- CCN-CERT
- Gestió d'Incidents
- Red Nacional de SOC
- Formació
- Guies
- Index de Guies
- Sèries completas
- Guies sense suport
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 2000 Organismo de Certificación
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público
- Glossari de termes (CCN-STIC 401)
- Sèrie 800 (ENS)
- Últimes guies CCN-STIC
- Informes
- Solucions
- ENS
- Seguretat al dia
- Comunicació
- Comunicats CCN-CERT
- Jornades STIC
- Vídeo resum XI Jornades
- Vídeo resum X Jornades
- X Jornadas STIC CCN-CERT
- IX JORNADES DE SEGURETAT TIC DEL CCN-CERT
- I JORNADE STIC CCN-CERT
- II JORNADES DE SEGURETAT TIC DEL CCN-CERT
- III JORNADES DE SEGURETAT TIC DEL CNN-CERT
- IV JORNADE DE SEGURETAT TIC DEL CCN-CERT
- V JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VI JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- VIII JORNADES DE SEGURETAT TIC DEL CCN-CERT
- Vídeos
- Capacitats del CCN 2018-2019
- Aproximació espanyola a la ciberseguretat. CCN
- Vídeo compartir amenaces
- Vídeo desè aniversari
- Vídeo detecció i intercanvi
- Video presentació
- Centre Criptològic Nacional: 15 anys enfortint la ciberseguretat nacional
- Claus de el Centre Criptològic Nacional per a l'any 2020 en matèria de ciberseguretat
- Encuentro Sector Salud
- Informe d'Activitat del CCN
- Articles i reportatges
- Decàleg de Ciberseguretat
- Mes Europeo de la Ciberseguridad
- Registre
CURSOS CCN-STIC
I Hoja de Ruta en Ciberseguridad
Del 9 de enero al 30 de junio (Fase asíncrona: 120 h. - Fase síncrona: 60 h.)
XX Curso de Seguridad de las Tecnologías de la Información y las Comunicaciones (STIC)
Del 16 al 27 de enero (Fase asíncrona: 50 h.)
Del 30 de enero al 3 de febrero (Fase presencial: 25 h.)
Del 6 al 10 de febrero (Fase síncrona: 25 h.)
SÈRIES CCN-STIC
INFORMES
Informes de Codi maliciós (ID)
CCN-CERT ID-12/22 Quantum RansomwareInformes d'Amenaces (IA)
CCN-CERT IA-13/21 Ciberamenazas y Tendencias. Edición 2021Informes de Bones Pràctiques (BP)
CCN-CERT BP/28 Recomendaciones sobre Desarrollo SeguroAVISOS I ALERTES
VULNERABILITATS
Vulnerabilidad:
CCN-CERT-2304-34117
Investigating 3CX Desktop Application Attacks: Wha...
EMPRESES
Catàleg de serveis
Sistema de Alerta Temprana, SAT de Internet
Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet
Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.
Guies SCADA
Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...
Inici
Un mismo 'ransomware' ataca a 23 agencias gubernamentales de Texas
- Varios archivos de las instituciones quedaron encriptados.
- Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE'.
Al menos 23 agencias gubernamentales de Texas (Estados Unidos) sufrieron un ataque de 'ransomware' conjunto el pasado viernes por el que varios archivos de las instituciones quedaron encriptados y que es responsabilidad de un archivo con extensión '.JSE', y el Department of Information Resources, DIR (Departamento de recursos de información, en inglés) está liderando una respuesta a este ciberataque masivo.
El 16 de agosto más de 20 agencias estatales de Texas comunicaron que habían sufrido un ataque de ransomware. Según varios comunicados de la DIR, la mayoría de estas entidades eran pequeñas y locales y los sistemas y redes del estado de Texas no se han visto afectados.
La División de Manejo de Emergencias de Texas está coordinando el apoyo ofrecido por las agencias estatales a través del Centro de Operaciones del Estado de Texas. Aún no se ha localizado el origen de los ataques y sigue bajo investigación, pero según el DIR, "la evidencia existente indica que los ataques provienen de un solo actor".
Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE', que encriptó los archivos de las agencias afectadas. Este 'malware', advertido por primera vez hace un año, no muestra ninguna nota ni solicita rescate alguno, como resulta frecuente en los 'ransomware'.
Además, la DIR ha informado que parece que todos los sistemas que se han visto afectados han sido identificados y notificados y varias agencias están ya colaborando con ellas y la DIR, para volver a establecer los sistemas.
