ccn-cert

• Varios archivos de las instituciones quedaron encriptados.
• Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE'. 

Al menos 23 agencias gubernamentales de Texas (Estados Unidos) sufrieron un ataque de 'ransomware' conjunto el pasado viernes por el que varios archivos de las instituciones quedaron encriptados y que es responsabilidad de un archivo con extensión '.JSE', y el Department of Information Resources, DIR (Departamento de recursos de información, en inglés) está liderando una respuesta a este ciberataque masivo.

El 16 de agosto más de 20 agencias estatales de Texas comunicaron que habían sufrido un ataque de ransomware. Según varios comunicados de la DIR, la mayoría de estas entidades eran pequeñas y locales y los sistemas y redes del estado de Texas no se han visto afectados.

La División de Manejo de Emergencias de Texas está coordinando el apoyo ofrecido por las agencias estatales a través del Centro de Operaciones del Estado de Texas. Aún no se ha localizado el origen de los ataques y sigue bajo investigación, pero según el DIR, "la evidencia existente indica que los ataques provienen de un solo actor".

Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE', que encriptó los archivos de las agencias afectadas. Este 'malware', advertido por primera vez hace un año, no muestra ninguna nota ni solicita rescate alguno, como resulta frecuente en los 'ransomware'.

Además, la DIR ha informado que parece que todos los sistemas que se han visto afectados han sido identificados y notificados y varias agencias están ya colaborando con ellas y la DIR, para volver a establecer los sistemas.

Europapress (19/08/2019)

Más información

• Alrededor de 112.000 personas se han visto afectadas.
• La aerolínea neozelandesa Air New Zealand ha sufrido un ataque de phishing que ha expuesto los datos personales del 3,5 % de los miembros de su programa Airpoints.

La aerolínea neozelandesa Air New Zealand ha sufrido un ciberataque que podría haber comprometido los datos personales de 112.000 miembros (un 3 %) de los miembros de su programa Airpoints, a través del cual los usuarios frecuentes reciben una serie de beneficios.

La compañía avisó el pasado viernes de esta violación de datos. Hasta el momento, la información concreta que podría estar en peligro se desconoce. Sin embargo, entre los datos ofrecidos por los miembros de Airpoints se encuentra el domicilio, teléfonos de contacto, puesto de trabajo y empresa, datos bancarios, número de pasaporte, etc.

La aerolínea aseguró que este problema se ha derivado de un ataque de phishing a dos cuentas del personal de la compañía, a través del cual los delincuentes habrían podido acceder a los perfiles de los miembros y, por tanto, a la información que estos facilitan.

Las cuentas de dichos profesionales ya han sido protegidas y desde Air New Zealand afirman estar llevando a cabo una investigación exhaustiva para conocer cómo se produjo la violación de datos.

STUFF (09/08/2019)

Más información

La creciente digitalización de la red eléctrica ha provocado que el sector de la energía incremente su interés en la ciberseguridad con el objetivo de hacer frente a las cada vez mayores posibles amenazas informáticas ejecutadas por hackers.

La vulnerabilidad de los sistemas de almacenamiento energético, como las baterías o los vehículos eléctricos, pueden poner en riesgo la fiabilidad de los mismos. Por ello, la ciberseguridad se ha convertido en un eslabón más en la infraestructura de mantenimiento del sistema energético, no sólo a nivel de la red eléctrica, sino también en los sistemas interconectados e interdependientes de gas natural, agua, comunicaciones o en la distribución de combustible.

El proyecto CAdeNAT (Ciberseguridad en comunicaciones con Activos de Nuevas aplicaciones de Almacenamiento energético para servicios Terciarios) que investiga el ITE (Instituto Tecnológico de la Energía), centro de referencia en la C. Valenciana, con el apoyo del IVACE, Instituto Valenciano de Competitividad Empresarial de la Generalitat Valenciana, se centra específicamente en investigar los mecanismos actuales de ciberseguridad en el almacenamiento estático (en forma de baterías) y dinámico (en vehículos eléctricos (VE)) y desarrollar sistemas de detección de intrusos y de restauración del sistema para hacer fiables y seguros los sistemas de almacenamiento energético.

A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.

Objetivo: desarrollar sistemas ciberseguros

A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.

