ccn-cert

• La competición tendrá lugar en la Sala 17 ATENEA el 12 de diciembre a las 9:35 horas
• Cada participante tendrá que tratar de resolver, en directo y con su propio equipo portátil, cinco pruebas de diferente dificultad.
• Los dos primeros clasificados en este Hacker Arena recibirán un premio del CCN-CERT.

Este año las XIII Jornadas STIC CCN-CERT, que se celebran los próximos 11 y 12 de diciembre, volverán a contar con una competición de hackers en directo. Concretamente, y a diferencia de la pasada edición, en este Hacker Arena podrán participar hasta 100 personas, quienes deberán trata de resolver, en directo e individualmente, un total de cinco pruebas de diferente dificultad.

Para ello, cada participante deberá llevar consigo su propio equipo portátil. Todos aquellos interesados en formar parte de esta competición, que tendrá lugar el segundo día del evento, 12 de diciembre, a las 9:35 horas, deberá estar inscrito en las Jornadas y comunicar su interés en participar al correo electrónico atenea@ccn-cert.cni.es.

Con este Hacker Arena se pondrán a prueba las habilidades de seguridad informática de todo aquél que se anime a participar. Como recompensa, los dos primeros clasificados serán obsequiados con un premio por parte del CCN-CERT.

Dónde: Sala 17 ATENEA, en Kinépolis Ciudad de la Imagen (Madrid).
Cuándo: jueves 12 de diciembre, de 9:35 h. a 11:15 h.

Más información:

XIII Jornadas CCN-CERT

• El Consejo de Ministros, celebrado el jueves 31 de octubre, aprobó el Real Decreto-ley por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público y telecomunicaciones.

El presente Real Decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones públicas; a los datos que obran en poder de las mismas; a la contratación pública; y al sector de las telecomunicaciones.

El texto incluye iniciativas sobre la documentación nacional de identidad, la identificación electrónica ante las administraciones, los datos que obran en poder de las mismas, la contratación pública y el sector de las telecomunicaciones. La norma, que refuerza la Ley de Seguridad Nacional, entrará en vigor el próximo martes, 5 de noviembre, tras su publicación en el Boletín Oficial del Estado.

La vicepresidenta del Gobierno, ministra de la Presidencia, Relaciones con las Cortes e Igualdad en funciones, Carmen Calvo, en la rueda de prensa posterior al Consejo de Ministros, defendió que la urgencia del procedimiento responde a la necesidad de reforzar la protección de los derechos y libertades de los ciudadanos y el "interés general del país en su totalidad demográfica y territorial".

Calvo argumentó que las medidas reguladas en el Real Decreto-ley afectan a siete ministerios, son proporcionadas y se han tomado de forma responsable: "En el ámbito digital ocurren cosas que, a veces, son irreparables. Por lo tanto, hay que reaccionar de manera inteligente, razonable y proporcional" ante las denominadas ciberamenazas.

Principales iniciativas

El Documento Nacional de Identidad, con carácter exclusivo y excluyente, será el único documento con valor suficiente para acreditar la identidad y los datos personales de su titular. Además, la vicepresidenta subrayó que los servidores con los que operan las administraciones públicas tendrán que estar en territorio de la Unión Europea y no en paraísos digitales. "Tenemos que conocer de dónde sale la información en este país, quiénes la manejan y con qué fines", dijo.

La vicepresidenta también explicó que se refuerza el acceso de los ciudadanos a la administración pública y la protección de sus datos personales. La norma, añadió, incluye medidas en materia de contratación pública para garantizar que los contratistas cumplan la normativa en materia de protección de datos y seguridad pública.

En el ámbito de las telecomunicaciones, Calvo resaltó que hay que identificar más y mejor las ciberamenazas y reaccionar ante el espionaje y la utilización incorrecta de datos en casos esenciales para el funcionamiento de una democracia, como los procesos electorales. Asimismo, recalcó que el Real Decreto-ley afecta a todas las administraciones públicas y a todas las comunidades autónomas.

Contenido

El Real Decreto-ley consta de un preámbulo y un texto artículo estructurado del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 a 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla medidas en materia de documentación nacional de identidad, dirigidas a configurar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.

