Noticias

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

ccn-cert - Mié, 10/07/2019 - 08:45
  • Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
  • El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

AEPD (09/07/2019)

Categorías: Noticias

Las bombas de insulina de Medtronic anteriores a 2013 podrían sufrir ciberataques

ccn-cert - Mar, 02/07/2019 - 12:29
  • Una vulnerabilidad encontrada el pasado jueves puede provocar que los usuarios reciban dosis alteradas de esta hormona.
  • Medtronic avisa de que al menos 4.000 personas están usando dispositivos antiguos.

La compañía de dispositivos médicos Medtronic está avisando a miles de usuarios que hacen uso de sus bombas de insulina anteriores a 2013 de que estos dispositivos podrían contener una importante vulnerabilidad de ciberseguridad, permitiendo que un ciberatacante modifique los ajustes de envío de medicamentos y provoque que el paciente entre en una situación de emergencia debido a la diabetes. Por su parte, el Departamento de Seguridad Nacional de los Estados Unidos publicó el pasado jueves una serie de recomendaciones para mitigar el problema.

“En este momento, no hemos recibido informes de confirmación de personas sin autorización que hayan modificado los ajustes de los dispositivos o controlado el envío de insulina”, señalan desde Medtronic en una carta enviada a sus clientes el pasado 27 de junio. Asimismo, la compañía calcula que al menos 4.000 personas en Estados Unidos y un número desconocido a nivel internacional siguen utilizando los dispositivos antiguos.

Debido a la vulnerabilidad encontrada, estas personas podrían recibir demasiada o muy poca insulina si un ciberatacante decidiera secuestrar los sistemas de comunicación y enviar estos comandos. En ambos casos, el resultado podría ser perjudicial para el individuo, ya que una dosis repentina de demasiada insulina puede provocar convulsiones o un coma diabético.

Medtronic aconseja a los pacientes que, si es posible, hablen con su médico para obtener una receta para un dispositivo más nuevo. Para aquellos que no pueden o no quieren cambiar, la empresa recomienda que mantengan la bomba y los dispositivos relacionados bajo control físico, mantengan los números de serie de la bomba privados, desconecten los dispositivos del sistema de transmisión remota CareLink cuando no se estén utilizando para transmitir información, que estén atentos de las alarmas de la bomba, así como cancelen cualquier dosis no intencionada de insulina.

Más información: StarTribune

Categorías: Noticias

Recomendaciones del NIST para proteger los dispositivos IoT

ccn-cert - Mar, 02/07/2019 - 08:04
  • El objetivo del informe es ayudar a las organizaciones a mejorar la ciberseguridad de estas tecnologías.
  • En el documento se incluyen diversas consideraciones a tener en cuenta en relación a la ciberseguridad y privacidad en los dispositivos del Internet de las Cosas (IoT), así como los principales retos y recomendaciones para proteger los dispositivos.

El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha publicado un documento con consideraciones para gestionar la ciberseguridad y riesgos en la privacidad en los dispositivos del Internet de las Cosas (IoT). La publicación está dirigida a profesionales que trabajan en organizaciones, principalmente aquellos cuyas funciones están relacionadas con la gestión de la ciberseguridad en los dispositivos IoT.

El informe, cuyo objetivo es ayudar a las organizaciones a proteger estas tecnologías, incluye diversas consideraciones a tener en cuenta, algunos de los principales retos (proteger la seguridad del dispositivo, proteger la seguridad de la información y proteger la privacidad del individuo) y recomendaciones para proteger los dispositivos.