La actual vulnerabilidad de las estaciones de recarga unida otro tipo de limitaciones como es la falta de un sistema de pagos instantáneos seguro que permita al usuario del vehículo hacer uso de cualquier estación de recarga suponen dos barreras significantes a la adopción masiva del vehículo eléctrico.

El proyecto CAdeNAT tiene como objetivo desarrollar sistemas ciberseguros en todos los procesos que intervienen en la recarga de un vehículo eléctrico, desde la interacción del usuario con la estación de recarga, pasando por la estación de recarga, las comunicaciones con el gestor o proveedor de estaciones de recarga y el pago seguro de cada recarga realizada. Para lograrlo se está desarrollando un sistema de detección de intrusos y restauración del sistema que monitoriza y detecta cualquier tipo de intrusión siendo capaz de actuar con el fin de garantizar la seguridad del usuario y la estabilidad en la red eléctrica.

Adicionalmente la tecnología Blockchain es integrada para realizar los pagos instantáneos en la recarga del vehículo eléctrico, utilizando plataformas que permitan conocer al usuario (Know Your Costumer (KYC)) de manera que el proveedor de estaciones de recarga y el usuario conozcan la trazabilidad de todas las recargas realizadas, conociendo que usuario realizó una recarga, cuánto tiempo tarda la recarga y la energía consumida en cada recarga.

EnergyNews (07/08/2019)

Más información

Varias fuentes estiman que para el año 2020 se desplegarán unos 50 mil millones de dispositivos IoT en todo el mundo. Los dispositivos IoT están diseñados a propósito para conectarse a una red y muchos simplemente están conectados a Internet con poca administración o supervisión. Dichos dispositivos aún deben ser identificables, mantenidos y monitoreados por equipos de seguridad, especialmente en grandes empresas complejas. Algunos dispositivos IoT pueden incluso comunicar la telemetría básica al fabricante del dispositivo o tener medios para recibir actualizaciones de software. Sin embargo, en la mayoría de los casos, el centro de operaciones de TI de los clientes no sabe que existen en la red.

En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.

En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.

También hubo múltiples informes de prensa de ciberataques en varios dispositivos durante las ceremonias de apertura de los Juegos Olímpicos de 2018 en PyeongChang. Los funcionarios confirmaron unos días después que fueron víctimas de ataques maliciosos que impidieron a los asistentes imprimir sus boletos para los Juegos y las televisiones y el acceso a Internet en el centro de prensa principal simplemente dejaron de funcionar.

Tres dispositivos de IoT

En abril, investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft descubrieron la infraestructura de un adversario conocido como STRONTIUM que se comunicaba con varios dispositivos externos. Investigaciones posteriores descubrieron intentos para comprometer dispositivos IoT populares (un teléfono VOIP, una impresora de oficina y un decodificador de video) en múltiples ubicaciones de clientes. La investigación descubrió que un atacante había usado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en tercera instancia, la última actualización de seguridad no se había aplicado al dispositivo.

Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.

También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).

Strontium / Fancy Bear / APT28

En los últimos doce meses, Microsoft ha entregado cerca de 1.400 notificaciones de estado-nación a aquellos que han sido atacados o comprometidos por Strontium / Fancy Bear / APT28. Una de cada cinco notificaciones de actividad de Strontium estaba vinculada a ataques contra organizaciones no gubernamentales, grupos de expertos u organizaciones políticamente afiliadas en todo el mundo. El 80% restante de los ataques de Strontium se han dirigido principalmente a organizaciones en los siguientes sectores: gobierno, informática, militar, defensa, medicina, educación e ingeniería. También se ha observado y notificado los ataques de Strontium contra los comités organizadores olímpicos, las agencias antidopaje y la industria hotelera.

Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.

Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.

Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".

