible de les bases de dades d’un lloc web. Este plug-in de sliders per a WordPress, amb més d’un milió d’instal·lacions actives, oferix als usuaris funcions d’edició visual de continguts web, efectes visuals digitals i disseny gràfic en una única solució.
      • Actualització de pegats crítics d’Oracle – abril 2024: Oracle ha publicat un avís que conté 441 pegats nous de seguretat per a diferents famílies de productes. En este avís cobrirem les vulnerabilitats crítiques dels productes Oracle.

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure, entre tots, una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar els nostres webs, on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/, així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@csirtcv).

Com cada mes, tornem amb un nou butlletí, el de març, en el qual parlem sobre el Dia Mundial de la Còpia de Seguretat, comentem les recomanacions de seguretat per a estos dies festius i com aprofiten els atacants estes dates per a incrementar la seua activitat. Finalment, algunes de les principals amenaces sorgides durant este mes.

Dia Mundial de la Còpia de Seguretat o Backup day

El passat 31 de març, es va celebrar el Dia Mundial de la Còpia de Seguretat amb l’objectiu de conscienciar la població sobre la importància i la necessitat de realitzar periòdicament còpies de seguretat dels nostres sistemes i arxius.

Des de CSIRT-CV et contem en la nostra publicació, disponible en el portal de concienciaT, cada quant és necessari realitzar còpies de seguretat i on poder emmagatzemar-les.

Finalment, posem a la vostra disposició un document elaborat per INCIBE sobre l’adequada gestió de còpies de seguretat ací.

Deu recomanacions de ciberseguretat per a Setmana Santa i Pasqua

Amb motiu de la Setmana Santa i Pasqua, des de CSIRT-CV hem rellançat una campanya de conscienciació amb una sèrie de recomanacions de seguretat per a evitar incidents de ciberseguretat i gaudir dels dies de desconnexió.

Les recomanacions s’organitzen segons els temes següents:

• • • Connexió a xarxes wifi. Evita les connexions a xarxes wifi públiques sense contrasenyes.
    • Gestió de contrasenyes. Crea contrasenyes segures i protegix-les adequadament.
    • Gestió de dispositius mòbils. Mantín els teus dispositius actualitzats i protegits.
    • Correu electrònic. Verifica els correus i assegura’t que són legítims.
    • Xarxes socials. Ves amb compte amb la informació que publiques.
    • Jocs en línia. Llig detingudament les condicions d’ús i no et fies de possibles missatges publicitaris que requerisquen dades personals.
    • Educació. Ensenya els teus menors a navegar de manera segura.
    • Lloguers vacacions. Para atenció a les ofertes per a detectar possibles fraus.
    • Antivirus i altres ferramentes de seguretat. Aprofita les ferramentes de seguretat per a mantindre els teus dispositius més protegits.
    • Còpies de seguretat. Assegura la disponibilitat de les teues dades realitzant còpies.

Si vols conéixer amb més detall estos consells, hem elaborat una guia perquè pugueu gaudir de les vacacions de manera segura.

A més, pots llegir ací la nota de premsa de la Conselleria d’Hisenda, Economia i Administració Pública sobre el llançament d’esta campanya amb declaracions del director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte.

Guia per a identificar un phishing

A través de les nostres xarxes socials, publiquem periòdicament els nostres consells de seguretat.

D’entre les publicacions d’este mes, destaquem la guia per a identificar un phishing, tècnica de ciberatac d’enginyeria social que s’incrementa en períodes de vacacions.

Per això, posem a la teua disposició la guia per a identificar un phishing, accessible en el nostre portal de concienciaT, en el qual et contem què és un phishing i com poder fer-li front.

Alertes de seguretat

• • • Una vulnerabilitat irreparable en el xip d’Apple filtra claus de xifratge secretes:  una vulnerabilitat recentment descoberta incorporada en la sèrie M de xips d’Apple permet als atacants extraure claus secretes dels Mac. No existixen recomanacions atés que no existix un pedaç per a la vulnerabilitat en tractar-se d’una vulnerabilitat en la microarquitectura.
    • Vulnerabilitat en PaperCut: esta vulnerabilitat podria permetre potencialment una escalada de privilegis en els servidors PaperCut NG/MF. Es recomana actualitzar una de les versions PaperCut NG/MF 23.0.7 o posterior, 22.1.5, 21.2.14, 20.1.10.
    • Múltiples vulnerabilitats en rúter Movistar 4G: INCIBE ha coordinat la publicació de 3 vulnerabilitats: dos de severitat alta i una de severitat mitjana, que afecten el rúter Movistar 4G, dispositiu maquinari que permet la connexió a Internet. Vulnerabilitats solucionades en les versions a partir de ES_WLD71-T1_v2.0.214140, llançada al febrer de 2022.