El capítulo II establece varias medidas en materia de identificación electrónica ante las Administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones públicas. La finalidad de estas medidas es garantizar la seguridad pública a nivel tanto vertical en las relaciones entre las distintas Administraciones públicas cuando traten datos personales, así como a nivel horizontal entre ciudadanos y Administraciones públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en el ejercicio de una función pública.

El capítulo III regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario y urgente asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El capítulo IV regula varias medidas para reforzar la seguridad en materia de telecomunicaciones.

Finalmente, el capítulo V refuerza los deberes de cooperación de las administraciones en el ámbito de la ciberseguridad.

Presidencia del Gobierno (31-10-2019)

Consejo de Ministros

Real Decreto-Ley

La Comisión Europea ha publicado la primera autoevaluación anual de las compañías que firmaron el Código de Buenas Prácticas en Materia de Desinformación, con el fin de llevar a cabo una evaluación completa de la eficacia del Código, que se presentará a principios de 2020.

La Comisión ha recibido informes anuales de autoevaluación de las plataformas online y de las empresas tecnológicas Google, Facebook, Twitter, Microsoft y Mozilla, así como de asociaciones profesionales todas ellas firmantes del Código de buenas prácticas contra la desinformación, en los que se detallan las políticas, los procesos y las acciones emprendidas para cumplir sus respectivos compromisos durante su primer año de funcionamiento.

Según lo previsto en el Plan de Acción de diciembre de 2018, la Comisión está llevando a cabo su evaluación global de la eficacia del Código de Buenas Prácticas.

Además de las autoevaluaciones de los signatarios, la Comisión tendrá en cuenta:

• Aportaciones del Grupo de Reguladores Europeos para los Servicios de Comunicación Audiovisual (ERGA)
• Una evaluación de una organización externa seleccionada por los signatarios del Código.
• Una evaluación de un consultor independiente contratado por la Comisión.
• Un informe sobre las elecciones al Parlamento Europeo de 2019.

A partir de ahí, la Comisión presentará su evaluación global a principios de 2020. En caso de que los resultados del Código resulten insatisfactorios, la Comisión podrá proponer otras medidas, incluso de carácter reglamentario.

Comisión Europea (29/10/2019)

Más información

• El documento aporta fórmulas para facilitar la incorporación de la privacidad y los principios de protección de datos desde el momento en el que comienzan a diseñarse sistemas, productos, servicios o procesos.
• La Guía está dirigida a responsables, así como a proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse. El documento está dirigido a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La guía se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercero analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo.

Por otra parte, se abordan las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, en el documento se dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.

Por último, la Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto.

Más información:

Agencia Española de Protección de Datos

CCN-CERT (17/10/2019)

• Este documento se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros.
• En el informe se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Los Estados miembros, con el apoyo de la Comisión y de la Agencia de la Unión Europea para la Ciberseguridad, han publicado un informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la ciberseguridad de las redes de quinta generación (5G). Esta importante medida forma parte de la aplicación de la Recomendación de la Comisión Europea adoptada en marzo de 2019 para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.

Las redes 5G constituirán la futura espina dorsal de nuestras economías y sociedades cada vez más digitalizadas. Estas redes afectan a miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial que contienen información delicada y sirven de respaldo a los sistemas de seguridad. Por lo tanto, es esencial garantizar la seguridad y resistencia de las redes 5G.

El informe se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros de la UE. En dicho documento se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Esta evaluación sirve de base para determinar las medidas paliativas que pueden aplicarse a escala nacional y europea.

Más información:

Comisión Europea

• Se trata de un borrador elaborado por el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) que estará abierto a recibir comentarios públicos hasta el 18 de noviembre.
• La guía práctica de la NCCoE NIST SP 1800-24, Securing Picture Archiving Communications System, ayudará a evitar riesgos en los sistemas PACS de gestión de imágenes médicas.

El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. ha publicado el borrador de la Publicación Especial del NIST (SP) 1800-24, Securing Picture Archiving and Communication System (PACS): Ciberseguridad para el sector de la salud, con el objetivo de recibir comentarios públicos. La fecha límite es el 18 de noviembre de 2019.

Las imágenes médicas juegan un papel importante en el diagnóstico y tratamiento de los pacientes. El sistema que las administra se conoce como Sistema de Comunicaciones de Archivo de Imágenes (PACS), el cual forma parte de un entorno de organización de prestación de servicios de salud (HDO) altamente complejo que implica la interconexión con una variedad de sistemas interconectados. Esta complejidad puede introducir o exponer oportunidades que permiten a los actores maliciosos comprometer la confidencialidad, integridad y disponibilidad del ecosistema PACS.

