- CCN-CERT
- Gestió d'Incidents
- Red Nacional de SOC
- Formació
- Guies
- Index de Guies
- Sèries completas
- Guies sense suport
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 2000 Organismo de Certificación
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público
- Glossari de termes (CCN-STIC 401)
- Sèrie 800 (ENS)
- Últimes guies CCN-STIC
- Informes
- Solucions
- ENS
- Seguretat al dia
- Comunicació
- Comunicats CCN-CERT
- Jornades STIC
- Vídeo resum XI Jornades
- Vídeo resum X Jornades
- X Jornadas STIC CCN-CERT
- IX JORNADES DE SEGURETAT TIC DEL CCN-CERT
- I JORNADE STIC CCN-CERT
- II JORNADES DE SEGURETAT TIC DEL CCN-CERT
- III JORNADES DE SEGURETAT TIC DEL CNN-CERT
- IV JORNADE DE SEGURETAT TIC DEL CCN-CERT
- V JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VI JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VIII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- Vídeos
- Capacitats del CCN 2018-2019
- Aproximació espanyola a la ciberseguretat. CCN
- Vídeo compartir amenaces
- Vídeo desè aniversari
- Vídeo detecció i intercanvi
- Video presentació
- Centre Criptològic Nacional: 15 anys enfortint la ciberseguretat nacional
- Claus de el Centre Criptològic Nacional per a l'any 2020 en matèria de ciberseguretat
- Encuentro Sector Salud
- Informe d'Activitat del CCN
- Articles i reportatges
- Decàleg de Ciberseguretat
- Mes Europeo de la Ciberseguridad
- Registre
ÚLTIMA HORA
CURSOS CCN-STIC
XVIII Curso de Gestión de Seguridad de las Tecnologías de la Información y Comunicación y del Esquema Nacional de Seguridad (Gestión STIC)
Del 31 de octubre al 11 de noviembre (Fase asíncrona: 30h.)
Del 14 al 18 de noviembre, de 9:00 a 14:00 horas (Fase presencial: 25h.)
Del 21 al 25 de noviembre, de 9:00 a 14:00 horas (Fase síncrona: 25h.)
SÈRIES CCN-STIC
INFORMES
Informes de Codi maliciós (ID)
CCN-CERT ID-11/22 RansomEXX_Linux ransomwareInformes d'Amenaces (IA)
CCN-CERT IA-13/21 Ciberamenazas y Tendencias. Edición 2021Informes de Bones Pràctiques (BP)
CCN-CERT BP/27 Recomendaciones de seguridad en KubernetesAVISOS I ALERTES
VULNERABILITATS
Vulnerabilidad:
CCN-CERT-2212-33877
K83430580: SAMBA vulnerability CVE-2022-42898...
EMPRESES
Catàleg de serveis
Sistema de Alerta Temprana, SAT de Internet
Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet
Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.
Guies SCADA
Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...
Inici
Ciclo gratuito de conferencias sobre ciberseguridad
- Diversos expertos ofrecerán una serie de webinars sobre los niveles táctico/técnico, operacional/gerencial y estratégico/directivo de la ciberdefensa.
- Estas conferencias, que darán comienzo el próximo 3 de octubre y están organizadas por la empresa DarFe, constarán de cuatro sesiones online y la participación será libre, previa inscripción.
El próximo 3 de octubre da comienzo un ciclo gratuito de conferencias sobre ciberseguridad. Concretamente, se tratará de un total de cuatro mesas redondas sobre ciberdefensa ofrecidas en modalidad online. Para disfrutar de este ciclo, organizado por la empresa DarFe bajo el título de “Ciberdefensa: ¿Cómo enfrentar este nuevo dominio militar?”, será necesario inscribirse previamente.
El objetivo de estos webinars es que diversos especialistas, tanto del ámbito militar como privado, presenten el tema de la ciberdefensa desde diversos niveles, dando lugar a debates. Con ello se espera obtener interesantes conclusiones que contribuyan con el acervo de conocimientos necesarios en esta materia y a extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes, combinando conceptos operacionales con herramientas técnicas.
Las cuatro sesiones que conforman este ciclo son las siguientes:
- Nivel Táctico/Técnico (03 de octubre de 2019 a las 19 hs de España)
- Nivel Operacional/Gerencial (10 de octubre de 2019 a las 19 hs de España)
- Nivel Estratégico/Directivo (17 de octubre de 2019 a las 19 hs de España)
- Conclusiones finales (24 de octubre de 2019 a las 19 hs de España)
Inscripciones:
ENAC publica los criterios y proceso de acreditación para la certificación de la Conformidad con el ENS
- El objetivo de esta publicación es servir de complemento al proceso de acreditación establecido en el PAC-ENAC
- El documento se ha elaborado con la colaboración con el Centro Criptológico Nacional (CCN) y la Secretaría de Estado de Función Pública.