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).

Un mes més tornem amb un nou butlletí en el qual us portem una infografia sobre com compartir dades de manera segura, consells de seguretat per a les connexions a xarxes públiques, els perills de connectar un dispositiu a un USB públic i les principals novetats respecte als cursos tant per a ciutadans com per a empreses. Finalment, com sempre, algunes de les principals amenaces sorgides durant este mes.

Dia d’Internet segura

El passat 6 de febrer es va celebrar el Dia d’Internet Segura a tot el món i des de CSIRT-CV us recordem, a través del nostre portal de concienciaT i de les nostres xarxes socials, com el nostre equip pot ajudar-te a mantindre’t protegit en el teu dia a dia. Pots consultar esta informació en el següent enllaç.

Com compartir arxius de manera segura

Aplicacions com Dropbox, WeTransfer, iCloud o Google Drive, s’utilitzen per a emmagatzemar i compartir arxius o carpetes de manera senzilla, però el seu ús comporta determinats riscos que has de conéixer.

Si estes plataformes tingueren un problema tècnic o de seguretat i haguérem emmagatzemat informació, esta es podria veure compromesa, ja que els arxius ixen dels sistemes organitzatius i es perd el control sobre estos.

Accedix a la següent infografia i descobrix els consells de ciberseguretat per a enviar arxius amb tota seguretat.

Consells de seguretat en xarxes i USB públics

Alguna vegada has pensat quins són els riscos de seguretat quan connectes els teus dispositius a xarxes o ports USB públics?

A través de les nostres xarxes socials, Facebook i X (antic Twitter), t’ajudem a mantindre’t actualitzat i a conéixer com afrontar estes situacions.

Cursos per a empreses

CSIRT-CV posa a la disposició de les empreses sis cursos amb format actualitzat i interactiu en la plataforma eFormació.

Si estaves realitzant algun d’estos cursos o tenies pensat fer-ho, recorda que a partir de l’1 de març de 2024 només estaran disponibles en la plataforma eFormació.

Des de CSIRT-CV ens agradaria incidir en el fet que és fonamental augmentar el nivell de maduresa en ciberseguretat en les empreses, per la qual cosa si estàs interessat a realitzar algun d’estos cursos, accedix a esta notícia i coneix més sobre estos cursos.

Matrícules rècord en les plataformes de formació de la Generalitat

La demanda de matriculacions en la plataforma en línia de cursos de formació de la Generalitat ha experimentat un creixement del 5 % respecte a l’exercici de 2022.

En concret, les matriculacions anuals han passat de les 266.689 registrades en 2022 a les 278.357 de 2023.

Entre les formacions més demandades, destaquem els nostres cursos de SAPS gratuïts, tant a ciutadans com a empreses.

Llig la notícia completa a través del següent enllaç.

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

• • • ESET ha abordat una vulnerabilitat d’alta gravetat: la vulnerabilitat és un problema d’escalada de privilegis local. Segons l’avís, un atacant pot fer un mal ús de les operacions d’arxius d’ESET. La companyia ha llançat pedaços per a abordar els problemes en diverses plataformes.
    • Noves vulnerabilitats de Wi-Fi exposen els dispositius Android i Linux als pirates informàtics: investigadors de ciberseguretat han identificat dos fallades d’omissió d’autenticació en el programari Wi-Fi de codi obert que es troben en dispositius Android, Linux i ChromeOS que podrien enganyar els usuaris perquè s’unisquen a un clon maliciós d’una xarxa legítima o permetre que un atacant s’unisca a una xarxa de confiança sense una contrasenya. Les principals distribucions Linux han publicat avisos per a les dos vulnerabilitats.
    • Múltiples vulnerabilitats que afecten productes Zyxel: les vulnerabilitats detectades podrien permetre a un atacant de la xarxa local (LAN) causar problemes de denegació de servici (DoS), executar ordes del sistema operatiu en el dispositiu afectat a través d’FTP després de realitzar l’autenticació, causar condicions de denegació de servici (DoS) quan la funció “Deviced Insight” estiga habilitada o realitzar una execució remota de codi no autoritzat. Es recomana als usuaris que instal·len els pedaços per a una protecció òptima.