Recomendaciones para asegurar IoT

Hay pasos adicionales que una organización puede tomar para proteger su infraestructura y red de actividades similares. Microsoft recomienda las siguientes acciones para proteger y administrar mejor el riesgo asociado con los dispositivos IoT:

• Se requiere aprobación y catalogación de cualquier dispositivo IoT que se ejecute en su entorno corporativo.
• Desarrollar una política de seguridad personalizada para cada dispositivo IoT.
• Evitar exponer dispositivos IoT directamente a Internet o cree controles de acceso personalizados para limitar la exposición.
• Usar una red separada para dispositivos IoT si es posible.
• Realizar auditorías de configuración / parches de rutina contra dispositivos IoT implementados.
• Definir políticas para el aislamiento de dispositivos IoT, la preservación de los datos del dispositivo, la capacidad de mantener registros del tráfico del dispositivo y la captura de imágenes del dispositivo para la investigación forense.
• Incluir las debilidades de configuración del dispositivo IoT o los escenarios de intrusión basados en IoT como parte de las pruebas de Red Team.
• Supervisar la actividad del dispositivo IoT en busca de un comportamiento anormal (por ejemplo, una impresora que navega por sitios de SharePoint ...)
• Auditar las identidades y credenciales que tienen acceso autorizado a dispositivos, usuarios y procesos de IoT.
• Centralizar la gestión de activos / configuración / parches si es posible.
• Si los dispositivos son implementados / administrados por un tercero, se debe incluir Términos explícitos en sus contratos que detallen las prácticas de seguridad a seguir y las Auditorías que informan el estado de seguridad y el estado de todos los dispositivos administrados.
• Siempre que sea posible, definir los Términos de SLA en los contratos de proveedores de dispositivos IoT que establezcan una ventana mutuamente aceptable para la respuesta de investigación y el análisis forense a cualquier compromiso relacionado con su producto.

Este caso es uno de varios ejemplos que Eric Doerr presentará en Black Hat, el 8 de agosto de 2019, donde Microsoft está pidiendo una mayor transparencia de la industria para garantizar que los defensores estén mejor equipados para responder a las amenazas de adversarios con recursos suficientes.

Microsoft Security Response Center (05/08/2019)

Más información

• Más de diez hospitales de los estados de Renania-Palatinado y Sarre en Alemania han sufrido un ataque con malware que ha paralizado sus sistemas.

Recientemente más de diez hospitales en Renania-Palatinado y Sarre han sufrido la paralización de sus sistemas debido a un ciberataque realizado a través de un malware. Tal ha sido la gravedad que ha infectado toda la red que la Administración de dichos centros han tenido que dejar de utlizar los ordenadores y recurrir a la pluma y el papel.

Ante estos ciberataques, desde las instalaciones se cerró el acceso a Internet y no se pudo utilizar el correo electrónico, solamente el teléfono o fax. De momento, no hay evidencias de que se haya accedido a datos de los pacientes o a los dispositivos médicos.

Más información

• Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
• El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

AEPD (09/07/2019)

• Una vulnerabilidad encontrada el pasado jueves puede provocar que los usuarios reciban dosis alteradas de esta hormona.
• Medtronic avisa de que al menos 4.000 personas están usando dispositivos antiguos.

La compañía de dispositivos médicos Medtronic está avisando a miles de usuarios que hacen uso de sus bombas de insulina anteriores a 2013 de que estos dispositivos podrían contener una importante vulnerabilidad de ciberseguridad, permitiendo que un ciberatacante modifique los ajustes de envío de medicamentos y provoque que el paciente entre en una situación de emergencia debido a la diabetes. Por su parte, el Departamento de Seguridad Nacional de los Estados Unidos publicó el pasado jueves una serie de recomendaciones para mitigar el problema.

“En este momento, no hemos recibido informes de confirmación de personas sin autorización que hayan modificado los ajustes de los dispositivos o controlado el envío de insulina”, señalan desde Medtronic en una carta enviada a sus clientes el pasado 27 de junio. Asimismo, la compañía calcula que al menos 4.000 personas en Estados Unidos y un número desconocido a nivel internacional siguen utilizando los dispositivos antiguos.

Debido a la vulnerabilidad encontrada, estas personas podrían recibir demasiada o muy poca insulina si un ciberatacante decidiera secuestrar los sistemas de comunicación y enviar estos comandos. En ambos casos, el resultado podría ser perjudicial para el individuo, ya que una dosis repentina de demasiada insulina puede provocar convulsiones o un coma diabético.