El NCCoE analizó los factores de riesgo con respecto al ecosistema PACS utilizando una evaluación de riesgo basada en el Marco de Ciberseguridad del NIST y otros estándares relevantes. Tras ello, este Centro desarrolló un ejemplo de implementación que demuestra cómo las HDOs pueden usar tecnologías de ciberseguridad basadas en estándares y disponibles comercialmente para proteger mejor el ecosistema PACS.

Esta guía práctica ayudará a los HDOs a implementar los estándares actuales de ciberseguridad y las mejores prácticas para reducir riesgos, manteniendo al mismo tiempo el rendimiento y la usabilidad de los PACS.

Más información:

NIST

CCN-CERT (04/10/2019)

Mejorar las habilidades digitales de la ciudadanía, fomentar el uso de herramientas de identificación seguras y apostar por la figura de colaboradores sociales (profesionales que ejercen su actividad profesional en el ámbito de la gestión tributaria y están colegiados). Esta es la receta del Colegio Oficial de Gestores Administrativos de Madrid para combatir el fraude digital por suplantación de identidad que, según el informe elaborado junto con la consultora Iclaves y presentado este martes, supone un freno para el uso de la Administración Electrónica debido a la desconfianza generada entre ciudadanos y empresas.

"La suplantación de identidad se entiende como un medio para acometer más delitos. Normalmente vinculados al fraude económico", explica Juan Pablo Villar, Research Manager de iClaves. Un ciberdelito poco percibido entre los españoles, solo el 35% es consciente de los problemas que puede acarrear, según el Eurobarómetro. Sin embargo, el porcentaje de ciudadanos españoles que se muestran preocupados por la suplantación digital de la identidad se sitúa entre los más altos de Europa, junto a búlgaros e ingleses.

El fraude afecta tanto a personas físicas como jurídicas. En 2017, la empresa tecnológica Hocelot estimó en 1.600 millones de euros las pérdidas anuales derivadas del robo de identidad en España. Unos riesgos económicos y reputacionales que no paran de crecer. Entre 2013 y 2017 las denuncias por suplantación de identidad han aumentado a un ritmo medio anual del 16,5%, alcanzando las 2.948 demandas en 2017. En el código civil viene reconocido como delito de "usurpación del estado civil" y acarrea unas penas de prisión de 6 meses a 3 años.

Dentro de los ciberdelitos, aquellos que más crecen son los vinculados al fraude económico. Entre 2011 y 2017 las estafas denunciadas con tarjetas de crédito, débito y cheques de viaje han aumentado a un ritmo anual del 34,3%, pasando de las 4.489 demandas a 26.399. Mientras tanto, las estafas bancarias crecieron con una tasa media anual del 14,4%, pasando de 2.645 en 2011 a 5.942 en 2017. Por otro lado, los delitos asociados a la reputación (calumnias, injurias, descubrimiento y revelación de secretos y amenazas), no ha experimentado un incremento considerado. "Los hechos conocidos por las autoridades no son todos aquellos que realmente se producen, ya que un porcentaje elevado de fraudes no son denunciados", afirman desde el Colegio de Gestores Administrativos.

"Los que sufren estos delitos les supone grandes cambios en su vida. Pueden llegar a tener un efecto muy negativo", afirma Villar. Las principales consecuencias son la negación de nuevas tarjetas o créditos bancarios, pero también se puede llegar a producir una pérdida del trabajo o una nueva deuda el gasto acometido por el usurpador de la identidad.

¿Como combatirlo?

Desde el Colegio Oficial de Gestores Administrativos de Madrid apuestan por una mayor digitalización de la ciudadanía. "Es un punto de mejora muy fuerte", afirma Villar. Según la Comisión Europea el nivel de digitalización de los españoles obtiene una puntuación de 53,6 puntos. Menor que la media europea (54,9 puntos) y muy lejos de los países donde los usuarios de Internet cuentan con mayores habilidades: Luxemburgo (85,3 puntos), Holanda (77,5 puntos), Suecia (75,2 puntos) y Finlandia (73,4 puntos).

