- CCN-CERT
- Gestió d'Incidents
- Red Nacional de SOC
- Formació
- Guies
- Index de Guies
- Sèries completas
- Guies sense suport
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 2000 Organismo de Certificación
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público
- Glossari de termes (CCN-STIC 401)
- Sèrie 800 (ENS)
- Últimes guies CCN-STIC
- Informes
- Solucions
- ENS
- Seguretat al dia
- Comunicació
- Comunicats CCN-CERT
- Jornades STIC
- Vídeo resum XI Jornades
- Vídeo resum X Jornades
- X Jornadas STIC CCN-CERT
- IX JORNADES DE SEGURETAT TIC DEL CCN-CERT
- I JORNADE STIC CCN-CERT
- II JORNADES DE SEGURETAT TIC DEL CCN-CERT
- III JORNADES DE SEGURETAT TIC DEL CNN-CERT
- IV JORNADE DE SEGURETAT TIC DEL CCN-CERT
- V JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VI JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VIII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- Vídeos
- Capacitats del CCN 2018-2019
- Aproximació espanyola a la ciberseguretat. CCN
- Vídeo compartir amenaces
- Vídeo desè aniversari
- Vídeo detecció i intercanvi
- Video presentació
- Centre Criptològic Nacional: 15 anys enfortint la ciberseguretat nacional
- Claus de el Centre Criptològic Nacional per a l'any 2020 en matèria de ciberseguretat
- Encuentro Sector Salud
- Informe d'Activitat del CCN
- Articles i reportatges
- Decàleg de Ciberseguretat
- Mes Europeo de la Ciberseguridad
- Registre
ÚLTIMA HORA
CURSOS CCN-STIC
XXXI Curso de Especialidades Criptológicas (CEC)
Del 25 de abril al 27 de mayo (Fase asíncrona: 125h.)
Del 30 de mayo al 17 de junio (Fase síncrona: 75h.)
III Curso Acreditación STIC Sistemas Operativos
Del 9 al 20 de mayo (Fase asíncrona: 25h.)
Del 23 al 27 de mayo (Fase síncrona: 25h.)
SÈRIES CCN-STIC
INFORMES
Informes de Codi maliciós (ID)
CCN-CERT ID-07/22 Raccoon StealerInformes d'Amenaces (IA)
CCN-CERT IA-13/21 Ciberamenazas y Tendencias. Edición 2021Informes de Bones Pràctiques (BP)
CCN-CERT BP/26 Recomendaciones de seguridad en Microsoft EdgeAVISOS I ALERTES
VULNERABILITATS
Vulnerabilidad:
CCN-CERT-2206-33542
The End-to-End Zero Trust Journey: How Did We Get ...
EMPRESES
Catàleg de serveis
Sistema de Alerta Temprana, SAT de Internet
Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet
Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.
Guies SCADA
Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...
Inici
Nueva Orleans declara "estado de emergencia" por ransomware
Nueva Orleans declaró el estado de emergencia y apagó sus computadoras después de un evento de seguridad relacionado con ransomware, el último de una serie de estados atacados por delincuentes.
Se detectó actividad sospechosa alrededor de las 5 a.m.del viernes por la mañana. A las 8 a.m., hubo un aumento en esa actividad, que incluyó evidencia de intentos de phishing y ransomware, dijo Kim LaGrue, jefe de TI de la ciudad en una conferencia de prensa. Una vez que la ciudad confirmó que estaba bajo ataque, los servidores y las computadoras se apagaron.
Si bien se detectó ransomware, no hay solicitudes hechas a la ciudad de Nueva Orleans en este momento, pero eso es en gran parte parte de nuestra investigación, dijo el alcalde de Nueva Orleans.
Numerosos gobiernos locales y estatales han estado plagados de ransomware, un malware de cifrado de archivos que exige dinero para la clave de descifrado. Pensacola, Florida y Jackson County, Georgia, son solo algunos ejemplos del flujo casi constante de ataques de ransomware durante el año pasado. El gobierno del estado de Louisiana fue atacado en noviembre, lo que provocó que los funcionarios desactivaran los sitios web del gobierno y otros servicios digitales y provocó que el gobernador declarara un estado de emergencia. Fue la segunda declaración del estado relacionada con un ataque de ransomware en menos de seis meses.
Los gobiernos y las autoridades locales son particularmente vulnerables, ya que a menudo carecen de fondos y recursos suficientes, y no pueden proteger sus sistemas de algunas de las principales amenazas.
Parece que Nueva Orleans estaba algo preparada, lo que los funcionarios dijeron que fue el resultado de la capacitación y su capacidad para operar sin Internet. La investigación se encuentra en sus primeras etapas, pero por ahora parece que los empleados de la ciudad no interactuaron ni proporcionaron credenciales o información a posibles atacantes, según los funcionarios.
"Si hay algo positivo acerca de ser una ciudad que ha sido afectada por desastres y esencialmente se ha reducido a cero en el pasado, es que nuestros planes y actividades desde una perspectiva de seguridad pública reflejan el hecho de que podemos operar con internet, sin ciudad redes", dijo Collin Arnold, director de Seguridad Nacional, y agregó que por ahora han vuelto a la pluma y el papel.
La policía, los bomberos y el EMS están preparados para trabajar fuera de la red de Internet de la ciudad. Las comunicaciones de emergencia no se ven afectadas por el incidente de seguridad cibernética, según los funcionarios de la ciudad. Sin embargo, otros servicios, como programar inspecciones de edificios, se manejan manualmente.
El Centro de Delitos en Tiempo Real de Nueva Orleans funciona fuera de la red de la ciudad, sin embargo, las cámaras de toda la ciudad graban de forma independiente, por lo que en este momento todas esas cámaras todavía están grabando independientemente de la conectividad a la red de la ciudad, agregó Arnold.
