Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

ÚLTIMA HORA


barra-separadora

ANA

Automatización y normalización de auditorías

CARMEN

Defensa de ataques avanzados/APT

CCNDroid

Seguridad para Android

CLARA

Auditoría de Cumplimiento ENS/STIC en Sistemas Windows

GLORIA

Gestor de logs para responder ante incidentes y amenazas

INES

Informe de Estado de Seguridad en el ENS

LORETO

Almacenamiento en la nube

LUCIA

Gestión de Ciberincidentes

MARIA

Sistema Multiantivirus

MARTA

Análisis avanzados de ficheros

PILAR

Análisis y Gestión de Riesgos


REYES

Intercambio de Información de Ciberamenazas

ROCIO

Inspección de Operación. Auditoría de configuraciones de dispositivos de red

VANESA

Grabaciones y emisiones online

CURSOS CCN-STIC

XVI Curso de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC)

Fase online: del 18 de febrero al 1 de marzo

Fase presencial: del 4 al 15 de marzo

 

VI Curso STIC de Gestión de Incidentes de Ciberseguridad (Herramientas CCN-CERT).

Presencial: del 18 al 22 de marzo

 

ver +

SERIES CCN-STIC

Índice de Guías (Diciembre 2018)

Última guía serie 800 (ENS)


CCN-STIC-824 Información del Estado de Seguridad

Última guía

 

CCN-STIC-105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación
 
ver +

INFORMES

Informes de Código Dañino (ID)

CCN-CERT ID-26/18 CoinMiner.gen

Informes de Amenazas (IA)

CCN-CERT IA-25/18 Cryptojacking

Informes de Buenas Prácticas (BP)

CCN-CERT BP/08 Redes Sociales
ver +
ver +

AVISOS Y ALERTAS

Alerta:
CCN-CERT AL 08/18 Vulnerabilidad crítica en el motor de ejecución de Visual Basic Script

Aviso:

CCN-CERT AV 02/19 Convocatoria de Cursos CCN-STIC primer semestre de 2019

VULNERABILIDADES

ver +

Vulnerabilidad:
CCN-CERT-1811-25493

RHSA-2018:3681-1: Important: rh-nginx114-nginx sec...

EMPRESAS

Catálogo de Servicios

Sistema de Alerta Temprana, SAT de Internet 

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Guías SCADA

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

ver +

Seguridad al día

El 15 de febrero se cierra el plazo para la carga de datos del Informe Nacional del Estado de Seguridad, INES

  • Todos los organismos públicos están obligados a ello y este año no existirá la posibilidad de prórroga.
  • El Informe, que se elabora desde 2014 y en el que el año pasado participaron 590 organismos que dan servicio a 2.770.366 millones de usuarios, es la herramienta para evaluar regularmente el estado de la seguridad de los sistemas TIC del sector público y su adecuación al Esquema Nacional de Seguridad (ENS).
  • Para facilitar la carga de los datos, el Centro Criptológico Nacional pone a disposición de los interesados en su portal un curso online, recientemente actualizado, con todas las novedades de la campaña, así como las nuevas versiones de las Guías CCN-STIC 824 INES y la Guía CCN-STIC 844 Manual de INES.

El viernes, 15 de febrero, se cierra el plazo para que todos los organismos del sector público actualicen o incluyan por primera vez sus datos en la plataforma INES, Informe Nacional del Estado de Seguridad. Así lo exige el artículo 35 del Real Decreto 3/2010, de 8 de enero por el que se regula el Esquema Nacional de Seguridad (ENS), que establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas de las Tecnologías de la Información y la Comunicación del sector público y la necesidad de establecer un sistema de medición. En el Informe, elaborado desde el año 2014, el año pasado participaron 590 organismos que dieron servicio a 2.770.366 millones de usuarios.

Este año, una vez finalizado el plazo, no existirá la posibilidad de prórroga por lo que no se podrán modificar datos de las fichas de la campaña actual, únicamente se podrá acceder a la información en modo lectura.