Medtronic aconseja a los pacientes que, si es posible, hablen con su médico para obtener una receta para un dispositivo más nuevo. Para aquellos que no pueden o no quieren cambiar, la empresa recomienda que mantengan la bomba y los dispositivos relacionados bajo control físico, mantengan los números de serie de la bomba privados, desconecten los dispositivos del sistema de transmisión remota CareLink cuando no se estén utilizando para transmitir información, que estén atentos de las alarmas de la bomba, así como cancelen cualquier dosis no intencionada de insulina.

Más información: StarTribune

• El objetivo del informe es ayudar a las organizaciones a mejorar la ciberseguridad de estas tecnologías.
• En el documento se incluyen diversas consideraciones a tener en cuenta en relación a la ciberseguridad y privacidad en los dispositivos del Internet de las Cosas (IoT), así como los principales retos y recomendaciones para proteger los dispositivos.

El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha publicado un documento con consideraciones para gestionar la ciberseguridad y riesgos en la privacidad en los dispositivos del Internet de las Cosas (IoT). La publicación está dirigida a profesionales que trabajan en organizaciones, principalmente aquellos cuyas funciones están relacionadas con la gestión de la ciberseguridad en los dispositivos IoT.

El informe, cuyo objetivo es ayudar a las organizaciones a proteger estas tecnologías, incluye diversas consideraciones a tener en cuenta, algunos de los principales retos (proteger la seguridad del dispositivo, proteger la seguridad de la información y proteger la privacidad del individuo) y recomendaciones para proteger los dispositivos.

Respecto este último punto, principal objetivo del documento, el NIST aconseja aplicar los siguientes dos principales consejos:

• Adaptar las políticas y procedimientos de la organización, definiendo de forma clara los dispositivos IoT para evitar confusiones y ambigüedades. Asimismo, las organizaciones deberían asegurar que su ciberseguridad, cadena de suministro y los programas de gestión del riesgo de privacidad tienen en cuenta estos dispositivos correctamente.
• Implementar acciones de mitigación de riesgos actualizadas. Es muy probable que la mayoría de organizaciones cuente con una mayor variedad de dispositivos IoT que tecnologías IT tradicionales, dado que estos primeros suelen ser diseñados para cumplir una función única, a diferencia de los segundos. Por tanto, la organización necesitará adaptar las prácticas de ciberseguridad en función del tipo de dispositivo del que se trate.

Más información

El Ayuntamiento de Cuarte de Huerva (Zaragoza) se ha certificado en el Esquema Nacional de Seguridad (ENS), que tiene como objetivo el establecimiento de una política de seguridad en la utilización de medios electrónicos que permita una protección adecuada de la información.

La empresa aragonesa Cibergob (colaboradora del Centro Criptológico Nacional para implantar el Esquema Nacional de Seguridad en Entidades Públicas y especializada en el campo de la ciberseguridad) ha apoyado al consistorio en este proceso que aborda integralmente la seguridad en todo lo que puede afectar a la protección de la información: transacciones, almacenamiento y tratamiento de datos, etc.

El cumplimiento del Esquema Nacional de Seguridad, además de una obligación para todas las Administraciones Públicas recogida en el Real Decreto 3/2010, garantiza la seguridad en el ciberespacio -generando un marco de trabajo adecuado para la correcta protección de la información de los ciudadanos que gestiona el consistorio- al tiempo que respeta la privacidad y la libertad: prioridad de los países desarrollados y algo fundamental para la sociedad en su conjunto.

En España, el Centro Criptológico Nacional (CCN) es el organismo responsable de garantizar la seguridad de las tecnologías de la información y la comunicación (TIC) en las diferentes entidades del sector público, lo que afecta a los sistemas que procesan, almacenan o transmiten información clasificada.

El alcalde de Cuarte de Huerva, Jesús Pérez, se ha mostrado muy satifecho con este certificado, ya que junto Utebo son los primeros y únicos municipios -de menos de 20.000 habitantes- en su implantación a nivel nacional. Del mismo modo ha alabado la labor fundalmental en la certificación en el Sistema Nacional de Seguridad del responsable infórmatico del consistorio, Ovidiu Necatu, que ha trabajado durante año y medio -en colaboración con Cibergob y Aeonor- para hacerlo posible.