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@csirtcv).

En començar un nou any, moltes persones es plantegen nous propòsits o metes per a millorar diferents aspectes de les seues vides. Estos propòsits solen estar relacionats amb la salut, el treball o el desenvolupament personal. Des de CSIRT-CV, arranquem 2024 amb una nova edició de la nostra oferta formativa perquè et convertisques en un ‘Human Firewall’. Et sumes al repte?. Et convidem a llegir el nostre primer butlletí de l’any per a estar informat de les notícies més destacades esdevingudes en CSIRT-CV i en l’àrea de la ciberseguretat.  

CSIRT-CV posa en marxa la nova edició de cursos en línia de seguretat per a ciutadans i ciutadanes

CSIRT-CV ha posat en marxa la nova edició dels 19 cursos en línia de seguretat per a este 2024, enfocats, principalment, als ciutadans i ciutadanes. El termini de matrícula està obert des de l’1 de gener fins al 31 de desembre.

Els cursos s’impartixen a través de la plataforma SAPS, són gratuïts, de curta duració i aplicació pràctica, tant a nivell personal com professional.

Per a poder començar a fer els cursos cal ser usuari/ària de SAPS. Per a això, és necessari registrar-se en la plataforma i inscriure’s en els cursos desitjats. Accés a SAPS.

Coneix detalladament  els nostres cursos en el nostre portal de ConcienciaT.

Dia Internacional de l’Educació

Dimecres passat, 24 de gener, ens vam sumar a la celebració del Dia Internacional de l’Educació. Com sabeu, des de CSIRT-CV estem compromesos amb la formació i conscienciació en matèria de ciberseguretat, per això, a més d’oferir cursos en línia gratuïts en matèria de seguretat, impartim sessions i tallers a menors, familiars i docents en els centres educatius de Secundària de la Comunitat Valenciana amb l’objectiu d’implantar una cultura de ciberseguretat i bones pràctiques digitals en tota la població.

La Generalitat Valenciana rep el guardó a millor projecte d’innovació tecnològica

El Pla de ciberseguretat dirigit a les 584 entitats locals de la Comunitat Valenciana, l’objectiu del qual és dotar a estos ens d’eines i solucions capdavanteres que els ajuden a lluitar contra els ciberatacs, ha rebut un nou reconeixement, per la qual cosa la Generalitat Valenciana ha sigut guardonada amb el premi CIO 100 Awards 2023 al millor projecte de l’any d’innovació tecnològica en ciberseguretat.

Este premi és un reconeixement a l’esforç de la institució, i en particular, de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), a través del Centre de Ciberseguretat de la Comunitat Valenciana (CSIRTCV), organisme encarregat de l’execució del pla. Pots llegir la notícia completa ací.

Dia Europeu de la Protecció de Dades

El 28 de gener se celebra el Dia Europeu de la Protecció de Dades i per a esta ocasió vos recordem una sèrie de consells sobre ciberseguretat per a protegir les teues dades tots els dies. Descarrega la nostra infografia per a conéixer-los íntegrament.

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este  mes:

• • • Pedaç per a Zero-Day crític en iPhones i Macs: Apple ha publicat noves actualitzacions de seguretat per a iOS, iPadOS, macOS, tvOS i el navegador web Safari per a abordar una fallada de Zero-Day, que ha sigut objecte d’explotació activa. Es tracta de la primera vulnerabilitat de Zero-Day activament explotada que Apple posa pedaços enguany. L’any passat, el fabricant de l’iPhone havia abordat 20 vulnerabilitats que s’han emprat en atacs del món real. El proveïdor ha llançat una sèrie d’actualitzacions per a corregir esta fallada.

• • • Vulnerabilitat en Apache Superset: s’ha detectat una vulnerabilitat crítica en versions d’Apache Superset prèvies a la 3.0.3. D’esta manera, un atacant podria emmagatzemar un script o afegir un fragment HTML específic que actuaria com a XSS emmagatzemat. Les recomanacions consistixen en l’actualització a versions 3.0.3 o bé canviar la configuració incloent el codi descrit en la notícia.

• • • Vulnerabilitat en Apache OpenOffice: s’ha detectat una vulnerabilitat d’alta severitat en Apache OpenOffice. Esta vulnerabilitat permet l’execució de codi no desitjada. El fabricant recomana que s’actualitzen les versions a la 4.1.15.

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en este àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).