Para hacer más sencillo su uso, el CCN ha desarrollado una serie de mejoras en la herramienta INES 2.0 como son el perfeccionamiento de la interfaz de usuario, mensajería interna de soporte, carga individual de información por categoría de sistema, existencia de usuarios supervisores, generación automática de información agregada, FAQ mejorada y solicitud de nueva información.

Asimismo, para facilitar la carga de datos, se ha puesto a disposición de todos los organismos la actualización del curso de INES online, así como la actualización de la Guía 824 Informe del Estado de Seguridad y la Guía 844 Manual de Usuario de INES.

Responsable de la carga de datos

El acceso a la herramienta INES se realiza desde la parte privada del Portal del CCN-CERT y deben ser los responsables de la seguridad del organismo, o el personal delegado de su equipo de seguridad, los que completen los datos solicitados y a los que se les autorizará el acceso a su ficha, independientemente de que la organización subcontrate a terceros la recogida de datos.

Más información:

CCN-CERT (18/01/2019)

 

La policía ucraniana arresta a 6 hackers relacionados con DDoS y ataques financieros

La policía ucraniana ha arrestado esta semana a dos grupos de hackers implicados en la realización de ataques DDoS contra agencias de noticias y en el robo de dinero a ciudadanos ucranianos, respectivamente.

Según las autoridades, y tal y como recoge el medio The Hacker News, cuatro presuntos hackers que detuvieron la semana pasada (con edades comprendidas entre los 26 y los 30 años), robaron más de 5 millones de jrivnia (unos 178.380 USD) de las cuentas bancarias de los ciudadanos ucranianos.

Los sospechosos llevaron a cabo sus ataques escaneando ordenadores vulnerables en Internet e infectándolos con un malware troyano personalizado para tener un control remoto completo de los sistemas.

CCN-CERT (17/01/2019)

Más información

ver +
blue-balls

Para España, como para el resto de los países de nuestro entorno, el ciberespionaje sigue constituyendo la mayor amenaza para la seguridad nacional, tal y como recoge el Informe de Ciberamenazas y Tendencias. Edición 2017 (CCN-CERT-IA-16/17) hecho público por el CCN-CERT, del Centro Criptológico Nacional.

Durante 2016, los Servicios de inteligencia occidentales observaron un importante crecimiento del ciberespionaje económico, teniendo su origen en Estados y empresas, especialmente dirigido a las industrias de los sectores de defensa, alta tecnología, industria química, energía y salud persiguiendo el acceso a desarrollos avanzados. De igual importancia es el ciberespionaje político, con origen en los Servicios de inteligencia que persiguen información de naturaleza política, económica o estratégica, así como planes de desarrollo y posiciones nacionales en torno a debates o negociaciones abiertas.

El documento examina el impacto, en España y fuera de sus fronteras, de las amenazas y los ciberincidentes más significativos ocurridos en 2016: ciberespionaje, ciberdelincuencia (incluido el ransomware) e irrupción de sistemas (ataques de Denegación de Servicio o a Sistemas de Control Industrial), así como los principales agentes de la amenaza: Estados, organizaciones criminales, ciberactivistas, ciberterroristas, cibervándalos y scritp kiddies, actores internos o ciberinvestigadores y organizaciones privadas.

Tendencias 2017

Para este 2017, el CCN-CERT prevé un incremento en el ciberespionaje (incluyendo a los dispositivos móviles) en donde se utilizarán exploits de día cero, con vectores de infección desconocidos, múltiples canales de exfiltración y técnicas de persistencia avanzadas que utilizarán funciones no documentadas.

Del mismo modo, se producirán ataques a entidades financieras, a Sistemas de Control Industrial (SCI) y al Internet de las Cosas (IoT).