Dicho proceso busca la seguridad tanto para el trabajo de los funcionarios como para los ciudadanos en su relación telemática con la administración, garantizando la completa seguridad de todos cuantos trámites se efectúan a través de nuestra sede electrónica.

Más información: ENS

CCN-CERT (01/07/2019)

• La nueva herramienta lanzada permite el descifrado de la última versión de este ransomware

En un trabajo en conjunto entre la Europol, el FBI y Bitdefender, ha sido posible la recuperación de las claves de cifrado que empleaba el ransomware GandCrab 5.2 antes del cierre de los servidores empleados por los criminales tras este malware. Anteriormente, Bitdefender ya había lanzado herramientas para el descifrado de versiones anteriores de GandCrab, pero la versión 5.2 se seguía resistiendo hasta este momento.

La recuperación de las claves ha llegado justo a tiempo antes del cierre del servicio. Ya a principios de mes el grupo tras GandCrab anunciaba en los foros de habla rusa exploit.in que cerrarían a finales de mes tras haber logrado 2000 millones de dólares a un ritmo de 150 millones al año, habiendo blanqueado ya todo el dinero.

La nueva herramienta lanzada por Bitdefender permite el descifrado tanto de esta versión como de otras anteriormente lanzadas de GandCrab. Además de poder descargarse gratuitamente desde la web de Bitdefender, es posible encontrarla en No More Ransom, un proyecto que recopila herramientas de descifrado de este y otros ransomware.

El punto y final a GandCrab supone el cierre de uno de los ransomware más difundidos y que más víctimas ha tenido, aunque aún quedan muchas otras amenazas como GandCrab que siguen sin poder descifrarse. Las ganancias obtenidas por este grupo sólo son una evidencia más de que el ransomware ha llegado para quedarse, y la importancia de tener una buena política de seguridad para estar preparados.

Más información: Una al Día

La Agencia Española de Protección de Datos (AEPD) celebrará, el próximo 25 de junio, su 11ª Sesión Anual Abierta. Esta edición renueva completamente su formato, dando cabida a ponentes tanto de la AEPD como de entidades públicas y privadas y desarrollándose en tres foros paralelos en los que se abordarán diversos aspectos relacionados con la aplicación del Reglamento General de Protección de Datos.

Durante la Sesión se efectuará un análisis de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), y se abordarán aspectos relacionados con la responsabilidad activa, los Delegados de Protección de Datos (DPD), los responsables y encargados de tratamiento o la gestión del riesgo tecnológico, entre otros.

El programa completo de la Sesión puede consultarse aquí.

Durante el evento se entregarán los Premios Protección de Datos 2018, que este año alcanzan su 22ª edición. Estos galardones reconocen los trabajos que promueven en mayor medida las buenas prácticas, la difusión y la investigación de este derecho fundamental.

La Sesión está dirigida a representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia.

Las presentaciones y foros realizados en el Auditorio podrán seguirse en directo en streaming a través de la web de la Agencia.

AEPD (07/06/2019)

Más información

• El 7 de junio se publicó en el DOUE el Reglamento 2019/881 del Parlamento europeo y del Consejo relativo a ENISA (Agencia europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento 526/2013 (Reglamento sobre la Ciberseguridad).

El Reglamento sobe la Ciberseguridad , establece, por un lado, los objetivos, tareas y aspectos organizativos relativos a ENISA (Agencia de la Unión Europea para la Ciberseguridad); y, por otro lado, un marco para la creación de esquemas europeos de certificación de la ciberseguridad, al objeto de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la UE, así como de evitar la fragmentación del mercado interior en el terreno de los esquemas de certificación de la ciberseguridad. Entrará en vigor el 27 de junio de 2019.

En primer lugar, se desarrollan los aspectos relativos a ENISA que contribuirá a reducir la fragmentación del mercado interior actuando como punto de referencia de asesoramiento y conocimientos especializados en materia de ciberseguridad en la UE. El reglamento establece sus objetivos, tareas, organización, previsiones sobre su presupuesto, personal, y otras disposiciones generales, como su estatuto jurídico.

Las tareas de ENISA incluyen: contribuir a la elaboración y ejecución de la política y del derecho de la Unión; asistir a la creación de capacidades de ciberseguridad; apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa); mercado, certificación de la ciberseguridad y normalización; conocimiento e información; sensibilización y educación; investigación e innovación; y cooperación internacional.