Europapress (19/08/2019)
Hackeada la aerolínea Air New Zealand
- Alrededor de 112.000 personas se han visto afectadas.
- La aerolínea neozelandesa Air New Zealand ha sufrido un ataque de phishing que ha expuesto los datos personales del 3,5 % de los miembros de su programa Airpoints.
La aerolínea neozelandesa Air New Zealand ha sufrido un ciberataque que podría haber comprometido los datos personales de 112.000 miembros (un 3 %) de los miembros de su programa Airpoints, a través del cual los usuarios frecuentes reciben una serie de beneficios.
La compañía avisó el pasado viernes de esta violación de datos. Hasta el momento, la información concreta que podría estar en peligro se desconoce. Sin embargo, entre los datos ofrecidos por los miembros de Airpoints se encuentra el domicilio, teléfonos de contacto, puesto de trabajo y empresa, datos bancarios, número de pasaporte, etc.
La aerolínea aseguró que este problema se ha derivado de un ataque de phishing a dos cuentas del personal de la compañía, a través del cual los delincuentes habrían podido acceder a los perfiles de los miembros y, por tanto, a la información que estos facilitan.
Las cuentas de dichos profesionales ya han sido protegidas y desde Air New Zealand afirman estar llevando a cabo una investigación exhaustiva para conocer cómo se produjo la violación de datos.
STUFF (09/08/2019)
Cómo garantizar la ciberseguridad en todos los sistemas de almacenamiento energético
La creciente digitalización de la red eléctrica ha provocado que el sector de la energía incremente su interés en la ciberseguridad con el objetivo de hacer frente a las cada vez mayores posibles amenazas informáticas ejecutadas por hackers.
La vulnerabilidad de los sistemas de almacenamiento energético, como las baterías o los vehículos eléctricos, pueden poner en riesgo la fiabilidad de los mismos. Por ello, la ciberseguridad se ha convertido en un eslabón más en la infraestructura de mantenimiento del sistema energético, no sólo a nivel de la red eléctrica, sino también en los sistemas interconectados e interdependientes de gas natural, agua, comunicaciones o en la distribución de combustible.
El proyecto CAdeNAT (Ciberseguridad en comunicaciones con Activos de Nuevas aplicaciones de Almacenamiento energético para servicios Terciarios) que investiga el ITE (Instituto Tecnológico de la Energía), centro de referencia en la C. Valenciana, con el apoyo del IVACE, Instituto Valenciano de Competitividad Empresarial de la Generalitat Valenciana, se centra específicamente en investigar los mecanismos actuales de ciberseguridad en el almacenamiento estático (en forma de baterías) y dinámico (en vehículos eléctricos (VE)) y desarrollar sistemas de detección de intrusos y de restauración del sistema para hacer fiables y seguros los sistemas de almacenamiento energético.
A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.
Objetivo: desarrollar sistemas ciberseguros
A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.
La actual vulnerabilidad de las estaciones de recarga unida otro tipo de limitaciones como es la falta de un sistema de pagos instantáneos seguro que permita al usuario del vehículo hacer uso de cualquier estación de recarga suponen dos barreras significantes a la adopción masiva del vehículo eléctrico.
El proyecto CAdeNAT tiene como objetivo desarrollar sistemas ciberseguros en todos los procesos que intervienen en la recarga de un vehículo eléctrico, desde la interacción del usuario con la estación de recarga, pasando por la estación de recarga, las comunicaciones con el gestor o proveedor de estaciones de recarga y el pago seguro de cada recarga realizada. Para lograrlo se está desarrollando un sistema de detección de intrusos y restauración del sistema que monitoriza y detecta cualquier tipo de intrusión siendo capaz de actuar con el fin de garantizar la seguridad del usuario y la estabilidad en la red eléctrica.
Adicionalmente la tecnología Blockchain es integrada para realizar los pagos instantáneos en la recarga del vehículo eléctrico, utilizando plataformas que permitan conocer al usuario (Know Your Costumer (KYC)) de manera que el proveedor de estaciones de recarga y el usuario conozcan la trazabilidad de todas las recargas realizadas, conociendo que usuario realizó una recarga, cuánto tiempo tarda la recarga y la energía consumida en cada recarga.
