Category: Butlletins

En el butlletí del mes de juliol, us mantenim informats sobre les últimes vulnerabilitats, consells i millors pràctiques en matèria de ciberseguretat. El nostre objectiu és continuar conscienciant els nostres subscriptors perquè puguen mantindre protegits els seus sistemes, les seues dades i els seus equips davant possibles amenaces cibernètiques durant tot l’any, però especialment a l’estiu, que és quan més ens relaxem i deixem de costat algunes bones pràctiques relacionades amb la seguretat de la informació.

Deu recomanacions de ciberseguretat per a les vacances

A mesura que arriba l’estiu i ens preparem per a gaudir d’unes merescudes vacances i activitats a l’aire lliure, és important recordar que la ciberseguretat continua sent una prioritat.

En el nostre web de concienciaT hem publicat una campanya de conscienciació amb deu consells per a gaudir d’unes bones vacances sense incidents de ciberseguretat. A continuació, us fem un resum de quins són:

• Evita connectar-te a xarxes WIFI públiques, sobretot per a fer tràmits bancaris.
• Utilitza contrasenyes robustes. Per a això, pots ajudar-te d’un gestor de contrasenyes.
• Incrementa la seguretat en els teus dispositius mòbils i tauletes.
• Para atenció als correus fraudulents (phishing) i evita accedir-hi.
• Protegeix les teues xarxes socials i la informació que hi publiques.
• Els jocs en línia també compten amb molts riscos. Utilitza equips segurs i pàgines fiables.
• Ajuda els teus fills a protegir-se i a mantindre els seus equips protegits.
• Revisa bé les ofertes de lloguers vacacionals, alguns oculten estafes.
• Mantín els equips actualitzats i instal·la un antivirus.
• Realitza còpies de seguretat dels teus dispositius.

Per a conéixer amb més detall cadascuna d’aquestes recomanacions i com pots portar-les a la pràctica, accedeix a la campanya i trobaràs més informació.

Lloguers vacacionals: Com evitar caure en una estafa

Quan tractem de buscar un allotjament, busquem una cosa barata, amb bones condicions i que estiga prop dels nostres llocs d’interés. I això bé ho saben els ciberdelinqüents, per això, aprofiten aquesta època per a publicar anuncis de lloguers vacacionals que puguen cridar l’atenció de les persones fàcilment. No obstant això, darrere d’aquests l’única cosa que trobem en una estafa i no un lloc on allotjar-nos.

Per a evitar disgustos i ser víctimes de fraus en aquestes vacances, hem publicat una sèrie de recomanacions en la nostra pàgina oficial de Facebook perquè pugueu llogar de manera segura.

Dia dels Iaios

El passat 26 de juliol es va celebrar el Dia dels Iaios i des de CSIRT-CV hem llançat una infografia dirigida als nostres majors perquè es mantinguen protegits en plena era digital, ja que, en moltes ocasions, el seu restringit coneixement de les noves tecnologies els fa ser un blanc fàcil per als ciberdelinqüents.

En concienciaT podràs descarregar la infografia Consells bàsics per als nostres majors. Fes-la arribar als nostres majors! Protegeix els teus majors!

Alertes de seguretat

Finalment, recollim les tres alertes de seguretat més destacables en aquest mes:

• Vulnerabilitats en Citrix ADC i Citrix Gateway: Citrix ha publicat recentment unes vulnerabilitats que afecten Citrix ADC i Citrix Gateway i recomana als afectats que instal·len les versions actualitzades pertinents.
• Vulnerabilitats en Mozilla Firefox, Firefox ERS i Thunderbird: Mozilla ha emés un avís de seguretat en què es tracten 13 vulnerabilitats, 4 de severitat alta.
• Vulnerabilitat crítica en ScrutisWeb de Iagona: Neil Graves, Jorian van den Hout, i Malcolm Stagg han reportat al CISA múltiples vulnerabilitats, una d’aquestes crítica que afecta la versió 2.1.37 i anteriors d’ScrutisWeb

T’animem a compartir aquest butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en aquesta àrea, no dubtes a visitar els nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://csirtcv.gva.es/ i https://concienciat.gva.es/

El verano ya está aquí, y antes de que muchos de vosotros os vayáis de vacaciones en julio, os traemos un nuevo boletín en el que recopilamos las principales noticias relacionadas con el mundo de la Ciberseguridad acontecidas en el mes de junio, y seleccionamos algunas de las alertas de seguridad de mayor relevancia acontecidas durante el mismo periodo.