Respecto este último punto, principal objetivo del documento, el NIST aconseja aplicar los siguientes dos principales consejos:

  • Adaptar las políticas y procedimientos de la organización, definiendo de forma clara los dispositivos IoT para evitar confusiones y ambigüedades. Asimismo, las organizaciones deberían asegurar que su ciberseguridad, cadena de suministro y los programas de gestión del riesgo de privacidad tienen en cuenta estos dispositivos correctamente.
  • Implementar acciones de mitigación de riesgos actualizadas. Es muy probable que la mayoría de organizaciones cuente con una mayor variedad de dispositivos IoT que tecnologías IT tradicionales, dado que estos primeros suelen ser diseñados para cumplir una función única, a diferencia de los segundos. Por tanto, la organización necesitará adaptar las prácticas de ciberseguridad en función del tipo de dispositivo del que se trate.

Más información

 

Categorías: Noticias

El Ayuntamiento Cuarte de Huerva se certifica en el Sistema Nacional de Seguridad

ccn-cert - Lun, 01/07/2019 - 08:01

El Ayuntamiento de Cuarte de Huerva (Zaragoza) se ha certificado en el Esquema Nacional de Seguridad (ENS), que tiene como objetivo el establecimiento de una política de seguridad en la utilización de medios electrónicos que permita una protección adecuada de la información.

La empresa aragonesa Cibergob (colaboradora del Centro Criptológico Nacional para implantar el Esquema Nacional de Seguridad en Entidades Públicas y especializada en el campo de la ciberseguridad) ha apoyado al consistorio en este proceso que aborda integralmente la seguridad en todo lo que puede afectar a la protección de la información: transacciones, almacenamiento y tratamiento de datos, etc.

El cumplimiento del Esquema Nacional de Seguridad, además de una obligación para todas las Administraciones Públicas recogida en el Real Decreto 3/2010, garantiza la seguridad en el ciberespacio -generando un marco de trabajo adecuado para la correcta protección de la información de los ciudadanos que gestiona el consistorio- al tiempo que respeta la privacidad y la libertad: prioridad de los países desarrollados y algo fundamental para la sociedad en su conjunto.

En España, el Centro Criptológico Nacional (CCN) es el organismo responsable de garantizar la seguridad de las tecnologías de la información y la comunicación (TIC) en las diferentes entidades del sector público, lo que afecta a los sistemas que procesan, almacenan o transmiten información clasificada.

El alcalde de Cuarte de Huerva, Jesús Pérez, se ha mostrado muy satifecho con este certificado, ya que junto Utebo son los primeros y únicos municipios -de menos de 20.000 habitantes- en su implantación a nivel nacional. Del mismo modo ha alabado la labor fundalmental en la certificación en el Sistema Nacional de Seguridad del responsable infórmatico del consistorio, Ovidiu Necatu, que ha trabajado durante año y medio -en colaboración con Cibergob y Aeonor- para hacerlo posible.

Dicho proceso busca la seguridad tanto para el trabajo de los funcionarios como para los ciudadanos en su relación telemática con la administración, garantizando la completa seguridad de todos cuantos trámites se efectúan a través de nuestra sede electrónica.

Más información: ENS

CCN-CERT (01/07/2019)

Categorías: Noticias

Ya es posible descifrar GandCrab 5.2

ccn-cert - Mié, 26/06/2019 - 07:36
  • La nueva herramienta lanzada permite el descifrado de la última versión de este ransomware

En un trabajo en conjunto entre la Europol, el FBI y Bitdefender, ha sido posible la recuperación de las claves de cifrado que empleaba el ransomware GandCrab 5.2 antes del cierre de los servidores empleados por los criminales tras este malware. Anteriormente, Bitdefender ya había lanzado herramientas para el descifrado de versiones anteriores de GandCrab, pero la versión 5.2 se seguía resistiendo hasta este momento.

La recuperación de las claves ha llegado justo a tiempo antes del cierre del servicio. Ya a principios de mes el grupo tras GandCrab anunciaba en los foros de habla rusa exploit.in que cerrarían a finales de mes tras haber logrado 2000 millones de dólares a un ritmo de 150 millones al año, habiendo blanqueado ya todo el dinero.