EnergyNews (07/08/2019)
IoT corporativo, un camino hacia la intrusión
Varias fuentes estiman que para el año 2020 se desplegarán unos 50 mil millones de dispositivos IoT en todo el mundo. Los dispositivos IoT están diseñados a propósito para conectarse a una red y muchos simplemente están conectados a Internet con poca administración o supervisión. Dichos dispositivos aún deben ser identificables, mantenidos y monitoreados por equipos de seguridad, especialmente en grandes empresas complejas. Algunos dispositivos IoT pueden incluso comunicar la telemetría básica al fabricante del dispositivo o tener medios para recibir actualizaciones de software. Sin embargo, en la mayoría de los casos, el centro de operaciones de TI de los clientes no sabe que existen en la red.
En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.
En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.
También hubo múltiples informes de prensa de ciberataques en varios dispositivos durante las ceremonias de apertura de los Juegos Olímpicos de 2018 en PyeongChang. Los funcionarios confirmaron unos días después que fueron víctimas de ataques maliciosos que impidieron a los asistentes imprimir sus boletos para los Juegos y las televisiones y el acceso a Internet en el centro de prensa principal simplemente dejaron de funcionar.
Tres dispositivos de IoT
En abril, investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft descubrieron la infraestructura de un adversario conocido como STRONTIUM que se comunicaba con varios dispositivos externos. Investigaciones posteriores descubrieron intentos para comprometer dispositivos IoT populares (un teléfono VOIP, una impresora de oficina y un decodificador de video) en múltiples ubicaciones de clientes. La investigación descubrió que un atacante había usado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en tercera instancia, la última actualización de seguridad no se había aplicado al dispositivo.
Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.
También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).
Strontium / Fancy Bear / APT28
En los últimos doce meses, Microsoft ha entregado cerca de 1.400 notificaciones de estado-nación a aquellos que han sido atacados o comprometidos por Strontium / Fancy Bear / APT28. Una de cada cinco notificaciones de actividad de Strontium estaba vinculada a ataques contra organizaciones no gubernamentales, grupos de expertos u organizaciones políticamente afiliadas en todo el mundo. El 80% restante de los ataques de Strontium se han dirigido principalmente a organizaciones en los siguientes sectores: gobierno, informática, militar, defensa, medicina, educación e ingeniería. También se ha observado y notificado los ataques de Strontium contra los comités organizadores olímpicos, las agencias antidopaje y la industria hotelera.
Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.
Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.
Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".
Recomendaciones para asegurar IoT
Hay pasos adicionales que una organización puede tomar para proteger su infraestructura y red de actividades similares. Microsoft recomienda las siguientes acciones para proteger y administrar mejor el riesgo asociado con los dispositivos IoT:
- Se requiere aprobación y catalogación de cualquier dispositivo IoT que se ejecute en su entorno corporativo.
- Desarrollar una política de seguridad personalizada para cada dispositivo IoT.
- Evitar exponer dispositivos IoT directamente a Internet o cree controles de acceso personalizados para limitar la exposición.
- Usar una red separada para dispositivos IoT si es posible.
- Realizar auditorías de configuración / parches de rutina contra dispositivos IoT implementados.
- Definir políticas para el aislamiento de dispositivos IoT, la preservación de los datos del dispositivo, la capacidad de mantener registros del tráfico del dispositivo y la captura de imágenes del dispositivo para la investigación forense.
- Incluir las debilidades de configuración del dispositivo IoT o los escenarios de intrusión basados en IoT como parte de las pruebas de Red Team.
- Supervisar la actividad del dispositivo IoT en busca de un comportamiento anormal (por ejemplo, una impresora que navega por sitios de SharePoint ...)
- Auditar las identidades y credenciales que tienen acceso autorizado a dispositivos, usuarios y procesos de IoT.
- Centralizar la gestión de activos / configuración / parches si es posible.
- Si los dispositivos son implementados / administrados por un tercero, se debe incluir Términos explícitos en sus contratos que detallen las prácticas de seguridad a seguir y las Auditorías que informan el estado de seguridad y el estado de todos los dispositivos administrados.
- Siempre que sea posible, definir los Términos de SLA en los contratos de proveedores de dispositivos IoT que establezcan una ventana mutuamente aceptable para la respuesta de investigación y el análisis forense a cualquier compromiso relacionado con su producto.
Este caso es uno de varios ejemplos que Eric Doerr presentará en Black Hat, el 8 de agosto de 2019, donde Microsoft está pidiendo una mayor transparencia de la industria para garantizar que los defensores estén mejor equipados para responder a las amenazas de adversarios con recursos suficientes.
Microsoft Security Response Center (05/08/2019)
Mapa web
© 2023 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