Otra herramienta determinante, según los administrativos, es incrementar el uso de herramientas seguras como el certificado digital. Según el INE, la falta de habilidades y conocimientos es el segundo motivo por el que los usuarios españoles de Internet no enviaron electrónicamente formularios cumplimentados a las Administraciones Públicas. "Factores como la edad o el nivel de formación tienen una influencia muy destacada en la capacitación digital. A la hora de diseñar planes de actuación conducentes a su mejora, ambos factores deberán ser tenidos en cuenta para definir estrategias diferenciadas y adaptadas a cada perfil de usuario", afirman desde el Colegio, para quiénes se debe apostar por la formación mediante cursos gratuitos.

Tanto los nativos digitales como la población más ajena a la digitalización deben enfrentarse a procedimientos complejos que requieren habilidades digitales avanzadas para utilizarlo correctamente. Por ello, desde el Colegio de Gestores Administrativos resaltan la importancia de los colaboradores sociales para que los ciudadanos y empresas puedan beneficiarse de un uso más extensivo de servicios online que requieren de una autentificación segura, en particular de los servicios de la eAdministración. "El uso de gestores sociales puede contribuir a la reducción del fraude digital por suplantación de identidad, sirviendo de ejemplo para que los usuarios de Internet adopten mayores medidas de seguridad en el acceso a servicios online", comenta Villar.

eldiario.es (24/09/2019)

Más información

• Diversos expertos ofrecerán una serie de webinars sobre los niveles táctico/técnico, operacional/gerencial y estratégico/directivo de la ciberdefensa.
• Estas conferencias, que darán comienzo el próximo 3 de octubre y están organizadas por la empresa DarFe, constarán de cuatro sesiones online y la participación será libre, previa inscripción.

El próximo 3 de octubre da comienzo un ciclo gratuito de conferencias sobre ciberseguridad. Concretamente, se tratará de un total de cuatro mesas redondas sobre ciberdefensa ofrecidas en modalidad online. Para disfrutar de este ciclo, organizado por la empresa DarFe bajo el título de “Ciberdefensa: ¿Cómo enfrentar este nuevo dominio militar?”, será necesario inscribirse previamente.

El objetivo de estos webinars es que diversos especialistas, tanto del ámbito militar como privado, presenten el tema de la ciberdefensa desde diversos niveles, dando lugar a debates. Con ello se espera obtener interesantes conclusiones que contribuyan con el acervo de conocimientos necesarios en esta materia y a extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes, combinando conceptos operacionales con herramientas técnicas.

Las cuatro sesiones que conforman este ciclo son las siguientes:

1. Nivel Táctico/Técnico (03 de octubre de 2019 a las 19 hs de España)
2. Nivel Operacional/Gerencial (10 de octubre de 2019 a las 19 hs de España)
3. Nivel Estratégico/Directivo (17 de octubre de 2019 a las 19 hs de España)
4. Conclusiones finales (24 de octubre de 2019 a las 19 hs de España)

Inscripciones:

TECNOWEBINARS

• El objetivo de esta publicación es servir de complemento al proceso de acreditación establecido en el PAC-ENAC
• El documento se ha elaborado con la colaboración con el Centro Criptológico Nacional (CCN) y la Secretaría de Estado de Función Pública.

La Entidad Nacional de Acreditación (ENAC) ha publicado un nuevo documento relacionado con el Esquema Nacional de Seguridad, ENS. Dicha publicación, ‘Criterios y proceso de acreditación específico para la certificación de la Conformidad con el Esquema Nacional de Seguridad (ENS)’, ha sido elaborada con la colaboración del Centro Criptológico Nacional (CCN) y de la Secretaría de Estado de Función Pública.

Con el objetivo de servir como complemento al proceso de acreditación establecido en el PAC-ENAC, en el que se detallan todos los pasos a seguir, se señalan aquellos documentos en los que se establecen los requisitos que han de cumplir las entidades.

Entre estos se encuentra la Guía de Seguridad CCN-STIC ‘ENS: Criterios adicionales de Auditoría y Certificación’, publicada el pasado mes de junio. Asimismo, se incluyen las siguientes Normas y Resoluciones:

• Norma UNE EN ISO/IEC 17065
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Por último, el documento de la ENAC destaca las guías de aplicación publicadas por el CCN y que deben ser seguidas por las entidades de certificación en sus aspectos relevantes.