La segunda gran cuestión que aborda el Reglamento es la creación del marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE, con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC.

Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

La Comisión (Abre en nueva ventana) publicará un programa de trabajo evolutivo para los esquemas europeos de certificación de la ciberseguridad que definirá las prioridades estratégicas para los futuros esquemas. Incluirá una lista de productos, servicios y procesos de TIC, o de categorías de los mismos, que pudieran beneficiarse de su inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.

También establece el Reglamento las condiciones para la solicitud, reparación, adopción y revisión de esquemas europeos de certificación de la ciberseguridad; así como sobre sus objetivos, elementos, niveles de garantía, difusión. También establece previsiones sobre la certificación de la ciberseguridad; los Esquemas y certificados nacionales de certificación de la ciberseguridad; las autoridades nacionales de certificación de la ciberseguridad; los organismos de evaluación de la conformidad; y sobre un Grupo Europeo de Certificación de la Ciberseguridad de nueva creación.

Más información: Enisa

• Las organizaciones que tratan datos están obligadas a realizar una evaluación de impacto cuando sea probable que ese tratamiento entrañe un alto riesgo para los derechos y libertades de las personas.
• El listado completo de estos tratamientos puede consultarse aquí

La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto. El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Por otro lado, el apartado 4 de ese mismo artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

La Agencia ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto.

Las Evaluaciones de impacto

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Como herramienta de ayuda al cumplimiento, la Agencia presentó con anterioridad a la aplicación del RGPD las guías de Análisis de Riesgo y Evaluación de Impacto en la Protección de Datos. La Guía de Evaluación de Impacto en la Protección de Datos ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.

AEPD (06/05/2019)

Más información

• La policía española, con ayuda de la Europol, ha desarticulado una red internacional que ofrecía servicios de blanqueo de dinero a organizaciones criminales. Un total de ocho personas han sido arrestadas por la Guardia Civil.

La Guardia Civil española ha desarticulado, con el apoyo de la Europol, una banda delictiva con ramificaciones internacionales, que ofrecía servicios de blanqueo de dinero por encargo a organizaciones criminales.

Tras un operativo desplegado en Madrid, las autoridades policiales españolas detuvieron a ocho sospechosos, quienes presuntamente usaron varios métodos para legitimar capitales provenientes del narcotráfico y otras actividades delictivas. Ente ellos, se incluye el intercambio de moneda fiduciaria por criptomonedas para dificultar el rastreo de los fondos, según explica Europol en el comunicado que lanzó el pasado miércoles.

La operación se encubría tras un modesto servicio de telefonía e Internet ubicado en Madrid, en el cual se instalaron dos cajeros automáticos (ATM) de criptomonedas. De acuerdo con la información, la banda logró blanquear 9 millones de euros a través de transacciones con criptomonedas.

El ‘modus operandi’ de los implicados incluía la técnica de smurfing o pitufeo, que consiste en dividir los montos en cantidades pequeñas, depositadas en varias cuentas bancarias controladas por los delincuentes. El dinero finalmente se intercambiaba por criptomonedas y se enviaba a direcciones de las organizaciones delictivas en plataformas de intercambio.

Se cree que la organización operaba desde hace unos cuatro años, blanqueando dinero para organizaciones delictivas, principalmente de Colombia. Según el comunicado de Europol, el operativo fue un seguimiento de la operación Guatuzo, que resultó en la detención de 23 personas entre España y Colombia a mediados de 2018.

Más información: Europol y Criptonoticias

• Se ha detectado una gran actividad de ataques dirigidos a las empresas que utilizan SAP como sistema de gestión. A partir de una herramienta 10kblaze (pysap) que aprovecha errores de configuración conocidos de hace más de 10 años.  

A raíz de la actualización de la herramienta pysap, las charlas de la conferencia OPCDE de Mathieu Geli y Dmitry Chastuhin, y de la publicación de las pruebas de concepto (PoC) del exploit dirigido a aplicaciones SAP ha aumentado exponencialmente los ataques a dichos sistemas.