La Entidad Nacional de Acreditación (ENAC) ha publicado un nuevo documento relacionado con el Esquema Nacional de Seguridad, ENS. Dicha publicación, ‘Criterios y proceso de acreditación específico para la certificación de la Conformidad con el Esquema Nacional de Seguridad (ENS)’, ha sido elaborada con la colaboración del Centro Criptológico Nacional (CCN) y de la Secretaría de Estado de Función Pública.
Con el objetivo de servir como complemento al proceso de acreditación establecido en el PAC-ENAC, en el que se detallan todos los pasos a seguir, se señalan aquellos documentos en los que se establecen los requisitos que han de cumplir las entidades.
Entre estos se encuentra la Guía de Seguridad CCN-STIC ‘ENS: Criterios adicionales de Auditoría y Certificación’, publicada el pasado mes de junio. Asimismo, se incluyen las siguientes Normas y Resoluciones:
- Norma UNE EN ISO/IEC 17065
- Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
- Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
Por último, el documento de la ENAC destaca las guías de aplicación publicadas por el CCN y que deben ser seguidas por las entidades de certificación en sus aspectos relevantes.
ENAC
Millones de teléfonos de usuarios de Facebook aparecen en una base de datos abierta en Internet
- La red social admite que esa información podía extraerse fácilmente de la aplicación antes de abril de 2018.
- El documento incluía el número público del identificador personal de Facebook y el número de teléfono.
Facebook ha confirmado que 419 millones de números de teléfono de sus usuarios han sido encontrados en una base de datos sin contraseña en Internet. El documento incluía solo dos datos: el número público del identificador personal de Facebook, que es sencillo de enlazar con el nombre del usuario, y el número de teléfono.
La web tecnológica Techcrunch ha publicado el hallazgo gracias a una información de Sanyam Jain, investigador de la Fundación GDI. Jain no fue capaz de encontrar al dueño de la base de datos que estaba sin proteger con contraseña y contactó con Techcrunch para evitar que los datos siguieran disponibles. Cuando Techcrunch llamó al host de la base de datos, esta fue retirada.
Según la Fundación GDI, el mayor grupo de números de teléfono afectados por esta filtración son 131 millones de estadounidenses, seguido de 50 millones de vietnamitas y 18 millones de británicos. Por su parte, Facebook ha admitido que esos datos proceden de su aplicación: "Esta base de datos es vieja y parece tener información obtenida antes de los cambios que hicimos el año pasado para retirar la opción de que la gente encontrara a otros a través de sus números de teléfono. La base de datos ha sido retirada y no vemos ninguna evidencia de que haya sido comprometida ninguna cuenta de Facebook".
La gravedad de estas filtraciones no es solo que se "comprometa una cuenta de Facebook", como dice la compañía en su comunicado. La revelación de información personal de usuarios permite ataques refinados como el duplicado de tarjeta sim (o sim swapping) u otros de ingeniería social.
Más información:
Techcrunch (04/09/19)
El País (05/09/19)
La compañía de cosméticos Yves Rocher sufre una brecha de seguridad
- La información de millones de clientes se ha visto expuesta.
- También se filtraron métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos de la firma francesa.
La compañía de cosméticos francesa Yves Rocher ha sufrido una brecha de seguridad que ha expuesto información de millones de clientes y de algunas de las operaciones de la propia empresa.
El incidente se ha debido a la falta de protección de la base de datos de un servicio de terceros. Concretamente, la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste.
Entre los datos expuestos durante el incidente se encuentran nombres completos de los clientes, sus números de teléfono, direcciones de correo electrónico, así como sus fechas de nacimiento. En cuanto a la información de la compañía, la brecha expuso algunas métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos.
Esta no es la primera ocasión en la que una compañía de cosméticos sufre un incidente similar. Hace algunas semanas, miles de clientes de la compañía francesa Sephora comenzaron a recibir una notificación de la empresa, informando que se filtró una gran cantidad de información de una de las bases de datos de la compañía. Sephora solicitó a los clientes restablecer sus contraseñas, además de ofrecer servicios de monitoreo de información para prevenir un uso malicioso de los datos filtrados.
Más información:
Noticias de Seguridad Informática (04/09/19)
Threat Post (03/09/19)
Mapa web
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