Este mes estamos de celebración, el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) cumplió 16 años el pasado 12 de junio. Desde CSIRT-CV, seguimos trabajando y aunando esfuerzos para mantener un espacio ciberseguro, así como promoviendo una cultura de seguridad y buenas prácticas en el uso de las nuevas tecnologías para minimizar los incidentes informáticos en la sociedad.

En estos 16 años, desde CSIRT-CV se han atendido un total de 12.353 incidentes de seguridad, de los que 180 han sido de máxima criticidad y en 16 ocasiones se ha activado el Grupo de Respuesta ante Incidentes (GIR), atendiendo presencialmente el incidente.

Además, se ha formado a 26.549 menores en los centros educativos de secundaria y un total de 56.765 alumnos se han matriculado en los cursos online. También se han realizado múltiples campañas de concienciación, elaborado informes anuales de actividades, ciberamenazas y tendencias, generado guías e informes o el primer estudio sobre ciberseguridad industrial.

Campaña de Concienciación sobre Inteligencia Artificial

Asimismo, para celebrar este aniversario, el 19 de junio lanzamos una nueva Campaña de Concienciación sobre Inteligencia Artificial. En esta nueva campaña, queremos centrarnos en cómo la inteligencia artificial está cambiando la forma en que vivimos y trabajamos.

La IA está presente en asistentes virtuales, casas inteligentes, chatbots o redes sociales y en la mayoría de los ámbitos: sanitario, educativo, empresarial, económico, cultural, turístico, publicitario y generación de contenido, entre otros.

El objetivo es arrojar luz sobre este campo y proporcionar tanto ventajas como algunos de los inconvenientes que conlleva un buen o mal uso de esta tecnología.

Además, tratamos una de las herramientas que más ha dado que hablar en los últimos meses: ChatGPT y os facilitamos usos correctos, incorrectos y recomendaciones para un uso seguro de este chat. También puedes leer la nota de prensa publicada en el portal de la Generalitat aquí.

Otras noticias

Como sabéis, el pasado 28 de mayo fueron las elecciones autonómicas y el CSIRT-CV participó en el dispositivo especial de vigilancia digital. Resaltar, que los comicios electorales transcurrieron sin incidentes y con total normalidad.

El Centro de Seguridad TIC (CSIRT-CV) de la Comunitat Valenciana ha publicado su informe anual sobre actividad, ciberamenzas y tendencias correspondientes al ejercicio de 2022 en el que se recogen las actuaciones más destacadas llevadas a cabo por este ente, que vela por la seguridad de la red en las tres provincias valencianas.
El informe se centra en los servicios más importantes, como la gestión de incidentes, campañas de concienciación realizadas para los ciudadanos, cursos y formación online, jornadas de ciberseguridad impartidas en los centros de secundaria, análisis de riesgos, etc. Para consultar en informe, acceder al siguiente enlace.

Alertas de seguridad

Por último, recogemos las tres alertas de seguridad más destacables en este mes:

• • • Vulnerabilidades en Google Chrome: Google lanzó una nueva actualización de Chrome que resolvía cuatro vulnerabilidades, una de ellas catalogada como crítica y el resto de criticidad alta. Google recomienda la actualización del navegador a las últimas versiones.
    • Vulnerabilidades en Firefox: Se descubrieron múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR, tres de ellas de criticidad alta, las cuales permiten a un atacante saltarse la política de seguridad y ejecutar remotamente código arbitrario. Mozilla recomienda la actualización del software afectado a las últimas versiones.
    • Actualización firmware Asus routers: ASUS publicó nuevas actualizaciones para firmware que corrigen nueve vulnerabilidades, dos de ellas de severidad crítica. Estas permitirían a un ciberdelincuente realizar ataques DoS o ejecutar código arbitrario. La compañía recomienda actualizar los productos afectados a la versión de firmware más reciente, usar contraseñas diferentes para la red inalámbrica y la página web de administración, y habilitar ASUS AiProtection siempre que sea posible.