TechCrunch (14/12/2019)
Aprobado el Real Decreto-ley en materia de administración electrónica, contratación de las administraciones públicas y telecomunicaciones
- El Consejo de Ministros, celebrado el jueves 31 de octubre, aprobó el Real Decreto-ley por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público y telecomunicaciones.
El presente Real Decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones públicas; a los datos que obran en poder de las mismas; a la contratación pública; y al sector de las telecomunicaciones.
El texto incluye iniciativas sobre la documentación nacional de identidad, la identificación electrónica ante las administraciones, los datos que obran en poder de las mismas, la contratación pública y el sector de las telecomunicaciones. La norma, que refuerza la Ley de Seguridad Nacional, entrará en vigor el próximo martes, 5 de noviembre, tras su publicación en el Boletín Oficial del Estado.
La vicepresidenta del Gobierno, ministra de la Presidencia, Relaciones con las Cortes e Igualdad en funciones, Carmen Calvo, en la rueda de prensa posterior al Consejo de Ministros, defendió que la urgencia del procedimiento responde a la necesidad de reforzar la protección de los derechos y libertades de los ciudadanos y el "interés general del país en su totalidad demográfica y territorial".
Calvo argumentó que las medidas reguladas en el Real Decreto-ley afectan a siete ministerios, son proporcionadas y se han tomado de forma responsable: "En el ámbito digital ocurren cosas que, a veces, son irreparables. Por lo tanto, hay que reaccionar de manera inteligente, razonable y proporcional" ante las denominadas ciberamenazas.
Principales iniciativas
El Documento Nacional de Identidad, con carácter exclusivo y excluyente, será el único documento con valor suficiente para acreditar la identidad y los datos personales de su titular. Además, la vicepresidenta subrayó que los servidores con los que operan las administraciones públicas tendrán que estar en territorio de la Unión Europea y no en paraísos digitales. "Tenemos que conocer de dónde sale la información en este país, quiénes la manejan y con qué fines", dijo.
La vicepresidenta también explicó que se refuerza el acceso de los ciudadanos a la administración pública y la protección de sus datos personales. La norma, añadió, incluye medidas en materia de contratación pública para garantizar que los contratistas cumplan la normativa en materia de protección de datos y seguridad pública.
En el ámbito de las telecomunicaciones, Calvo resaltó que hay que identificar más y mejor las ciberamenazas y reaccionar ante el espionaje y la utilización incorrecta de datos en casos esenciales para el funcionamiento de una democracia, como los procesos electorales. Asimismo, recalcó que el Real Decreto-ley afecta a todas las administraciones públicas y a todas las comunidades autónomas.
Contenido
El Real Decreto-ley consta de un preámbulo y un texto artículo estructurado del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 a 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.
El capítulo I contempla medidas en materia de documentación nacional de identidad, dirigidas a configurar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.
El capítulo II establece varias medidas en materia de identificación electrónica ante las Administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones públicas. La finalidad de estas medidas es garantizar la seguridad pública a nivel tanto vertical en las relaciones entre las distintas Administraciones públicas cuando traten datos personales, así como a nivel horizontal entre ciudadanos y Administraciones públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en el ejercicio de una función pública.
El capítulo III regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.
Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario y urgente asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.
El capítulo IV regula varias medidas para reforzar la seguridad en materia de telecomunicaciones.
Finalmente, el capítulo V refuerza los deberes de cooperación de las administraciones en el ámbito de la ciberseguridad.
Presidencia del Gobierno (31-10-2019)
Código de buenas prácticas de desinformación, informes anuales de sus firmantes
La Comisión Europea ha publicado la primera autoevaluación anual de las compañías que firmaron el Código de Buenas Prácticas en Materia de Desinformación, con el fin de llevar a cabo una evaluación completa de la eficacia del Código, que se presentará a principios de 2020.
La Comisión ha recibido informes anuales de autoevaluación de las plataformas online y de las empresas tecnológicas Google, Facebook, Twitter, Microsoft y Mozilla, así como de asociaciones profesionales todas ellas firmantes del Código de buenas prácticas contra la desinformación, en los que se detallan las políticas, los procesos y las acciones emprendidas para cumplir sus respectivos compromisos durante su primer año de funcionamiento.
Según lo previsto en el Plan de Acción de diciembre de 2018, la Comisión está llevando a cabo su evaluación global de la eficacia del Código de Buenas Prácticas.
Además de las autoevaluaciones de los signatarios, la Comisión tendrá en cuenta:
- Aportaciones del Grupo de Reguladores Europeos para los Servicios de Comunicación Audiovisual (ERGA)
- Una evaluación de una organización externa seleccionada por los signatarios del Código.
- Una evaluación de un consultor independiente contratado por la Comisión.
- Un informe sobre las elecciones al Parlamento Europeo de 2019.
A partir de ahí, la Comisión presentará su evaluación global a principios de 2020. En caso de que los resultados del Código resulten insatisfactorios, la Comisión podrá proponer otras medidas, incluso de carácter reglamentario.
Comisión Europea (29/10/2019)
La AEPD publica una guía para facilitar la aplicación de la privacidad desde el diseño
- El documento aporta fórmulas para facilitar la incorporación de la privacidad y los principios de protección de datos desde el momento en el que comienzan a diseñarse sistemas, productos, servicios o procesos.
- La Guía está dirigida a responsables, así como a proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.
La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse. El documento está dirigido a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.
La guía se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercero analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo.
Por otra parte, se abordan las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, en el documento se dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.
Por último, la Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto.
Más información:
Agencia Española de Protección de Datos
CCN-CERT (17/10/2019)
Mapa web
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