Todo ello con infecciones efímeras (código dañino residente en la memoria y sin persistencia en el sistema de la víctima), amenazas al hardware, el uso de la publicidad como herramienta de ataque y el denominado Ransomware-as-a-Service. En este sentido, es posible que aparezcan casos en que a pesar de haber pagado el rescate no se desbloqueen los ficheros cifrados. Esto puede provocar una crisis de confianza que conduzca a pensar que “pagar el rescate” no conduce a nada (recomendación del CCN-CERT).

Por último, el CERT Gubernamental Nacional espera un mayor intercambio de inteligencia sobre amenazas, que facilitará el desplazamiento del equilibrio de poder de los atacantes a las víctimas, al tiempo que se interrumpe el ciclo de vida de un ataque y resulta más costoso para los agentes de la amenaza.

CCN-CERT (08/06/2017)

Acceso al Informe CCN-CERT IA-16/17 de Ciberamenazas y Tendencias. Edición 2017

Acceso al Informe CCN-CERT IA-16/17 de Ciberamenazas y Tendencias. Edición 2017. Resumen Ejecutivo

 

  • El ID-21/16 es accesible a todos los usuarios desde el portal del CCN-CERT.
  • El documento se ha actualizado tras la aparición de una nueva versión de este código dañino (actualmente se conocen cinco) que llega al equipo de la víctima mediante un downloader, encargado de contactar con un sitio web desde el que se descarga el ransomware para, posteriormente, ejecutarlo dentro de la máquina atacada.
  • El CERT Gubernamental Nacional publica este informe con sus reglas YARA e IOCs correspondientes.

El CCN-CERT ha publicado en la parte pública de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-21/16 Ransom.Cerber. Se trata del informe actualizado sobre el ransomware Cerber, uno de los que más incidencia tuvo en el año 2016 (un 3% del total de los que gestionó el CCN-CERT durante el año pasado).

En él se recoge el análisis de la nueva versión aparecida (son ya cinco) que llega al equipo de la la víctima mediante un downloader que es el que se encarga de contactar con un sitio web desde el que descarga el ransomware y posteriormente lo ejecuta dentro de la máquina atacada.

La versión analizada de este código dañino tiene las siguientes características:

  • Descarga y ejecuta el fichero binario correspondiente a Cerber mediante un dropper o downloader.
  • Descifra y desofusca el código dañino en memoria.
  • Lanza un nuevo proceso.
  • Lee la configuración que tiene embebida dentro de su mismo código para personalizar las versiones sin necesitar incluir cambios en su código.
  • Cifra selectivamente los ficheros utilizando listas blancas y listas negras.
  • Cifra de modo offline ya que no utiliza ningún servidor de comando y control (C2) para recibir información de él o para enviar las claves generadas.
  • Notifica al usuario el cifrado de sus ficheros mediante imágenes de instrucciones de rescate (fondo de escritorio, imágenes .jpg en los directorios con contenido cifrado, etc.).
  • Usa el servicio de sintetizador de voz para reproducir un mensaje.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Conexiones de red
  • Persistencia en el sistema
  • Desinfección
  • Prevención
  • Archivos relacionados
  • Detección
  • Información del atacante

Además, se incluyen diversos Anexos con Indicadores de Compromiso (IOC) y una regla Yara.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (06/06/2017)

Acceso al Informe de Código Dañino: CCN-CERT ID-21/16 Ransom.Cerber

 

  • Publicada la Guía CCN-STIC 646B en la parte privada del portal del CCN-CERT.

  • El objeto de esta Guía es establecer una configuración segura de los conmutadores Huawei pertenecientes a la familia S7700, con consejos y recomendaciones sobre la activación o desactivación de servicios y funcionalidades.

  • El CCN-CERT recomienda aplicar los consejos que contiene la guía antes de desplegar el equipo en la red, así como realizar una actualización con las últimas versiones estables del sistema operativo, también denominado VRP (Versatile Routing Platform).