La nueva herramienta lanzada por Bitdefender permite el descifrado tanto de esta versión como de otras anteriormente lanzadas de GandCrab. Además de poder descargarse gratuitamente desde la web de Bitdefender, es posible encontrarla en No More Ransom, un proyecto que recopila herramientas de descifrado de este y otros ransomware.

El punto y final a GandCrab supone el cierre de uno de los ransomware más difundidos y que más víctimas ha tenido, aunque aún quedan muchas otras amenazas como GandCrab que siguen sin poder descifrarse. Las ganancias obtenidas por este grupo sólo son una evidencia más de que el ransomware ha llegado para quedarse, y la importancia de tener una buena política de seguridad para estar preparados.

Más información: Una al Día

Categorías: Noticias

Actualización de seguridad de Outlook para Android

osi - Vie, 21/06/2019 - 13:57
Publicado el: 21/06/2019 Importancia: Alta Actualización Outlook Play Store

Microsoft ha lanzado una actualización del gestor de correo Outlook para Android que soluciona una vulnerabilidad de suplantación de identidad también conocida como spoofing que es una técnica de suplantación de identidad en la Red, llevada a cabo por un ciberdelincuente, generalmente, gracias a un proceso de investigación o usando un malware.

Categorías: Noticias

Descubierta vulnerabilidad crítica en Firefox

osi - Mié, 19/06/2019 - 14:20
Publicado el: 19/06/2019 Importancia: Alta Actualización Firefox

Se ha detectado una vulnerabilidad en el navegador web Mozilla Firefox que afecta a todos los usuarios del programa, en su versión de escritorio, independientemente de la plataforma que usen (Windows, Linux o macOS).

Los usuarios de las versiones para dispositivos móviles (Android, iOS) no están afectados por dicha vulnerabilidad.

Categorías: Noticias

La AEPD celebrará su 11ª Sesión Anual Abierta el próximo 25 de junio

ccn-cert - Jue, 13/06/2019 - 07:27

La Agencia Española de Protección de Datos (AEPD) celebrará, el próximo 25 de junio, su 11ª Sesión Anual Abierta. Esta edición renueva completamente su formato, dando cabida a ponentes tanto de la AEPD como de entidades públicas y privadas y desarrollándose en tres foros paralelos en los que se abordarán diversos aspectos relacionados con la aplicación del Reglamento General de Protección de Datos.

Durante la Sesión se efectuará un análisis de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), y se abordarán aspectos relacionados con la responsabilidad activa, los Delegados de Protección de Datos (DPD), los responsables y encargados de tratamiento o la gestión del riesgo tecnológico, entre otros.

El programa completo de la Sesión puede consultarse aquí.

Durante el evento se entregarán los Premios Protección de Datos 2018, que este año alcanzan su 22ª edición. Estos galardones reconocen los trabajos que promueven en mayor medida las buenas prácticas, la difusión y la investigación de este derecho fundamental.

La Sesión está dirigida a representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia.

Las presentaciones y foros realizados en el Auditorio podrán seguirse en directo en streaming a través de la web de la Agencia.

AEPD (07/06/2019)

Más información

Categorías: Noticias

Publicado el Reglamento europeo sobre la Ciberseguridad

ccn-cert - Lun, 10/06/2019 - 10:01
  • El 7 de junio se publicó en el DOUE el Reglamento 2019/881 del Parlamento europeo y del Consejo relativo a ENISA (Agencia europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento 526/2013 (Reglamento sobre la Ciberseguridad).

El Reglamento sobe la Ciberseguridad , establece, por un lado, los objetivos, tareas y aspectos organizativos relativos a ENISA (Agencia de la Unión Europea para la Ciberseguridad); y, por otro lado, un marco para la creación de esquemas europeos de certificación de la ciberseguridad, al objeto de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la UE, así como de evitar la fragmentación del mercado interior en el terreno de los esquemas de certificación de la ciberseguridad. Entrará en vigor el 27 de junio de 2019.