ENAC

Más información

• La red social admite que esa información podía extraerse fácilmente de la aplicación antes de abril de 2018.
• El documento incluía el número público del identificador personal de Facebook y el número de teléfono.

Facebook ha confirmado que 419 millones de números de teléfono de sus usuarios han sido encontrados en una base de datos sin contraseña en Internet. El documento incluía solo dos datos: el número público del identificador personal de Facebook, que es sencillo de enlazar con el nombre del usuario, y el número de teléfono.

La web tecnológica Techcrunch ha publicado el hallazgo gracias a una información de Sanyam Jain, investigador de la Fundación GDI. Jain no fue capaz de encontrar al dueño de la base de datos que estaba sin proteger con contraseña y contactó con Techcrunch para evitar que los datos siguieran disponibles. Cuando Techcrunch llamó al host de la base de datos, esta fue retirada.

Según la Fundación GDI, el mayor grupo de números de teléfono afectados por esta filtración son 131 millones de estadounidenses, seguido de 50 millones de vietnamitas y 18 millones de británicos. Por su parte, Facebook ha admitido que esos datos proceden de su aplicación: "Esta base de datos es vieja y parece tener información obtenida antes de los cambios que hicimos el año pasado para retirar la opción de que la gente encontrara a otros a través de sus números de teléfono. La base de datos ha sido retirada y no vemos ninguna evidencia de que haya sido comprometida ninguna cuenta de Facebook".

La gravedad de estas filtraciones no es solo que se "comprometa una cuenta de Facebook", como dice la compañía en su comunicado. La revelación de información personal de usuarios permite ataques refinados como el duplicado de tarjeta sim (o sim swapping) u otros de ingeniería social.

Más información:

Techcrunch (04/09/19)

El País (05/09/19)

• La información de millones de clientes se ha visto expuesta.
• También se filtraron métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos de la firma francesa.

La compañía de cosméticos francesa Yves Rocher ha sufrido una brecha de seguridad que ha expuesto información de millones de clientes y de algunas de las operaciones de la propia empresa.

El incidente se ha debido a la falta de protección de la base de datos de un servicio de terceros. Concretamente, la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste.

Entre los datos expuestos durante el incidente se encuentran nombres completos de los clientes, sus números de teléfono, direcciones de correo electrónico, así como sus fechas de nacimiento. En cuanto a la información de la compañía, la brecha expuso algunas métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos.

Esta no es la primera ocasión en la que una compañía de cosméticos sufre un incidente similar. Hace algunas semanas, miles de clientes de la compañía francesa Sephora comenzaron a recibir una notificación de la empresa, informando que se filtró una gran cantidad de información de una de las bases de datos de la compañía. Sephora solicitó a los clientes restablecer sus contraseñas, además de ofrecer servicios de monitoreo de información para prevenir un uso malicioso de los datos filtrados.

Más información:

Noticias de Seguridad Informática (04/09/19)

Threat Post (03/09/19)

• Los atacantes solicitan a las víctimas el pago de 0.09981 BTC, unos 900 €, para poder descifrar sus datos.
• A diferencia de los ataques de phishing, el uso de estas conexiones pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo.

Un nuevo ransomware, llamado Nemty, ha sido descubierto durante el pasado fin de semana. Como cualquier malware con cifrado de archivos, la primera versión de este código dañino elimina las copias ocultas (shadow copies) de los archivos que procesa, quitándole a la víctima la posibilidad de recuperar las versiones de los datos creadas por el sistema operativo Windows.

Las víctimas verán una nota de rescate informando que los atacantes tienen la clave de descifrado y que los datos son recuperables por un precio: 0.09981 BTC, lo que a día de hoy tiene un valor aproximado de 900 €. Para facilitar el anonimato, el portal de pago se encuentra alojado en la red Tor, donde los usuarios tienen que subir su archivo de configuración. En base a esto, se les proporciona un enlace a otro sitio web, el cual incluye un chat, a través del cual reciben más información sobre las demandas.

Aunque no está del todo claro cómo se distribuye Nemty, el investigador de seguridad Vitali Kremez asegura que los operadores lo despliegan a través de conexiones a escritorio remoto comprometidas del mismo.

En comparación con los ataques de phishing a través de correo electrónico, método de distribución más común, el aprovechamiento de una conexión RDP (Remote Desktop Protocol) pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo de phishing.