Para más información y consejos sobre Ciberseguridad, recomendamos visitar los sitios web de CSIRT-CV y concienciaT, además de seguir los perfiles de este centro en Twitter (@CSIRTCV) y Facebook (CSIRT-CV).

Un mes més, tornem amb un nou butlletí en què abordem les principals notícies i ressenyes relacionades amb el món de la ciberseguretat que han aparegut al llarg del mes de maig, i recopilem les alertes de seguretat més rellevants del mateix període.

Esdeveniments del mes de maig
Comencem amb l’1 de maig, Dia del Treball, efemèride que des de CSIRT-CV aprofitem per a recordar als ciutadans alguns consells per a mantindre’s protegits en el treball en remot. A través del compte de Twitter, difonem una guia de seguretat en el teletreball, en la qual s’enumeren diverses mesures de seguretat bàsiques que s’haurien d’implementar en els equips per a teletreballar de manera segura i sense posar en risc la informació amb què es treballa.

A més, també es va celebrar el Dia Mundial contra l’Assetjament Escolar, en concret, el 2 de maig. L’objectiu d’aquesta jornada és conscienciar la població mundial sobre una classe de violència psicològica, verbal o física que afecta milions de xiquets i joves en tot el món.

Des de CSIRT-CV, vam voler sumar-nos a aquesta causa posant l’accent en el ciberassetjament, una variant de l’assetjament escolar, que es caracteritza per tractar-se d’un assetjament psicològic entre joves realitzat a través d’Internet, telèfons mòbils, consoles de joc en línia o altres tecnologies.

Per a aquesta ocasió, publiquem un article en el nostre lloc web de ConcienciaT, que pots llegir en el següent enllaç i aprofundir en aspectes sobre com es produeix i sobre com es pot actuar davant d’un cas d’assetjament, i amb algunes recomanacions per als joves i els pares.

A més, trobaràs l’Estudi sobre conducta suïcida i salut mental en la infància i l’adolescència a Espanya (2012-2022) realitzat per la Fundació ANAR, en el qual es revela que els casos atesos en aquest organisme per idees suïcides durant aquests deu anys s’han multiplicat per 23,7 i els intents de suïcidi per 25,9.

D’altra banda, i en relació amb aquest tema, convé recordar que la Generalitat Valenciana manté publicat un protocol d’actuació per als centres educatius davant d’aquestes situacions, que pot ser consultat per qualsevol persona en la seua pàgina web.

Un altre dels esdeveniments destacats es va produir el passat 17 de maig, en què es va celebrar el Dia Mundial d’Internet. Amb la finalitat de promoure els avantatges i el bon ús d’Internet, ja que cada vegada es fa un ús més intensiu de les tecnologies de la informació i la comunicació (TIC), des de CSIRT-CV recordem la importància de fer un ús segur i responsable d’Internet, i per això llancem un vídeo en què recollim tots els recursos que s’ofereixen en matèria de ciberseguretat des del nostre centre, que pots visualitzar en el següent enllaç.

A més, amb motiu d’aquest dia, CSIRT-CV va fer una xarrada de conscienciació en l’IES Camp de Morvedre dirigida a l’alumnat de 4t de l’ESO i 1r de Batxillerat. Un centenar d’estudiants van rebre consells sobre el bon ús d’Internet, identitat digital, xarxes socials, ciberassetjament, recomanacions sobre videojocs, xats, contrasenyes, wifis públiques o programaris maliciosos, entre altres continguts.