En primer lugar, se desarrollan los aspectos relativos a ENISA que contribuirá a reducir la fragmentación del mercado interior actuando como punto de referencia de asesoramiento y conocimientos especializados en materia de ciberseguridad en la UE. El reglamento establece sus objetivos, tareas, organización, previsiones sobre su presupuesto, personal, y otras disposiciones generales, como su estatuto jurídico.

Las tareas de ENISA incluyen: contribuir a la elaboración y ejecución de la política y del derecho de la Unión; asistir a la creación de capacidades de ciberseguridad; apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa); mercado, certificación de la ciberseguridad y normalización; conocimiento e información; sensibilización y educación; investigación e innovación; y cooperación internacional.

La segunda gran cuestión que aborda el Reglamento es la creación del marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE, con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC.

Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

La Comisión (Abre en nueva ventana) publicará un programa de trabajo evolutivo para los esquemas europeos de certificación de la ciberseguridad que definirá las prioridades estratégicas para los futuros esquemas. Incluirá una lista de productos, servicios y procesos de TIC, o de categorías de los mismos, que pudieran beneficiarse de su inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.

También establece el Reglamento las condiciones para la solicitud, reparación, adopción y revisión de esquemas europeos de certificación de la ciberseguridad; así como sobre sus objetivos, elementos, niveles de garantía, difusión. También establece previsiones sobre la certificación de la ciberseguridad; los Esquemas y certificados nacionales de certificación de la ciberseguridad; las autoridades nacionales de certificación de la ciberseguridad; los organismos de evaluación de la conformidad; y sobre un Grupo Europeo de Certificación de la Ciberseguridad de nueva creación.

Más información: Enisa

Categorías: Noticias

Flipboard confirma el acceso no autorizado a información de cuentas de usuarios de su servicio

osi - Jue, 30/05/2019 - 16:26
Publicado el: 30/05/2019 Importancia: Media Contraseña Filtración de datos Privacidad

Flipboard ha confirmado en un aviso haber sufrido un acceso no autorizado a algunas de sus bases de datos, las cuales contenían datos de usuarios que pudieron ser copiados por los ciberdelincuentes, incluyendo nombres de usuarios, direcciones de correo electrónico, contraseñas cifradas y tokens de cuentas para servicios de terceros, como Facebook o Google.

Categorías: Noticias

Detectada nueva campaña de phishing a Endesa que usa como excusa un supuesto reembolso de 850 euros

osi - Lun, 27/05/2019 - 14:22
Publicado el: 27/05/2019 Importancia: Media Endesa Phishing

Se ha detectado una campaña de phishing a Endesa a través del envío de correos electrónicos fraudulentos (phishing). Mediante estos correos se pretende dirigir a la víctima a una página falsa para que, supuestamente, gestione el reembolso de una factura mal emitida. Para ello, debe facilitar una tarjeta bancaria.

Categorías: Noticias

Detectada una campaña de phishing que suplanta a Bankia

osi - Vie, 24/05/2019 - 11:22
Publicado el: 24/05/2019 Importancia: Media Banco Bankia Phishing

Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a la entidad financiera Bankia, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.

 

Categorías: Noticias

Descubiertas nuevas vulnerabilidades que afectan a los procesadores Intel

osi - Jue, 16/05/2019 - 17:41
Publicado el: 16/05/2019 Importancia: Alta Actualización Intel ZombieLoad

Se han descubierto tres nuevas vulnerabilidades que afectan a procesadores Intel y permiten realizar tres tipos de ataques de ejecución especulativa, pudiendo acceder a información privada de los usuarios. Estos ataques han sido bautizados respectivamente con los nombres ZombieLoad, RIDL y Fallout.

Categorías: Noticias

Detectada nueva vulnerabilidad en Remote Desktop Services de Windows

osi - Jue, 16/05/2019 - 11:56
Publicado el: 16/05/2019 Importancia: Media Actualización Vulnerabilidad Windows

Se ha descubierto una nueva vulnerabilidad crítica de ejecución remota de código en los servicios de escritorio remoto, que afecta a algunas versiones de Windows,incluidas versiones sin soporte, como Windows XP o Windows server 2003.