BleepingComputer (26/08/19)

Más información

• Los dispositivos Galaxy S10e, Galaxy S10, Galaxy S10+ y Galaxy S10 5G han recibido la cualificación.
• A esta lista se suman los Galaxy S8 y S9, además del Galaxy Note 8, todos ellos aptos para ser utilizados en sistemas alineados con el Nivel Alto del Esquema Nacional de Seguridad (ENS).

Todos los dispositivos de la familia de 'smartphones' Samsung Galaxy S10 --el Galaxy S10e, Galaxy S10, Galaxy S10+ y Galaxy S10 5G--, han recibido la certificación de seguridad otorgada por el Centro Criptológico Nacional (CCN).

El modelo Samsung Galaxy S10 5G, es el primer dispositivo del mercado con tecnología 5G cualificado por el CCN, institución asociada al Centro Nacional de Inteligencia (CNI), según ha anunciado Samsung Electronics este jueves en un comunicado.

El fabricante surcoreano es actualmente el único con equipos cualificados por el CCN dentro del Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación, supervisado por el CCN. A esta lista suman los Galaxy S8 y S9, además del Galaxy Note 8, siendo todos aptos para ser utilizados en sistemas alineados con el Nivel Alto del Esquema Nacional de Seguridad (ENS).

"Somos el único fabricante que ha superado esta evaluación de seguridad, y con la suma del Samsung Galaxy S10 5G ya contamos con equipos preparados para utilizar la tecnología 5G, manteniendo los máximos estándares de seguridad del mercado", ha afirmado el vicepresidente corporativo de Samsung Electronics, Celestino García.

Más información:

Samsung Newsroom España (22/08/19)

COPE (22/08/19)

• Desde su cuenta de Twitter piden no responder a un número con el prefijo 0056.
• Según han alertado, estos estafadores llaman por teléfono para hacer creer que tienen secuestrado a un familiar.

La Policía Nacional ha alertado a través de su cuenta de Twitter sobre un nuevo caso de estafa telefónica, de los llamados secuestros virtuales. Según han señalado, estos estafadores llaman por teléfono para hacer creer que tienen secuestrado a un familiar.

El cuerpo de policía explica que las llamadas se suelen realizar desde un teléfono oculto o con un número que tiene por prefijo el 0056. Además, añaden que normalmente llaman entre las 16:00 y las 23:00 horas.

Concretamente, el interlocutor comunica el secuestro de un familiar y pide un rescate que se ha de hacer de forma urgente. Ante esta situación, la policía recomienda no pagar nada a nadie y llamar al 091 para alertar sobre lo ocurrido.

“Por muy realista que suene, mantén la calma y no cedas al chantaje. Es un secuestro virtual”, advierte la Policía en el tuit. “Es una estafa, no pagues y llama al 091”, añaden.

La Vanguardia (22/08/2019)

Más información

• Varios archivos de las instituciones quedaron encriptados.
• Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE'. 

Al menos 23 agencias gubernamentales de Texas (Estados Unidos) sufrieron un ataque de 'ransomware' conjunto el pasado viernes por el que varios archivos de las instituciones quedaron encriptados y que es responsabilidad de un archivo con extensión '.JSE', y el Department of Information Resources, DIR (Departamento de recursos de información, en inglés) está liderando una respuesta a este ciberataque masivo.

El 16 de agosto más de 20 agencias estatales de Texas comunicaron que habían sufrido un ataque de ransomware. Según varios comunicados de la DIR, la mayoría de estas entidades eran pequeñas y locales y los sistemas y redes del estado de Texas no se han visto afectados.

La División de Manejo de Emergencias de Texas está coordinando el apoyo ofrecido por las agencias estatales a través del Centro de Operaciones del Estado de Texas. Aún no se ha localizado el origen de los ataques y sigue bajo investigación, pero según el DIR, "la evidencia existente indica que los ataques provienen de un solo actor".

Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE', que encriptó los archivos de las agencias afectadas. Este 'malware', advertido por primera vez hace un año, no muestra ninguna nota ni solicita rescate alguno, como resulta frecuente en los 'ransomware'.

Además, la DIR ha informado que parece que todos los sistemas que se han visto afectados han sido identificados y notificados y varias agencias están ya colaborando con ellas y la DIR, para volver a establecer los sistemas.

Europapress (19/08/2019)

Más información