Per la seua part, des d’INCIBE es van llançar tallers de ciberseguretat amb temàtiques d’interés per a la ciutadania. En la seua web se’n poden conéixer més detalls.

Altres notícies d’actualitat

Diumenge que ve, 28 de maig, se celebren en tota Espanya eleccions autonòmiques i municipals. CSIRT-CV participa en el dispositiu especial de vigilància digital monitorant el procés electoral des del punt de vista de la ciberseguretat per a previndre, detectar, evitar i mitigar, en el cas que fora necessari, la intrusió de tercers o possibles ciberatacs que alteren el transcurs de la jornada electoral.

A vegades, els ciberdelinqüents utilitzen els comicis per a intentar robar dades personals, o fins i tot alterar o modificar els resultats electorals mitjançant una possible intrusió en el sistema de recompte, entre altres pràctiques, per la qual cosa des de CSIRT-CV es vetlarà pel correcte funcionament dels comicis abans i després de la cita electoral.

Alertes de seguretat

Finalment, detallem les tres alertes de seguretat més importants d’aquest últim mes:

• • • Múltiples vulnerabilitats en Fortinet: Fortinet va publicar 9 vulnerabilitats, 2 de les quals amb criticitat alta, que afecten diversos productes seus i recomanen l’actualització dels components a les últimes versions.
    • Actualitzacions de seguretat de Microsoft: Microsoft va donar a conéixer un total de 38 pedaços de vulnerabilitat. D’entre aquestes amenaces, en destaquen 6, que es cataloguen amb criticitat crítica. Entre les seues recomanacions, Microsoft sol·licita l’actualització sobre la base de les instruccions proporcionades per a les versions afectades.
    • Múltiples vulnerabilitats en Modular Switchgear Monitoring (MSM) d’Hitachi Energy: La companyia Hitachi Energy va reportar 8 vulnerabilitats, 2 de les quals amb criticitat crítica i les 6 restants amb criticitat alta, l’explotació de les quals podria permetre a un atacant obtindre credencials d’accés d’usuari de la interfície web d’MSM i causar denegació de servei. El proveïdor recomana als afectats desconnectar els equips de xarxes connectades a Internet i adoptar un programari de gestió d’accessos d’usuari i protecció antivirus.

Per a més informació i consells sobre ciberseguretat, recomanem visitar els llocs web de CSIRT-CV i ConcienciaT, a més de seguir els perfils d’aquest centre en Twitter (@CSIRTCV) i Facebook (CSIRT-CV).

Un mes més, tornem amb un nou butlletí en el qual parlarem dels certificats digitals i altres mecanismes d’identificació personal digital i com mantindre’ls segurs.

En l’era de la digitalització, un dels elements clau són els certificats digitals, que permeten a les persones identificar-se per a poder fer tràmits en línia. Són uns mecanismes que cada vegada es fan més necessaris, i arriben al punt de ser necessaris per a fer certes tasques com ara consultar dades mèdiques en línia, presentar la declaració de la renda telemàticament, sol·licitar subscripció a l’atur o firmar documents, entre altres.

Des d’Infoautónomos, descriuen en un article sobre la importància de tindre el certificat digital dos de les característiques més importants i valuoses que ofereixen els certificats:

• • • Rapidesa i estalvi de temps: permeten als usuaris fer tasques més àgilment i eviten desplaçaments a entitats per a fer tràmits, estalvien esforços en impressió i escaneig de documentació per a poder firmar-la, etc.
    • Transparència: les gestions queden registrades en el dia i l’hora específics en què es fan; això permet disposar de proves documentals en el cas que calga recórrer contra qualsevol possible decisió de tipus administratiu.

En el butlletí es descriuen els diferents mètodes d’identificació electrònica, com obtindre’n, riscos derivats de l’ús i consells per a protegir la identitat digital.