Microsoft ya ha lanzado parches para corregir esta vulnerabilidad.

Categorías: Noticias

WhatsApp avisa sobre un fallo de seguridad en varios sistemas operativos

osi - Mar, 14/05/2019 - 13:39
Publicado el: 14/05/2019 Importancia: Media Actualización Vulnerabilidad Whatsapp

Facebook ha confirmado la vulnerabilidad con CVE-2019-3568 que podría permitir a un atacante instalar software malicioso en teléfonos de las víctimas a través de una simple llamada telefónica. Se recomienda actualizar a la última versión de Whatsapp disponible que parchea dicha vulnerabilidad.

Categorías: Noticias

Nueva campaña de phishing que suplanta la identidad de PayPal

osi - Lun, 13/05/2019 - 18:05
Publicado el: 13/05/2019 Importancia: Media Fraude PayPal Phishing

Se ha detectado una campaña de correos electrónicos que intentan suplantar a la empresa intermediaria de pagos PayPal.

El correo avisa al usuario de que su cuenta ha sido bloqueada y solicita actualizar información. En el cuerpo del mensaje se facilita un enlace para poder acceder a una página falsa de acceso a su cuenta de PayPal, a través de la cual se solicitan las credenciales de usuario y los datos personales y bancarios vinculados a la cuenta.

Categorías: Noticias

La AEPD publica el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto

ccn-cert - Vie, 10/05/2019 - 06:15
  • Las organizaciones que tratan datos están obligadas a realizar una evaluación de impacto cuando sea probable que ese tratamiento entrañe un alto riesgo para los derechos y libertades de las personas.
  • El listado completo de estos tratamientos puede consultarse aquí

La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto. El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Por otro lado, el apartado 4 de ese mismo artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

La Agencia ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto.

Las Evaluaciones de impacto

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Como herramienta de ayuda al cumplimiento, la Agencia presentó con anterioridad a la aplicación del RGPD las guías de Análisis de Riesgo y Evaluación de Impacto en la Protección de Datos. La Guía de Evaluación de Impacto en la Protección de Datos ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.

AEPD (06/05/2019)

Más información

 

Categorías: Noticias

Desmantelada en España una banda que blanqueaba capitales a través de criptomonedas

ccn-cert - Jue, 09/05/2019 - 08:19
  • La policía española, con ayuda de la Europol, ha desarticulado una red internacional que ofrecía servicios de blanqueo de dinero a organizaciones criminales. Un total de ocho personas han sido arrestadas por la Guardia Civil.

La Guardia Civil española ha desarticulado, con el apoyo de la Europol, una banda delictiva con ramificaciones internacionales, que ofrecía servicios de blanqueo de dinero por encargo a organizaciones criminales.

Tras un operativo desplegado en Madrid, las autoridades policiales españolas detuvieron a ocho sospechosos, quienes presuntamente usaron varios métodos para legitimar capitales provenientes del narcotráfico y otras actividades delictivas. Ente ellos, se incluye el intercambio de moneda fiduciaria por criptomonedas para dificultar el rastreo de los fondos, según explica Europol en el comunicado que lanzó el pasado miércoles.

La operación se encubría tras un modesto servicio de telefonía e Internet ubicado en Madrid, en el cual se instalaron dos cajeros automáticos (ATM) de criptomonedas. De acuerdo con la información, la banda logró blanquear 9 millones de euros a través de transacciones con criptomonedas.

El ‘modus operandi’ de los implicados incluía la técnica de smurfing o pitufeo, que consiste en dividir los montos en cantidades pequeñas, depositadas en varias cuentas bancarias controladas por los delincuentes. El dinero finalmente se intercambiaba por criptomonedas y se enviaba a direcciones de las organizaciones delictivas en plataformas de intercambio.

