Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola
Política de cookies
barra de nivel de alerta

nivel de alerta

TIC News

  • · Click here to order by Category


  • Las vulnerabilidades en sistemas operativos marcan el inicio de 2015

    Thursday, 05 February 2015 13:33
    El año 2015 ha comenzado con los coletazos de los ataques realizados durante las fechas navideñas a los servicios online de PlayStation Network de Sony y Xbox Live de Microsoft y que dejó a millones de personas sin poder utilizarlos durante las vacaciones de Navidad. Este hecho causó una gran indignación entre todos aquellos usuarios que pagan religiosamente sus cuotas para poder disfrutar de esos servicios precisamente en fechas en las que se dispone de abundante tiempo libre.

    Los ataques fueron atribuidos al grupo Lizard Squad, uno de los más activos actualmente cuando se trata de realizar ataques de denegación de servicio distribuido o filtración de información confidencial. Estas actividades delictivas les hicieron ganar renombre y la atención de Fuerzas y Cuerpos de Seguridad de varios países, por lo que se realizaron varias operaciones en busca de los responsables del grupo, que terminaron con la detención de alguno de sus miembros.

    Curiosamente, muchas de las amenazas parecían estar diseñadas para hacer publicidad de su servicio de ataques DDoS, servicio que alquilaban por un precio a quien estuviese dispuesto a pagarlo. El cómo un grupo de jóvenes delincuentes fue capaz de poner contra las cuerdas a los servicios online de dos gigantes como Sony y Microsoft se descubrió cuando se supo que estaban usando miles de routers caseros comprometidos y que se encontraban protegidos únicamente por usuarios y contraseñas por defecto y conocidas.

    Vulnerabilidades en sistemas operativos

    En enero, el laboratorio de ESET también observó vulnerabilidades para todo tipo de sistemas, muchas de ellas reveladas por el proyecto Project Zero de Google. Durante todo el mes, especialistas de Google fueron publicando vulnerabilidades en varios sistemas operativos, publicaciones que no estuvieron exentas de polémica debido a la peligrosidad de alguna de las vulnerabilidades reveladas, y al, según algunos, poco tiempo ofrecido para solucionarlas (90 días).

    Empezando por Windows, durante enero se publicaron varias vulnerabilidades de diferente criticidad, algunas de las cuales fueron solucionadas en las actualizaciones periódicas que publica Microsoft cada mes. Precisamente, estas actualizaciones trajeron importantes cambios a la hora de consultar los boletines de seguridad y además nos dejó el fin del soporte técnico principal para Windows 7, el sistema de Microsoft más usado en la actualidad con alrededor del 50% de cuota de mercado cuando hablamos de sistemas Windows.

    En lo que respecta a Mac OS, Google también publicó tres vulnerabilidades para el sistema de Apple. Estas vulnerabilidades permitirían ejecutar código pero necesitan de acceso físico al sistema vulnerable, lo que mitiga su criticidad. La política de revelación de vulnerabilidades de Google también fue criticada en este caso, aunque desde la empresa se asegura que el plazo dado a los fabricantes es más que suficiente.

    Paradójicamente, Google tuvo que lanzar la versión 40 de su popular navegador Chrome para solucionar un total de 62 fallos de seguridad repartidos en 26 vulnerabilidades, de las cuales 17 fueron catalogadas como de alta importancia. El descubrimiento de alguna de estas vulnerabilidades fue realizado por investigadores ajenos a Google, pero que participaron en el programa de recompensas de esta empresa y recibieron dinero a cambio de informar sobre estos fallos de seguridad.

    Linux tampoco se libró en enero de ver cómo una grave vulnerabilidad presente durante más de 15 años era publicada para muchas de las distribuciones más conocidas. Esta vulnerabilidad, bautizada como GHOST, permitiría a un atacante tomar remotamente el control de un sistema sin conocer las credenciales de acceso. A pesar de afectar a muchas de las distribuciones de Linux más utilizadas, el parche se publicó a las pocas horas de hacerse este anuncio. Sin embargo, el peligro se encuentra en los millones de dispositivos pertenecientes al Internet de las cosas que utilizan alguna de las distribuciones vulnerables y que no serán actualizados.

    Precisamente, durante el mes pasado conocimos como un dispositivo aparentemente tan inofensivo como un cargador conectado a una toma de corriente puede ser utilizado para registrar las pulsaciones de ciertos modelos de teclados Microsoft. Esta prueba de concepto desarrollada por un investigador independiente demostró que, usando materiales muy baratos, se podrían espiar comunicaciones utilizando un dispositivo que apenas levanta sospechas.

    Ransomware con especial incidencia en España

    En lo que respecta al malware, durante enero vivimos una nueva oleada de infecciones por ransomware. Esta molesta amenaza que cifra los archivos almacenados en el sistema y pide el pago de un rescate para recuperarlos lleva meses causando problemas por todo el mundo. En esta ocasión, la variante CTB-Locker fue la responsable de miles de infecciones en España y otros países.