Este ataque denominado 10kblaze no aprovecha ninguna vulnerabilidad conocida en el código de SAP, sino que su efecto se causa a partir de un problema de configuración de las ACL (Listas de control de acceso) se los servidores Message y Gateway, ya conocido desde 2005.

Se estima que 50.000 sistemas son vulnerables a esta explotación a partir de dichas configuraciones erróneas. Los exploits pueden darle al atacante un compromiso total de la plataforma, con la opción de alterar, extraer o modificar información confidencial de aplicaciones comerciales como SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution Manager, SAP GRC Process and Access Control, SAP Process Integration/ Exchange Infrastructure (PI/XI), SAP SCM, y SAP SRM, entre otros.

Lo más preocupante es que un atacante tan solo necesita acceso a la IP y el puerto donde está corriendo el servicio y sería posible ejecutar código remoto en el servidor si este es vulnerable.

El problema con las ACL se produce porque SAP deshabilita esta opción en NetWeaver por defecto para permitir que las empresas adapten su producto a las necesidades de sus clientes.

Para mitigar el error de configuración es posible consultar las SAP Security Notes 821875 (2005), 1408081 (2009) y 1421005 (2010). En ellas se detallan los pasos necesarios para configurar las ACL en los servidores SAP Gateway y Message (es necesario iniciar sesión).

• 821875 – Security settings in the message server
• 1408081 – Basic settings for reg_info and sec_info
• 1421005 – Secure configuration of the message server

Más información:

• Una al día (03/05/2019)
• US-CERT.gov (02/05/2019)

• La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) del Departamento de Seguridad Nacional (DHS) de EE. UU. ha dado a las agencias gubernamentales un plazo de 15 días para actualizar las vulnerabilidades críticas.

El Departamento de Seguridad Nacional (DHS) estadounidense ha reducido el tiempo inicial del que disponían las agencias gubernamentales para actualizar sus vulnerabilidades críticas, 30 días, a un plazo de 15 desde que estas fueron detectadas.

La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) lanzó una nueva Directiva Operativa Vinculante (BOD) 19-02 dando instrucciones a las agencias federales y departamentos para actualizar estas vulnerabilidades en el plazo señalado, y mantiene el plazo de 30 días para dar solución a los fallos severos encontrados.

“Mientras que las agencias federales no cesan de aumentar su presencia en Internet por medio de la implementación de sistemas complejos e interconectados, es más importante que nunca que estas solucionen las vulnerabilidades encontradas lo antes posible pues, de no ser así, estas podrían permitir a ciberdelincuentes comprometer sus redes”, asegura en un comunicado el director de la CISA Chris Krebs.

The Hacker News (01/05/2019)

Más información

• La Europol, la Oficina Central para la lucha contra la Delincuencia en Internet (ZIT) de la Fiscalía de Fráncfort y la Oficina Federal de Investigación Criminal alemana (BKA), así como autoridades policiales de Estados Unidos y Holanda han participado en diversas investigaciones que han llevado a varias detenciones y al cierre de plataformas ilegales.

La Fiscalía y la policía alemanas informaron el viernes, 3 de mayo, de la detención de tres hombres sospechosos de administrar la segunda mayor plataforma de venta ilegal a nivel global en la denominada "internet oscura" (darknet), que funcionaba bajo el nombre de "Wall Street Market".

Los tres alemanes, de 22, 29 y 31 años, fueron detenidos entre el 23 y el 24 de abril y durante los registros de sus viviendas, los agentes de la Oficina Federal de Investigación Criminal (BKA) se incautaron de más de 550.000 euros en efectivo, criptomonedas bitcoin y monero en una cantidad de centenares de miles y varios vehículos de gama alta.

Asimismo, la policía se incautó de los servidores de la plataforma y de otras numerosas pruebas, como ordenadores, soportes de datos y un arma de fuego que hallaron en la vivienda del sospechoso de 22 años.

A través de esta plataforma, accesible únicamente a través de la red TOR se comerciaba principalmente con drogas -entre ellas cocaína, heroína, cánnabis y anfetaminas-, datos confidenciales, documentos falsificados y software dañino.

La plataforma contaba hasta su cierre con más de 63.000 ofertas de venta activas, así como más de 1.150.000 cuentas de clientes y más de 5.400 vendedores.

Europol (3/05/2019)

Más información