CURSOS CCN-STIC

I Hoja de Ruta en Ciberseguridad

Del 9 de enero al 30 de junio (Fase asíncrona: 120 h. - Fase síncrona: 60 h.)

XIV Curso STIC Gestión de Incidentes de Ciberseguridad (Herramientas CCN-CERT)

Del 17 al 21 de abril (fase asíncrona: 10 h.)

Del 24 al 28 de abril (fase síncrona: 25 h.)

ver +

SÈRIES CCN-STIC

Última guía sèrie 800 (ENS)

CCN-STIC-889I Guía de Configuración segura para Oracle SaaS Fusion Applications

Última guía

CCN-STIC-1454 Procedimiento de Empleo Seguro Routers CISCO ASR9000 y NCS4200 Series

veure +

INFORMES

AVISOS I ALERTES

Alerta:

CCN-CERT AL 04/22 Actualización de seguridad para vulnerabilidad crítica en Fortinet

Aviso:

CCN-CERT AV 11/23 Actualización de seguridad en productos Adobe

VULNERABILITATS

Vulnerabilidad:
CCN-CERT-2309-34672

K000137058 : Linux kernel vulnerability CVE-2022-4...

ver +

EMPRESES

Catàleg de serveis

Sistema de Alerta Temprana, SAT de Internet

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

ver +

SEGURETAT AL DIA

Actualizada la guía CCN-STIC 808 sobre la verificación del cumplimiento del ENS

Automatizando el SOC: Chronicle / SecOps, nuevo seminario web del CCN

ver +

CCN-CERT AV 06/19 Nuevo curso VANESA. Protección de entornos WIFI


	AVISOS

	Protección de entornos WIFI 05/02/2019 El CCN-CERT le comunica la celebración el próximo 21 de febrero de una nueva sesión de VANESA sobre protección de entornos WIFI. El curso, que se desarrollará entre las 10.00 y las 13.00 horas, se realizará en formato vídeo en streaming a través de la plataforma VANESA y abordará los siguientes aspectos: Introducción a las redes inalámbricas Distribución de las comunicaciones Tipos de Infraestructura Tipología de paquetes Monitorización Trazabilidad Inyección Técnicas empleadas por atacantes Concienciación Sistemas de monitorización Protocolos de actuación Incidentes Solicitud de curso y acceso a la plataforma Los interesados en participar en esta actividad formativa pueden cumplimentar el formulario disponible en el siguiente enlace: formulario de inscripción. El plazo de solicitud finalizará el jueves, 14 de febrero. No obstante, si se completasen las plazas disponibles antes de la fecha prevista se desactivará el formulario. Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas --------------------- info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es -------------------- Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37 Descarga -------------------- ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece. Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a info@ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2019 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

CCN-CERT AV 05/19 Nuevo curso VANESA. Configuración de los firewalls de nueva generación de Palo Alto Networks


	AVISOS

	Configuración de los firewalls de nueva generación de Palo Alto Networks 04/02/2019 El CCN-CERT le comunica la celebración el próximo 19 de febrero de una nueva sesión de VANESA sobre la configuración de los firewalls de nueva generación de Palo Alto Networks. El curso, que se desarrollará entre las 10.00 y las 13.00 horas, se realizará en formato vídeo en streaming a través de la plataforma VANESA y abordará los siguientes aspectos: Introducción y filosofía de trabajo: el ciclo de vida de un ataque moderno Configuración básica de red. Arquitecturas soportadas Creación de la política de seguridad y NAT inicial Configuración de políticas avanzadas de seguridad: App-ID y Content-ID. Ejemplos de ataques y prevención (IPS, Antivirus, AntiSpyware, URL Filtering y DLP) Detección y protección frente a malware desconocido: WildFire Integración del usuario: User-ID Reporting y búsqueda de amenazas avanzadas en Autofocus Solicitud de curso y acceso a la plataforma Los interesados en participar en esta actividad formativa pueden cumplimentar el formulario disponible en el siguiente enlace: formulario de inscripción. El plazo de solicitud finalizará el martes, 12 de febrero. No obstante, si se completasen las plazas disponibles antes de la fecha prevista se desactivará el formulario. Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas --------------------- info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es -------------------- Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37 Descarga -------------------- ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece. Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a info@ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2019 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

