Noticias

Se ha hecho pública una vulnerabilidad en la versión para Windows de la famosa aplicación de videoconferencia, Zoom. Esta vulnerabilidad podría explotarse enviando un enlace a la víctima, que en el caso de hacer clic, enviaría su nombre de usuario y el hash de su contraseña de Windows (un código único generado automáticamente a partir de la contraseña) al atacante.

Desde que comenzó la crisis sanitaria a nivel mundial debido al virus COVID-19, se están identificando muchas páginas web fraudulentas que intentan engañar a los usuarios con la venta principalmente de mascarillas, aunque también de otros productos y materiales sanitarios de interés para los ciudadanos: geles hidroalcohólicos, productos desinfectantes, etc. En muchos casos el usuario no llega a recibir el pedido y en otros, si lo reciben, el material no se corresponde con las especificaciones indicadas en la web o no se entrega el número de unidades compradas.

Se ha detectado una campaña de envío de correos electrónicos en los que, utilizando la imagen de la marca Sanytol, se ofrecen muestras gratuitas de sus toallitas desinfectantes. El objetivo es que el usuario registre sus datos personales para múltiples fines comerciales, sin que sea consciente de ello.

Los intentos de engaño hacen referencia a supuestos reembolsos o devoluciones de impuestos, mediante envíos de comunicaciones masivas por correo electrónico en los que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria, o bien la identidad de sus directivos. Con frecuencia, los intentos de fraude hacen referencia a una supuesta información que imposibilita el envío de la devolución de la campaña de Renta y suplanta la imagen de la Agencia Tributaria.

En estos envíos de correos fraudulentos, conocidos como “phishing”, se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero hay que acceder a una dirección web o rellenar un formulario en los que se deben aportar datos de cuentas bancarias o tarjetas de crédito o débito.

La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.

Más información

Agencia Tributaria

Se ha detectado una campaña de envío de mensajes de texto, SMS, con el asunto “ERTE”, en los que se suplanta la identidad del Servicio Público de Empleo (SEPE), informando al usuario de la aprobación de un ERTE en su empresa, y se solicitan sus datos bancarios para, supuestamente, gestionar la prestación.

• La Europol recoge en un informe cómo los delincuentes han adaptado sus ataques a la actual situación vivida debido al coronavirus, agrupados en cibercrimen, fraude, falsificación y robo.

La Europol, la agencia de la Unión Europea en materia policial, ha publicado un estudio en el que analiza cómo los criminales están sacando partido de la actual situación vivida debido al Covid-19.

El número de ciberataques ha aumentado de forma significativa con la crisis mundial del coronavirus. Los ciberdelicuentes han adaptado sus ataques a la situación, unos cambios que se pueden ver favorecidos, tal y como se detalla en el comunicado publicado por la Europol, por los siguientes factores:

• La alta demanda de ciertos bienes, equipos de protección y productos farmacéuticos.
• Disminución de la movilidad y el flujo de personas a través y dentro de la UE.
• Confinamiento de los ciudadanos y aumento del teletrabajo, dependiendo enormemente de las tecnologías.
• Las limitaciones de la vida pública, lo que hace que algunas actividades delictivas sean menos visibles y sean desplazadas al ámbito doméstico o digital;
• El aumento de la ansiedad y el miedo.
• Disminución de la oferta de ciertos bienes ilícitos en la UE.

Asimismo, la Agencia recoge en su informe la evolución del crimen en función de 4 grandes áreas: cibercrimen, fraude, falsificación y robo. En el caso de cibercrimen, se ha notado un notable aumento de los ataques dirigidos a organizaciones y se espera que estos continúen elevándose. En cuanto al fraude, en las próximas semanas se verá cómo aparecen nuevas o adaptadas modalidades de estafa, aprovechándose del miedo generalizado. Por su parte, los delincuentes que se dedican a la falsificación han enfocado su objetivo en los productos sanitarios, lo cual implica un enorme riesgo. Por último, los ladrones están utilizando la suplantación de identidades con la excusa de ofrecer información o productos relacionados con el coronavirus, para cometer sus robos.

Más información:

Europol (27/03/2020)

Se ha detectado un phishing a la plataforma de vídeos Netflix, a través de un enlace que se está difundiendo por el canal de mensajería instantánea WhatsApp, bajo la demanda de una suscripción gratuita y utilizando de gancho el COVID-19. No obstante, este fenómeno podría extenderse a otras plataformas de entretenimiento y/o a través de otros canales, como el correo electrónico. El objetivo es redirigir a la víctima a una página que simula ser legítima para robar sus datos personales y/o bancarios.