Se cree que la organización operaba desde hace unos cuatro años, blanqueando dinero para organizaciones delictivas, principalmente de Colombia. Según el comunicado de Europol, el operativo fue un seguimiento de la operación Guatuzo, que resultó en la detención de 23 personas entre España y Colombia a mediados de 2018.

Más información: Europol y Criptonoticias

 

Categorías: Noticias

10kBlaze, Exploits que están afectando a miles de empresas que utilizan aplicaciones SAP

ccn-cert - Mar, 07/05/2019 - 11:07
  • Se ha detectado una gran actividad de ataques dirigidos a las empresas que utilizan SAP como sistema de gestión. A partir de una herramienta 10kblaze (pysap) que aprovecha errores de configuración conocidos de hace más de 10 años.  

A raíz de la actualización de la herramienta pysap, las charlas de la conferencia OPCDE de Mathieu Geli y Dmitry Chastuhin, y de la publicación de las pruebas de concepto (PoC) del exploit dirigido a aplicaciones SAP ha aumentado exponencialmente los ataques a dichos sistemas.

Este ataque denominado 10kblaze no aprovecha ninguna vulnerabilidad conocida en el código de SAP, sino que su efecto se causa a partir de un problema de configuración de las ACL (Listas de control de acceso) se los servidores Message y Gateway, ya conocido desde 2005.

Se estima que 50.000 sistemas son vulnerables a esta explotación a partir de dichas configuraciones erróneas. Los exploits pueden darle al atacante un compromiso total de la plataforma, con la opción de alterar, extraer o modificar información confidencial de aplicaciones comerciales como SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution Manager, SAP GRC Process and Access Control, SAP Process Integration/ Exchange Infrastructure (PI/XI), SAP SCM, y SAP SRM, entre otros.

Lo más preocupante es que un atacante tan solo necesita acceso a la IP y el puerto donde está corriendo el servicio y sería posible ejecutar código remoto en el servidor si este es vulnerable.

El problema con las ACL se produce porque SAP deshabilita esta opción en NetWeaver por defecto para permitir que las empresas adapten su producto a las necesidades de sus clientes.

Para mitigar el error de configuración es posible consultar las SAP Security Notes 821875 (2005), 1408081 (2009) y 1421005 (2010). En ellas se detallan los pasos necesarios para configurar las ACL en los servidores SAP Gateway y Message (es necesario iniciar sesión).

Más información:

Categorías: Noticias

El Departamento de Seguridad Nacional de EE.UU. insta a reducir el tiempo para actualizar las vulnerabilidades

ccn-cert - Lun, 06/05/2019 - 09:14
  • La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) del Departamento de Seguridad Nacional (DHS) de EE. UU. ha dado a las agencias gubernamentales un plazo de 15 días para actualizar las vulnerabilidades críticas.

El Departamento de Seguridad Nacional (DHS) estadounidense ha reducido el tiempo inicial del que disponían las agencias gubernamentales para actualizar sus vulnerabilidades críticas, 30 días, a un plazo de 15 desde que estas fueron detectadas.

La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) lanzó una nueva Directiva Operativa Vinculante (BOD) 19-02 dando instrucciones a las agencias federales y departamentos para actualizar estas vulnerabilidades en el plazo señalado, y mantiene el plazo de 30 días para dar solución a los fallos severos encontrados.

“Mientras que las agencias federales no cesan de aumentar su presencia en Internet por medio de la implementación de sistemas complejos e interconectados, es más importante que nunca que estas solucionen las vulnerabilidades encontradas lo antes posible pues, de no ser así, estas podrían permitir a ciberdelincuentes comprometer sus redes”, asegura en un comunicado el director de la CISA Chris Krebs.

The Hacker News (01/05/2019)

Más información

 

Categorías: Noticias

Páginas

Subscribe to Asociación Valenciana de Informáticos de Sanidad agregador: Noticias