El CCN-CERT ha publicado en la parte privada de su portal web la Guía CCN-STIC 646B. Seguridad en conmutadores Huawei S7700. Este documento pretende servir de guía para establecer una configuración segura de los conmutadores Huawei pertenecientes a la familia S7700. Por un lado, describe los mecanismos que evitan accesos no deseados a la configuración del equipo y a los datos almacenados en él. Por otro lado, analiza los servicios, y sus interacciones con la red en la que será integrado, para diferenciar las acciones seguras y necesarias en el equipo, de las acciones que no los son y deben ser sustituidas por otras.

La Guía CCN-STIC 646B señala que es recomendable aplicar los consejos de seguridad que contiene esta guía antes de desplegar el equipo en la red, así como realizar una actualización con las últimas versiones estables del sistema operativo, también denominado Versatile Rounting Platform (VRP).

Configuración básica, gestión del sistema de ficheros, protección de los servicios de red ofrecidos por el equipo, seguridad en los puertos o creación de listas de acceso son algunos de los apartados que incluye este documento. Junto a ellos otros sobre las medidas para prevenir caídas del sistema; VLAN; mantenimiento de registro de logs; Network, autorización y registro; protocolos de encaminamiento y DHCP.

CCN-CERT (05/06/2017)

Más información

Acceso a la Guía CCN-STIC 646B. Seguridad en conmutadores Huawei S7700

  • La Guía CCN-STIC 305 se reclasifica como Uso Oficial y se ha publicado en la parte privada del portal del CCN-CERT.
  • El objeto de esta Guía es crear un marco de referencia que establezca las pautas de actuación en cuanto al tratamiento de los soportes de almacenamiento cuando se requiere la reutilización, reclasificación o destrucción de dichos dispositivos, según los requerimientos legales vigentes.
  • El concepto de información clasificada y sanitización, los métodos para asegurar la destrucción de la información clasificada o ejemplos con operaciones para memorias extraíbles USB o discos duros son algunos de los apartados recogidos en el documento.

El CCN-CERT ha publicado en la parte privada de su portal web la Guía CCN-STIC 305. Destrucción y sanitización1 de soportes informáticos. Este documento, que en su versión anterior estaba clasificado como “Difusión Limitada” y ahora es de “Uso Oficial”, pretende crear un marco de referencia que establezca las pautas de actuación en cuanto al tratamiento de los soportes de almacenamiento cuando se requiere la reutilización, reclasificación o destrucción de dichos dispositivos. Esta actividad, tal y como se señala en el documento, suele ser más intensa cuando el sistema llega al final de su vida operativa y hay que proceder a darlo de baja para el servicio (aunque también existe la necesidad cuando se intercambian dispositivos de un sistema, con o sin información).

La Guía CCN-STIC 305 tiene como fin último el cumplimiento de los requerimientos legales vigentes en cuanto al borrado seguro y/o destrucción de los soportes de almacenamiento.

Entre otros apartados, el documento explica detalladamente los conceptos de “Información Clasificada” y “Sanitización”, así como los métodos para asegurar la destrucción de la información clasificada (métodos y niveles recomendados de sanitización).

Asimismo, la Guía CCN-STIC 305 recoge un anexo con casos de ejemplo, entre los que se encuentran las operaciones a realizar antes de entregar una memoria extraíble USB; los discos locales, externos o extraíbles; las diferencias entre borrado de archivos y carpetas y borrado completo del disco y borrado seguro de unidades de estado sólido (SSD).

 

1 Hace referencia al proceso que hace imposible el acceso a la información almacenada en los dispositivos de acuerdo a la clasificación de la misma.

CCN-CERT (31/05/2017)

Acceso a la Guía CCN-STIC 305. Destrucción y sanitización de soportes informáticos

 

Volver
logo-gobierno logo-cni ccn-logo
certauth-logo first-logo tfcsirt-logo egc-logo CSIRTes
© 2019 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración