Noticias

Detectados correos electrónicos que suplantan la identidad del Ministerio de Economía y Empresa para la distribución de malware

osi - Vie, 08/11/2019 - 17:05
Publicado el: 08/11/2019 Importancia: Alta Phishing

Se ha detectado una campaña de correos electrónicos que intentan suplantar al Ministerio de Economía y Empresa. El correo, bajo el pretexto de informar al usuario sobre cómo validar los certificados electrónicos, los requisitos técnicos necesarios para realizar trámites en la Sede Electrónica así como indicar cuáles son los sistemas de firma y certificados admitidos, invita al usuario a hacer clic sobre un botón que, al pulsarlo, descarga un fichero malicioso en el equipo de la víctima.

Categorías: Noticias

Actualiza tus contraseñas de acceso a Wallapop

osi - Lun, 04/11/2019 - 13:53
Publicado el: 04/11/2019 Importancia: Alta Protección Privacidad

En los últimos días la famosa aplicación de compraventa de segunda mano, Wallapop, ha informado a sus usuarios a través de correo electrónico, de un acceso indebido a su plataforma y recomienda cambiar a todos sus usuarios las credenciales de acceso a la cuenta.

Categorías: Noticias

Aprobado el Real Decreto-ley en materia de administración electrónica, contratación de las administraciones públicas y telecomunicaciones

ccn-cert - Dom, 03/11/2019 - 18:04
  • El Consejo de Ministros, celebrado el jueves 31 de octubre, aprobó el Real Decreto-ley por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público y telecomunicaciones.

El presente Real Decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones públicas; a los datos que obran en poder de las mismas; a la contratación pública; y al sector de las telecomunicaciones.

El texto incluye iniciativas sobre la documentación nacional de identidad, la identificación electrónica ante las administraciones, los datos que obran en poder de las mismas, la contratación pública y el sector de las telecomunicaciones. La norma, que refuerza la Ley de Seguridad Nacional, entrará en vigor el próximo martes, 5 de noviembre, tras su publicación en el Boletín Oficial del Estado.

La vicepresidenta del Gobierno, ministra de la Presidencia, Relaciones con las Cortes e Igualdad en funciones, Carmen Calvo, en la rueda de prensa posterior al Consejo de Ministros, defendió que la urgencia del procedimiento responde a la necesidad de reforzar la protección de los derechos y libertades de los ciudadanos y el "interés general del país en su totalidad demográfica y territorial".

Calvo argumentó que las medidas reguladas en el Real Decreto-ley afectan a siete ministerios, son proporcionadas y se han tomado de forma responsable: "En el ámbito digital ocurren cosas que, a veces, son irreparables. Por lo tanto, hay que reaccionar de manera inteligente, razonable y proporcional" ante las denominadas ciberamenazas.

Principales iniciativas

El Documento Nacional de Identidad, con carácter exclusivo y excluyente, será el único documento con valor suficiente para acreditar la identidad y los datos personales de su titular. Además, la vicepresidenta subrayó que los servidores con los que operan las administraciones públicas tendrán que estar en territorio de la Unión Europea y no en paraísos digitales. "Tenemos que conocer de dónde sale la información en este país, quiénes la manejan y con qué fines", dijo.

La vicepresidenta también explicó que se refuerza el acceso de los ciudadanos a la administración pública y la protección de sus datos personales. La norma, añadió, incluye medidas en materia de contratación pública para garantizar que los contratistas cumplan la normativa en materia de protección de datos y seguridad pública.

En el ámbito de las telecomunicaciones, Calvo resaltó que hay que identificar más y mejor las ciberamenazas y reaccionar ante el espionaje y la utilización incorrecta de datos en casos esenciales para el funcionamiento de una democracia, como los procesos electorales. Asimismo, recalcó que el Real Decreto-ley afecta a todas las administraciones públicas y a todas las comunidades autónomas.

Contenido

El Real Decreto-ley consta de un preámbulo y un texto artículo estructurado del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 a 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla medidas en materia de documentación nacional de identidad, dirigidas a configurar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.

El capítulo II establece varias medidas en materia de identificación electrónica ante las Administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones públicas. La finalidad de estas medidas es garantizar la seguridad pública a nivel tanto vertical en las relaciones entre las distintas Administraciones públicas cuando traten datos personales, así como a nivel horizontal entre ciudadanos y Administraciones públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en el ejercicio de una función pública.

El capítulo III regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario y urgente asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El capítulo IV regula varias medidas para reforzar la seguridad en materia de telecomunicaciones.

Finalmente, el capítulo V refuerza los deberes de cooperación de las administraciones en el ámbito de la ciberseguridad.

Presidencia del Gobierno (31-10-2019)

Consejo de Ministros

Real Decreto-Ley

 

Categorías: Noticias

Código de buenas prácticas de desinformación, informes anuales de sus firmantes

ccn-cert - Mié, 30/10/2019 - 15:36

La Comisión Europea ha publicado la primera autoevaluación anual de las compañías que firmaron el Código de Buenas Prácticas en Materia de Desinformación, con el fin de llevar a cabo una evaluación completa de la eficacia del Código, que se presentará a principios de 2020.

La Comisión ha recibido informes anuales de autoevaluación de las plataformas online y de las empresas tecnológicas Google, Facebook, Twitter, Microsoft y Mozilla, así como de asociaciones profesionales todas ellas firmantes del Código de buenas prácticas contra la desinformación, en los que se detallan las políticas, los procesos y las acciones emprendidas para cumplir sus respectivos compromisos durante su primer año de funcionamiento.

Según lo previsto en el Plan de Acción de diciembre de 2018, la Comisión está llevando a cabo su evaluación global de la eficacia del Código de Buenas Prácticas.

Además de las autoevaluaciones de los signatarios, la Comisión tendrá en cuenta:

  • Aportaciones del Grupo de Reguladores Europeos para los Servicios de Comunicación Audiovisual (ERGA)
  • Una evaluación de una organización externa seleccionada por los signatarios del Código.
  • Una evaluación de un consultor independiente contratado por la Comisión.
  • Un informe sobre las elecciones al Parlamento Europeo de 2019.

A partir de ahí, la Comisión presentará su evaluación global a principios de 2020. En caso de que los resultados del Código resulten insatisfactorios, la Comisión podrá proponer otras medidas, incluso de carácter reglamentario.

Comisión Europea (29/10/2019)

Más información

 

Categorías: Noticias

Atentos al supuesto sistema solidario que pide 33 euros a través de WhatsApp

osi - Jue, 24/10/2019 - 16:02
Publicado el: 24/10/2019 Importancia: Alta Fraude Ingeniería social WhatsApp

En los últimos días se está viralizando, principalmente a través de la aplicación de mensajería instantánea WhatsApp, un mensaje con un enlace a un vídeo en el que se invita al usuario que lo recibe a participar en un intercambio de dinero colectivo. En el mensaje se afirma que si se entregan 33€ y se invita a dos personas, el usuario recibe 1.848€ transcurridos 8 días.

Categorías: Noticias

Suplantan la identidad de Correos a través de SMS

osi - Vie, 18/10/2019 - 13:06
Publicado el: 18/10/2019 Importancia: Alta Correos Phishing SMS

Se ha detectado una campaña de envío de mensajes de texto a móviles que suplantan la identidad de Correos. El objetivo es redirigir a la víctima a una página falsa (phishing) que simula ser la de Correos, donde le solicitan realizar un pago mínimo de 1€, introduciendo sus datos personales y de tu tarjeta de crédito en un formulario.

Categorías: Noticias

La AEPD publica una guía para facilitar la aplicación de la privacidad desde el diseño

ccn-cert - Jue, 17/10/2019 - 13:41
  • El documento aporta fórmulas para facilitar la incorporación de la privacidad y los principios de protección de datos desde el momento en el que comienzan a diseñarse sistemas, productos, servicios o procesos.
  • La Guía está dirigida a responsables, así como a proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse. El documento está dirigido a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La guía se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercero analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo.

Por otra parte, se abordan las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, en el documento se dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.

Por último, la Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto.

Más información:

Agencia Española de Protección de Datos

CCN-CERT (17/10/2019)

Categorías: Noticias

Los Estados miembros de la UE publican un informe acerca de la seguridad de las redes 5G

ccn-cert - Mié, 16/10/2019 - 13:14
  • Este documento se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros.
  • En el informe se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Los Estados miembros, con el apoyo de la Comisión y de la Agencia de la Unión Europea para la Ciberseguridad, han publicado un informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la ciberseguridad de las redes de quinta generación (5G). Esta importante medida forma parte de la aplicación de la Recomendación de la Comisión Europea adoptada en marzo de 2019 para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.

Las redes 5G constituirán la futura espina dorsal de nuestras economías y sociedades cada vez más digitalizadas. Estas redes afectan a miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial que contienen información delicada y sirven de respaldo a los sistemas de seguridad. Por lo tanto, es esencial garantizar la seguridad y resistencia de las redes 5G.

El informe se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros de la UE. En dicho documento se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Esta evaluación sirve de base para determinar las medidas paliativas que pueden aplicarse a escala nacional y europea.

Más información:

Comisión Europea

 

Categorías: Noticias

Una actualización de WhatsApp soluciona una vulnerabilidad que explotaba GIF maliciosos

osi - Mié, 09/10/2019 - 12:18
Publicado el: 09/10/2019 Importancia: Media Actualización Vulnerabilidad Whatsapp

Se ha descubierto una vulnerabilidad en la versión 2.19.244 de WhatsApp para Android, que podría permitir a un atacante ejecutar código arbitrario remoto, a través de una imagen con extensión .gif manipulada de forma maliciosa.

Categorías: Noticias

El NIST publica un documento sobre seguridad en el sector salud

ccn-cert - Vie, 04/10/2019 - 11:29
  • Se trata de un borrador elaborado por el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) que estará abierto a recibir comentarios públicos hasta el 18 de noviembre.
  • La guía práctica de la NCCoE NIST SP 1800-24, Securing Picture Archiving Communications System, ayudará a evitar riesgos en los sistemas PACS de gestión de imágenes médicas.

El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. ha publicado el borrador de la Publicación Especial del NIST (SP) 1800-24, Securing Picture Archiving and Communication System (PACS): Ciberseguridad para el sector de la salud, con el objetivo de recibir comentarios públicos. La fecha límite es el 18 de noviembre de 2019.

Las imágenes médicas juegan un papel importante en el diagnóstico y tratamiento de los pacientes. El sistema que las administra se conoce como Sistema de Comunicaciones de Archivo de Imágenes (PACS), el cual forma parte de un entorno de organización de prestación de servicios de salud (HDO) altamente complejo que implica la interconexión con una variedad de sistemas interconectados. Esta complejidad puede introducir o exponer oportunidades que permiten a los actores maliciosos comprometer la confidencialidad, integridad y disponibilidad del ecosistema PACS.

El NCCoE analizó los factores de riesgo con respecto al ecosistema PACS utilizando una evaluación de riesgo basada en el Marco de Ciberseguridad del NIST y otros estándares relevantes. Tras ello, este Centro desarrolló un ejemplo de implementación que demuestra cómo las HDOs pueden usar tecnologías de ciberseguridad basadas en estándares y disponibles comercialmente para proteger mejor el ecosistema PACS.

Esta guía práctica ayudará a los HDOs a implementar los estándares actuales de ciberseguridad y las mejores prácticas para reducir riesgos, manteniendo al mismo tiempo el rendimiento y la usabilidad de los PACS.

Más información:

NIST

CCN-CERT (04/10/2019)

Categorías: Noticias

Detectada campaña de correos electrónicos que suplantan a Netflix

osi - Vie, 27/09/2019 - 12:15
Publicado el: 27/09/2019 Importancia: Media Correo electrónico Netflix Phishing

Se ha detectado una campaña de envío de correos electrónicos que suplantan a Netflix, la famosa plataforma de vídeo bajo demanda en streaming, con el objetivo de redirigir a la víctima a una página falsa (phishing) que simula ser la legítima y robarle los datos personales y bancarios.

Categorías: Noticias

La suplantación digital de identidad se dispara: casi 3.000 demandas en el último año

ccn-cert - Mié, 25/09/2019 - 09:32

Mejorar las habilidades digitales de la ciudadanía, fomentar el uso de herramientas de identificación seguras y apostar por la figura de colaboradores sociales (profesionales que ejercen su actividad profesional en el ámbito de la gestión tributaria y están colegiados). Esta es la receta del Colegio Oficial de Gestores Administrativos de Madrid para combatir el fraude digital por suplantación de identidad que, según el informe elaborado junto con la consultora Iclaves y presentado este martes, supone un freno para el uso de la Administración Electrónica debido a la desconfianza generada entre ciudadanos y empresas.

"La suplantación de identidad se entiende como un medio para acometer más delitos. Normalmente vinculados al fraude económico", explica Juan Pablo Villar, Research Manager de iClaves. Un ciberdelito poco percibido entre los españoles, solo el 35% es consciente de los problemas que puede acarrear, según el Eurobarómetro. Sin embargo, el porcentaje de ciudadanos españoles que se muestran preocupados por la suplantación digital de la identidad se sitúa entre los más altos de Europa, junto a búlgaros e ingleses.

El fraude afecta tanto a personas físicas como jurídicas. En 2017, la empresa tecnológica Hocelot estimó en 1.600 millones de euros las pérdidas anuales derivadas del robo de identidad en España. Unos riesgos económicos y reputacionales que no paran de crecer. Entre 2013 y 2017 las denuncias por suplantación de identidad han aumentado a un ritmo medio anual del 16,5%, alcanzando las 2.948 demandas en 2017. En el código civil viene reconocido como delito de "usurpación del estado civil" y acarrea unas penas de prisión de 6 meses a 3 años.

Dentro de los ciberdelitos, aquellos que más crecen son los vinculados al fraude económico. Entre 2011 y 2017 las estafas denunciadas con tarjetas de crédito, débito y cheques de viaje han aumentado a un ritmo anual del 34,3%, pasando de las 4.489 demandas a 26.399. Mientras tanto, las estafas bancarias crecieron con una tasa media anual del 14,4%, pasando de 2.645 en 2011 a 5.942 en 2017. Por otro lado, los delitos asociados a la reputación (calumnias, injurias, descubrimiento y revelación de secretos y amenazas), no ha experimentado un incremento considerado. "Los hechos conocidos por las autoridades no son todos aquellos que realmente se producen, ya que un porcentaje elevado de fraudes no son denunciados", afirman desde el Colegio de Gestores Administrativos.

"Los que sufren estos delitos les supone grandes cambios en su vida. Pueden llegar a tener un efecto muy negativo", afirma Villar. Las principales consecuencias son la negación de nuevas tarjetas o créditos bancarios, pero también se puede llegar a producir una pérdida del trabajo o una nueva deuda el gasto acometido por el usurpador de la identidad.

¿Como combatirlo?

Desde el Colegio Oficial de Gestores Administrativos de Madrid apuestan por una mayor digitalización de la ciudadanía. "Es un punto de mejora muy fuerte", afirma Villar. Según la Comisión Europea el nivel de digitalización de los españoles obtiene una puntuación de 53,6 puntos. Menor que la media europea (54,9 puntos) y muy lejos de los países donde los usuarios de Internet cuentan con mayores habilidades: Luxemburgo (85,3 puntos), Holanda (77,5 puntos), Suecia (75,2 puntos) y Finlandia (73,4 puntos).

Otra herramienta determinante, según los administrativos, es incrementar el uso de herramientas seguras como el certificado digital. Según el INE, la falta de habilidades y conocimientos es el segundo motivo por el que los usuarios españoles de Internet no enviaron electrónicamente formularios cumplimentados a las Administraciones Públicas. "Factores como la edad o el nivel de formación tienen una influencia muy destacada en la capacitación digital. A la hora de diseñar planes de actuación conducentes a su mejora, ambos factores deberán ser tenidos en cuenta para definir estrategias diferenciadas y adaptadas a cada perfil de usuario", afirman desde el Colegio, para quiénes se debe apostar por la formación mediante cursos gratuitos.

Tanto los nativos digitales como la población más ajena a la digitalización deben enfrentarse a procedimientos complejos que requieren habilidades digitales avanzadas para utilizarlo correctamente. Por ello, desde el Colegio de Gestores Administrativos resaltan la importancia de los colaboradores sociales para que los ciudadanos y empresas puedan beneficiarse de un uso más extensivo de servicios online que requieren de una autentificación segura, en particular de los servicios de la eAdministración. "El uso de gestores sociales puede contribuir a la reducción del fraude digital por suplantación de identidad, sirviendo de ejemplo para que los usuarios de Internet adopten mayores medidas de seguridad en el acceso a servicios online", comenta Villar.

eldiario.es (24/09/2019)

Más información

 

Categorías: Noticias

Detectada campaña de correos electrónicos con malware adjunto

osi - Mar, 24/09/2019 - 15:44
Publicado el: 24/09/2019 Importancia: Media Correo electrónico Malware

Se ha detectado una campaña de envío de correos electrónicos con un archivo adjunto que contiene malware. Los correos presentan diferentes asuntos, pero todos ellos tienen el citado adjunto y tienen como objetivo que el usuario se lo descargue para así infectar el dispositivo y obtener información confidencial de la víctima.

Categorías: Noticias

Ciclo gratuito de conferencias sobre ciberseguridad

ccn-cert - Jue, 19/09/2019 - 14:26
  • Diversos expertos ofrecerán una serie de webinars sobre los niveles táctico/técnico, operacional/gerencial y estratégico/directivo de la ciberdefensa.
  • Estas conferencias, que darán comienzo el próximo 3 de octubre y están organizadas por la empresa DarFe, constarán de cuatro sesiones online y la participación será libre, previa inscripción.

El próximo 3 de octubre da comienzo un ciclo gratuito de conferencias sobre ciberseguridad. Concretamente, se tratará de un total de cuatro mesas redondas sobre ciberdefensa ofrecidas en modalidad online. Para disfrutar de este ciclo, organizado por la empresa DarFe bajo el título de “Ciberdefensa: ¿Cómo enfrentar este nuevo dominio militar?”, será necesario inscribirse previamente.

El objetivo de estos webinars es que diversos especialistas, tanto del ámbito militar como privado, presenten el tema de la ciberdefensa desde diversos niveles, dando lugar a debates. Con ello se espera obtener interesantes conclusiones que contribuyan con el acervo de conocimientos necesarios en esta materia y a extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes, combinando conceptos operacionales con herramientas técnicas.

Las cuatro sesiones que conforman este ciclo son las siguientes:

  1. Nivel Táctico/Técnico (03 de octubre de 2019 a las 19 hs de España)
  2. Nivel Operacional/Gerencial (10 de octubre de 2019 a las 19 hs de España)
  3. Nivel Estratégico/Directivo (17 de octubre de 2019 a las 19 hs de España)
  4. Conclusiones finales (24 de octubre de 2019 a las 19 hs de España)

Inscripciones:

TECNOWEBINARS

Categorías: Noticias

Campaña de correos electrónicos falsos que suplantan a la Agencia Tributaria

osi - Mar, 17/09/2019 - 17:20
Publicado el: 17/09/2019 Importancia: Alta Correo electrónico Fraude Suplantación

Se ha detectado varias campañas, a través de correos electrónicos falsos, que intentan robar datos personales de los usuarios haciéndose pasar por la Agencia Tributaria.

Categorías: Noticias

ENAC publica los criterios y proceso de acreditación para la certificación de la Conformidad con el ENS

ccn-cert - Jue, 12/09/2019 - 22:54
  • El objetivo de esta publicación es servir de complemento al proceso de acreditación establecido en el PAC-ENAC
  • El documento se ha elaborado con la colaboración con el Centro Criptológico Nacional (CCN) y la Secretaría de Estado de Función Pública.

La Entidad Nacional de Acreditación (ENAC) ha publicado un nuevo documento relacionado con el Esquema Nacional de Seguridad, ENS. Dicha publicación, ‘Criterios y proceso de acreditación específico para la certificación de la Conformidad con el Esquema Nacional de Seguridad (ENS)’, ha sido elaborada con la colaboración del Centro Criptológico Nacional (CCN) y de la Secretaría de Estado de Función Pública.

Con el objetivo de servir como complemento al proceso de acreditación establecido en el PAC-ENAC, en el que se detallan todos los pasos a seguir, se señalan aquellos documentos en los que se establecen los requisitos que han de cumplir las entidades.

Entre estos se encuentra la Guía de Seguridad CCN-STIC ‘ENS: Criterios adicionales de Auditoría y Certificación’, publicada el pasado mes de junio. Asimismo, se incluyen las siguientes Normas y Resoluciones:

Por último, el documento de la ENAC destaca las guías de aplicación publicadas por el CCN y que deben ser seguidas por las entidades de certificación en sus aspectos relevantes.

ENAC

Más información

 

Categorías: Noticias

Envío de correos electrónicos fraudulentos que simulan una sextorsión

osi - Mar, 10/09/2019 - 15:12
Publicado el: 10/09/2019 Importancia: Media Email Extorsión

Se ha detectado una nueva campaña de correos electrónicos fraudulentos cuyo objetivo es extorsionar a los destinatarios con un supuesto video de contenido sexual. El ciberdelincuente amenaza con enviar un supuesto video comprometido a los contactos de la víctima en 72 horas, sino realiza el pago de una determinada cantidad de bitcoins.

Categorías: Noticias

Millones de teléfonos de usuarios de Facebook aparecen en una base de datos abierta en Internet

ccn-cert - Vie, 06/09/2019 - 12:54
  • La red social admite que esa información podía extraerse fácilmente de la aplicación antes de abril de 2018.
  • El documento incluía el número público del identificador personal de Facebook y el número de teléfono.

Facebook ha confirmado que 419 millones de números de teléfono de sus usuarios han sido encontrados en una base de datos sin contraseña en Internet. El documento incluía solo dos datos: el número público del identificador personal de Facebook, que es sencillo de enlazar con el nombre del usuario, y el número de teléfono.

La web tecnológica Techcrunch ha publicado el hallazgo gracias a una información de Sanyam Jain, investigador de la Fundación GDI. Jain no fue capaz de encontrar al dueño de la base de datos que estaba sin proteger con contraseña y contactó con Techcrunch para evitar que los datos siguieran disponibles. Cuando Techcrunch llamó al host de la base de datos, esta fue retirada.

Según la Fundación GDI, el mayor grupo de números de teléfono afectados por esta filtración son 131 millones de estadounidenses, seguido de 50 millones de vietnamitas y 18 millones de británicos. Por su parte, Facebook ha admitido que esos datos proceden de su aplicación: "Esta base de datos es vieja y parece tener información obtenida antes de los cambios que hicimos el año pasado para retirar la opción de que la gente encontrara a otros a través de sus números de teléfono. La base de datos ha sido retirada y no vemos ninguna evidencia de que haya sido comprometida ninguna cuenta de Facebook".

La gravedad de estas filtraciones no es solo que se "comprometa una cuenta de Facebook", como dice la compañía en su comunicado. La revelación de información personal de usuarios permite ataques refinados como el duplicado de tarjeta sim (o sim swapping) u otros de ingeniería social.

Más información:

Techcrunch (04/09/19)

El País (05/09/19)

Categorías: Noticias

La compañía de cosméticos Yves Rocher sufre una brecha de seguridad

ccn-cert - Mié, 04/09/2019 - 12:59
  • La información de millones de clientes se ha visto expuesta.
  • También se filtraron métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos de la firma francesa.

La compañía de cosméticos francesa Yves Rocher ha sufrido una brecha de seguridad que ha expuesto información de millones de clientes y de algunas de las operaciones de la propia empresa.

El incidente se ha debido a la falta de protección de la base de datos de un servicio de terceros. Concretamente, la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste.

Entre los datos expuestos durante el incidente se encuentran nombres completos de los clientes, sus números de teléfono, direcciones de correo electrónico, así como sus fechas de nacimiento. En cuanto a la información de la compañía, la brecha expuso algunas métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos.

Esta no es la primera ocasión en la que una compañía de cosméticos sufre un incidente similar. Hace algunas semanas, miles de clientes de la compañía francesa Sephora comenzaron a recibir una notificación de la empresa, informando que se filtró una gran cantidad de información de una de las bases de datos de la compañía. Sephora solicitó a los clientes restablecer sus contraseñas, además de ofrecer servicios de monitoreo de información para prevenir un uso malicioso de los datos filtrados.

Más información:

Noticias de Seguridad Informática (04/09/19)

Threat Post (03/09/19)

Categorías: Noticias

Foxit PDF detecta un acceso no autorizado y toma medidas de seguridad

osi - Mar, 03/09/2019 - 15:09
Publicado el: 03/09/2019 Importancia: Media Acceso no autorizado Brecha de seguridad Foxit

Foxit Software, la empresa conocida por sus aplicaciones “Foxit PDF” y “PhantomPDF”, utilizadas por más de 525 millones de usuarios, ha emitido un aviso de ciberseguridad, donde se informa a los usuarios de que se ha realizado un acceso no autorizado a sus sistemas de datos. Dicho acceso podría poner en riesgo la información personal de los usuarios que utilicen el servicio “Mi cuenta”.

Categorías: Noticias

Páginas

Subscribe to Asociación Valenciana de Informáticos de Sanidad agregador: Noticias