    Apareció primero a mediados de mes con el mensaje anunciando el cifrado de los ficheros y las instrucciones para descifrarlo en inglés para, tan sólo una semana después, contar con una versión en español. La forma de propagación utilizada era mediante ficheros adjuntos a correos electrónicos que decían contener un fax importante o una factura de una compañía de aguas y que consiguió que muchos usuarios desprevenidos lo ejecutasen e infectasen sus sistemas.

    También por correo electrónico venía una de las amenazas analizadas en el laboratorio de ESET durante el pasado mes. Se trataba de una falsa actualización de Outlook que redirigía al usuario a un supuesto reproductor de medios online y que, a su vez, intentaba que descargásemos una versión de la conocida aplicación VLC cargada de adware.

    WhatsApp Plus en el punto de mira

    En lo que respecta a redes sociales y servicios de mensajería, sin duda WhatsApp ha tenido un mes de enero movido. Primero por el bloqueo y posterior cierre de la conocida aplicación no oficial WhatsApp Plus, que dejó a miles de usuarios sin servicio durante 24 horas y que después fue obligada a dejar de funcionar.

    Otra de las novedades lanzadas por WhatsApp fue el lanzamiento de su esperada aplicación web, con la que se permite mantener conversaciones con nuestros contactos desde el navegador de nuestro ordenador de sobremesa o portátil. Sin embargo, esta aplicación aún debe mejorar su seguridad y privacidad puesto que, al poco tiempo de ser lanzada, se descubrieron dos fallos que permitían observar las fotos de los contactos a pesar de haberlos eliminado y ver también aquellas fotografías recibidas o enviadas y posteriormente eliminadas.

    A finales de mes se descubría una nueva amenaza que se propagaba por Facebook. A diferencia de casos anteriores, ésta no enviaba mensajes a los contactos de la víctima infectada, sino que colgaba un vídeo pornográfico y etiquetaba a un número de sus contactos en esa publicación. El vídeo solicitaba la descarga de una supuesta actualización de Flash Player, actualización que en realidad se trataba de un troyano con funciones de keylogger.

    Blog Protegerse.com (4-02-2015)

    Más información

     

    EEUU destinará 14.000 millones de dólares a ciberseguridad

    Wednesday, 04 February 2015 17:10
    El presidente estadounidense Barack Obama ha propuesto destinar un presupuesto de 14.000 millones de dólares en 2016 a tareas y sistemas de ciberseguridad, con el fin de combatir a los hackers de todo el mundo y proteger las redes privadas y federales de los ciberatacantes.

    "Las amenazas cibernéticas dirigidas al sector privado, las infraestructuras críticas y el gobierno federal demuestran que ningún sector, red o sistema es inmune a la infiltración de los que tratan de robar secretos y propiedades comerciales o gubernamentales, o perpetrar actividades maliciosas y perjudiciales", advierte la Casa Blanca en su propuesta.

    La proposición persigue una mejor detección de los intrusos y el aumento de las capacidades de prevención, entre otros aspectos. Plantea la financiación con 227 millones de dólares del llamado Civilian Cyber Campus, donde trabajen juntos los sectores público y privado, o 160 millones para el programa de tecnología de la información y seguridad cibernética.

    El aumento de fondos para la protección de las redes informáticas del gobierno sería una buena noticia para los grandes fabricantes de armas, como Lockheed Martin, General Dynamics, Northrop Grumman y Raytheon, que ya desempeñan un papel importante en la seguridad cibernética, el cifrado y el análisis en las agencias de defensa e inteligencia.

    Habrá que ver, eso sí, cómo reaccionará el Congreso, controlado por los republicanos, a la propuesta, ni qué cantidad de fondos estará dispuesto a dedicar a los esfuerzos de ciberseguridad durante el próximo año.

    Reuters (2-2-2015)

    Más información

     

    Proyecto de modificación del ENS

    Monday, 02 February 2015 17:24

    Se encuentra abierto el plazo, hasta el lunes que viene, 9 de febrero, para remitir comentarios al proyecto de modificación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

    El Esquema Nacional de Seguridad , establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, y regulado por el Real Decreto 3/2010, de 8 de enero, se ha sometido a una minuciosa revisión a la luz de la experiencia adquirida en su implantación; de las contribuciones procedentes del seguimiento del progreso de la adecuación al mismo y del informe del estado de la seguridad previsto en su artículo 35; de la evolución de la tecnología y de las ciberamenazas; y del contexto regulatorio europeo, especialmente por motivo del Reglamento nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza con el apoyo de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

    El proyecto de modificación del Esquema Nacional de Seguridad (Abre en nueva ventana) es el resultado de un trabajo coordinado por el Ministerio de Hacienda y Administraciones Públicas, en estrecha colaboración con el Centro Criptológico Nacional (CCN), con la participación de todas las Administraciones Públicas (AGE, CC.AA., EE.LL.) incluyendo las Universidades públicas (CRUE), a través de los órganos colegiados con competencias en materia de administración electrónica y TIC y sus grupos de trabajo.