CCN-CERT AV 04/19 Cierre del plazo para la carga de datos del Informe Nacional del Estado de Seguridad, INES


	AVISOS

	El 15 de febrero se cierra el plazo para la carga de datos del Informe Nacional del Estado de Seguridad, INES 01/02/2019 El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, le informa que el viernes, 15 de febrero, se cierra el plazo para que todos los organismos del sector público actualicen o incluyan por primera vez sus datos en la plataforma INES, Informe Nacional del Estado de Seguridad. Así lo exige el artículo 35 del Real Decreto 3/2010, de 8 de enero por el que se regula el Esquema Nacional de Seguridad (ENS), que establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas de las Tecnologías de la Información y la Comunicación del sector público y la necesidad de establecer un sistema de medición. En el Informe, elaborado desde el año 2014, el año pasado participaron 590 organismos que dieron servicio a 2.770.366 millones de usuarios. Este año, una vez finalizado el plazo, no existirá la posibilidad de prórroga por lo que no se podrán modificar datos de las fichas de la campaña actual, únicamente se podrá acceder a la información en modo lectura. Para hacer más sencillo su uso, el CCN ha desarrollado una serie de mejoras en la herramienta INES 2.0 como son el perfeccionamiento de la interfaz de usuario, mensajería interna de soporte, carga individual de información por categoría de sistema, existencia de usuarios supervisores, generación automática de información agregada, FAQ mejorada y solicitud de nueva información. Asimismo, para facilitar la carga de datos, se ha puesto a disposición de todos los organismos la actualización del curso de INES online, así como la actualización de la Guía 824 Informe del Estado de Seguridad y la Guía 844 Manual de Usuario de INES. Responsable de la carga de datos El acceso a la herramienta INES se realiza desde la parte privada del Portal del CCN-CERT y deben ser los responsables de la seguridad del organismo, o el personal delegado de su equipo de seguridad, los que completen los datos solicitados y a los que se les autorizará el acceso a su ficha, independientemente de que la organización subcontrate a terceros la recogida de datos. Más información: Curso online INES Documentación y vídeos Plataforma VANESA Guía CCN-STIC 824 Informe del Estado de Seguridad Guía CCN-STIC 844 Manual de Usuario de INES Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas --------------------- info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es -------------------- Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37 Descarga -------------------- ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece. Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a info@ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2019 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

CCN-CERT AV 32/18 Actualización de seguridad en Joomla!


	AVISOS

	Actualización de seguridad en Joomla! Fecha de publicación: 29/08/2018 Nivel de peligrosidad: Bajo El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de una actualización de seguridad que soluciona tres vulnerabilidades en el núcleo (core) del gestor de contenidos Joomla!. Vulnerabilidades Las vulnerabilidades detectadas son las siguientes: 1) CVE-2018-15880. La vulnerabilidad se produce como consecuencia de un filtrado de salida inadecuado en la página del perfil del usuario. Un atacante que explotase con éxito esta vulnerabilidad podría desencadenar un ataque del tipo cross-site scripting (XSS). 2) CVE-2018-15881. La vulnerabilidad se produce como consecuencia de un control inadecuado de los campos desactivados. Un atacante que explotase con éxito esta vulnerabilidad podría desencadenar una infracción en el listado de control de accesos (ACL). 3) CVE-2018-15882. La vulnerabilidad se produce como consecuencia de una comprobación inadecuada en la clase InputFilter. Un atacante que explotase con éxito esta vulnerabilidad podría cargar archivos PHAR especialmente diseñados en el sistema. Recursos afectados Recursos afectados por las vulnerabilidades CVE-2018-15880 y CVE-2018-15882: Versiones de Joomla! CMS desde la 1.5.0 hasta la 3.8.11. Recursos afectados por la vulnerabilidad CVE-2018-15881: Versiones de Joomla! CMS desde la 3.7.0 hasta la 3.8.11. Medidas de mitigación El CCN-CERT recomienda descargar las actualizaciones de seguridad que ha lanzado Joomla! que solucionan esta vulnerabilidad: Apache Struts 3.8.12 Referencias CVE-2018-15880 CVE-2018-15881 CVE-2018-15882 Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: info@ccn-cert.cni.es Síganos en: www.ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas --------------------- info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es -------------------- Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37 Descarga -------------------- ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece. Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a info@ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2018 Centro Criptológico Nacional, Argentona 30, 28023 MADRID