Actualment, las quatre solucions disponibles per a identificar-se digitalment es divideixen de la manera següent:

• • • Cl@ve: mecanisme que es pot usar en dos formats, clau permanent i clau PIN. Segons descriu Xataka en una notícia sobre els dos mètodes, la clau permanent es basa en el DNI de l’usuari i una contrasenya que ha d’establir l’usuari en el primer moment que l’obté, la qual cosa en facilita l’ús quotidià. D’altra banda, la clau PIN s’associa al DNI de l’usuari i, en cada ús, genera un codi alfanumèric temporal que permet accedir-hi. El fet que el codi generat caduque n’augmenta la seguretat d’ús, encara que pot ser tediós l’ús en el dia a dia.
      Es pot obtindre des de la pàgina oficial de l’Agència Tributària, que es troba ací en l’enllaç. L’Agència Tributària facilita diversos mètodes per a obtindre’n, encara que el més àgil i ràpid és a través d’un certificat o DNI-e.
    • Certificat FNMT: és el certificat més comú per a la identificació digital i l’expedeix la Fàbrica Nacional de Moneda i Timbre. A diferència dels altres certificats, s’instal·la en el navegador web i no requereix ús de contrasenyes després d’instal·lar-lo, la qual cosa en facilita l’ús i el manteniment.
      El certificat de la FNMT es pot obtindre des de la seua pàgina web oficial. Hi ha diverses maneres d’obtindre’l, encara que la més ràpida i l’única que permet evitar desplaçaments és la que permet obtindre’n un amb el DNI-e.
    • Certificat ACCV: l’expedeix l’Agència de Tecnologia i Certificació Electrònica, i permet a les persones, igual que el certificat de la FNMT, acreditar la seua identitat digitalment; té una validesa de tres anys. Es pot obtindre tant digitalment, a través de vídeo d’identificació, la qual cosa té un cost addicional, o bé a través d’un programari que requereix la identificació acudint a un punt de registre (PRU) de manera gratuïta. A través de la pàgina oficial de l’ACCV, es poden conéixer més detalladament les possibilitats que hi ha per a obtindre’n un, de certificat, així com de trobar els punts PRU més pròxims segons ubicació.
    • DNI electrònic (DNI-e): El certificat de DNI-e és el que expedeix la Policia Nacional en el moment en què s’obté el DNI amb un xip electrònic. En el moment d’obtindre’l, s’entrega un paper amb la clau del certificat. Per a usar-lo, tan sols és necessari un lector de DNI electrònic. No s’ha de sol·licitar, ja que tots els usuaris amb DNI-e en tenen un.

Actualment, hi ha una gran quantitat de guies que descriuen com aconseguir-los, entre les quals hi ha un article de Xataka, que és una guia completa i detallada de com obtindre’n i instal·lar-ne.

Com tots els elements tecnològics, l’ús de certificats digitals també implica una sèrie de riscos. El risc principal al qual s’exposa un usuari és la suplantació d’identitat, ja que, com s’ha comentat, els certificats permeten acreditar la identitat d’una persona. Els ciberdelinqüents aprofiten els certificats per a accedir a llocs web amb la identitat de l’usuari, firmar documentació o obtindre accés a altres recursos.

Enfocada la qüestió en un entorn empresarial, «un atac dirigit a ells desemboca directament en la interrupció en la continuïtat del negoci», segons informen des de Redtrust. A més, afigen que «L’impediment en l’ús dels certificats digitals de persona física, de representant, de firma de codi, de servidor o qualsevol dins de la seua àmplia tipologia, posa les empreses en un compromís greu».

Amb la finalitat de mantindre els certificats segurs, des de Camerfirma destaquen les recomanacions següents:

• • • Obteniu el certificat des de prestadors de servei de confiança.
    • Si se cedeix el certificat a un tercer, es poden minimitzar els riscos amb la firma d’un contracte de prestació de serveis detallant l’ús que es pot fer de la firma.
    • Guardar el certificat en un lloc segur, idealment en un gestor de centralització de certificats o, si no pot ser, en un ordinador amb accés limitat.