    Pueden dirigir sus comentarios a la dirección: This e-mail address is being protected from spambots. You need JavaScript enabled to view it

    Portal Administración Electrónica (26-01-2014)

    Más información

     

    Día europeo de la Protección de Datos

    Thursday, 29 January 2015 18:28

    Este jueves, 28 de enero, se ha celebrado el día de la Protección de Datos en Europa, una jornada importante para la comunidad de ciberseguridad, impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

    La creación del Día de la Protección de Datos se remonta a 2006, año en que el Comité de Ministros del Consejo de Europa estableció el 28 de enero como efeméride para festejar el Día de la Protección de Datos en Europa, en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa.

    También ha celebrado una jornada en Madrid sobre tratamiento masivo de información a la que han asistido investigadores, expertos y autoridades europeas.

    La jornada conmemorativa ha sido inaugurada por el director de la agencia, José Luis Rodríguez Álvarez, y ha estado centrada en el "Big Data" y en la "Internet de las Cosas", y en la capacidad de analizar en tiempo real y proteger la información de los 50.000 millones de dispositivos conectados que se prevén para 2020.

    El director de la AEPD también ha hablado del binomio privacidad-seguridad, un tema de plena actualidad tras los ataques terroristas como la masacre de Charlie Hebdo, la revelación de los programas de vigilancia masiva sin control judicial de agencias gubernamentales como la NSA, o el tratamiento comercial que de nuestros datos hacen las compañías de Internet.

    A nivel empresarial, los expertos han coincidido en el riesgo para la privacidad personal que implica tanta información disponible para cualquiera en el caso de que sea utilizada de forma perniciosa y no sólo con fines comerciales. Por otro lado, cumplir con la obligación ética y legal (cada vez más exigente) de protección de datos es un reto que aumentará cada vez más especialmente en las PYMES

    En resumen, un Día Europeo de la Protección de Datos muy interesante en el que la AEPD ha presentado 10 vídeos didácticos en formato de videotutoriales en los que se explica cómo configurar las opciones de privacidad de los navegadores y redes sociales más comunes: Chrome, Internet Explorer, Firefox, Opera, Safari, Facebook, Twitter, Tuenti, Google+, además de los sistemas operativos móviles iOS y Android.

    Conseguir la necesaria seguridad pero respetando el derecho a la privacidad de los ciudadanos va a ser sin duda un reto enorme. Proporción y equilibrio serán la clave.

    Muy Seguridad (28-01-2015)

    AEPD

     

     

     

    Jornadas de Seguridad y Defensa en la Universidad de Alcalá

    Monday, 26 January 2015 12:32

    El 29 y 30 de enero tendrá lugar en la Universidad de Alcalá de Henares (Madrid), las II Jornadas de Seguridad y Ciberdefensa organizadas por el grupo de Ingeniería de Servicios Telemáticos del Departamento de Automática, la Cátedra Amaranto de Seguridad Digital e Internet del Futuro y las Delegaciones de Estudiantes de la Escuela Politécnica Superior. En esta jornada, destacados expertos del sector de la seguridad informática y telemática son los principales desafíos para la ciberdefensa nacional y algunos de los retos tecnológicos y organizativos más importantes en el ámbito de la seguridad en las redes.

    Estas jornadas tienen un objetivo doble; por un lado, estimular el debate sobre estos temas, cada vez más presentes en la actualidad; por otro, divulgaruna selección de los trabajos más relevantes que se han realizado en estas materias recientemente.

    La concienciación de usuarios, empresas y administraciones es un aspecto clave en este ámbito y para ello es indispensable conocer tanto las principales amenazas a las que nos enfrentamos como las herramientas disponibles en el estado del arte para protegernos.

    Junto con la participación de estos expertos, también se ha programado una sesión en la que miembros de la comunidad estudiantil expondrán algunas de las investigaciones que han realizado sobre estos temas.

    La principal novedad de esta segunda edición está en la creación de los Talleres CIBERSEG. Estos talleres, que se celebrarán el viernes día 30 de Enero en los laboratorios de la Escuela Politécnica, están orientados a proporcionar una formación práctica e interactiva a aquellos estudiantes e interesados en estos temas. Para ello contamos con la colaboración desinteresada de expertos y profesionales tanto de la Universidad de Alcalá como empresas punteras nacionales e internacionales.

    La asistencia a estas jornadas está abierta a todo el mundo y es gratuita.

    Universidad de Alcalá de Henares (enero 2015)

    Más información

    .

     

    Page 4 of 381
    Legal Warning - Contact - Web map - Accesibility Statement - Política de cookies
    © 2015 Centro Criptológico Nacional - C/Argentona 20, 28023 MADRID