Se han detectado aplicaciones maliciosas, en su mayoría para dispositivos Android, que aseguran tener la utilidad de facilitar un mapa para seguir la evolución del coronavirus. La difusión de este tipo de aplicaciones se realiza a través de correos electrónicos que suplantan a entidades bancarias y contiene un enlace de descarga a la aplicación maliciosa. Aunque también podrían difundirse a través de otro tipo de correos electrónicos o de mensajería instantánea.

Microsoft informa de que se han identificado vulnerabilidades en el sistema operativo que aún no han sido solucionadas. En concreto, dichas vulnerabilidades afectan a la Biblioteca Adobe Type Manager. Un ciberdelincuente podría aprovechar este fallo convenciendo a un usuario para que abra un documento especialmente diseñado o mostrarlo en el Panel de vista previa de Windows y llevar a cabo, a continuación, distintas acciones maliciosas.

• Para hacer frente a la epidemia de coronavirus, se están generalizando el trabajo no presencial y el canal digital. En este escenario, muchos usuarios no habituados a trabajar en remoto tienen que adaptar sus hábitos de trabajo, incluyendo la aplicación de pautas de ciberseguridad.

Interesa la protección frente a ciberdelincuentes que puedan intentar realizar campañas de “phishing” en las que, haciéndose pasar por personal de la organización, en especial de atención a usuarios, pretendan obtener credenciales de acceso a los sistemas.

También interesan pautas o recomendaciones de protección que los usuarios pueden aplicar en el uso de sus ordenadores, dispositivos móviles, correo electrónico, redes sociales, almacenamiento en la nube, y cómo actuar en caso de un posible incidente.

Los siguientes recursos facilitan orientación ágil para usuarios:

• Recomendaciones ante ataques de phishing para personal en teletrabajo
• Recomendaciones frente a phishing y desinformación en relación con COVID19
• Recomendaciones de ciberseguridad para usuarios

Más información:

PAE - Portal administración electrónica (16/03/2020)

Se han detectado varias campañas de envío de correos electrónicos con archivos adjuntos que contienen malware. Los correos presentan diferentes asuntos y sus mensajes están personalizados según la empresa a la que pretenden suplantar. Todos ellos utilizan una llamada de atención sobre la crisis sanitaria causada por el COVID-19. Estos correos tienen como objetivo que el usuario se descargue el archivo adjunto para infectar el dispositivo y obtener información confidencial de la víctima.

Se ha detectado una campaña de envío de correos electrónicos que redirigen al usuario a una página web que descarga un archivo que contiene malware. Los correos presentan el asunto “PAGA TU MULTA”, cuyo remitente suplanta a la Dirección General de Tráfico (DGT). El objetivo es que el usuario caiga en el engaño, acceda a la web y descargue el fichero malicioso para así infectar el dispositivo y obtener información confidencial de la víctima.

• El método, que se valía de la ingeniería social, consistía en persuadir a los operadores de telefonía para que transfirieran los servicios telefónicos de sus víctimas a una tarjeta SIM bajo su control.

La Europol, junto con la policía nacional española y rumana, ha arrestado a 26 personas en relación con el robo de más de 3,5 millones de euros (3,9 millones de dólares) mediante el secuestro de números de teléfono de personas a través de ataques de intercambio de tarjetas SIM. 12 personas eran de España y las otras 14 de Rumania.

Este hecho se produce en un momento en que los ataques de intercambio de SIM se están convirtiendo en una de las mayores amenazas tanto para los operadores de telecomunicaciones como para los usuarios de móviles. El método utilizado consiste en ingeniería social, concretamente en persuadir a los operadores de telefonía para que transfieran los servicios telefónicos de sus víctimas a una tarjeta SIM bajo su control.

El intercambio de la tarjeta SIM permite a los atacantes acceder a las llamadas telefónicas entrantes, a los mensajes de texto y a los códigos de verificación únicos (o contraseñas únicas) que varios sitios web envían a través de mensajes SMS como parte del proceso de autenticación de dos factores (2FA).

En este sentido, un estafador puede hacerse pasar por la víctima con un proveedor de cuentas en línea y solicitar el restablecimiento de la contraseña o un código de autenticación al dispositivo de intercambio de la tarjeta SIM controlado por los ciberdelincuentes. De este modo, el atacante puede restablecer las credenciales de inicio de sesión de la cuenta de la víctima y acceder a la cuenta sin autorización.

Aunque es poco probable que estos tipos de ataques desaparezcan pronto, aseguran desde la Europol, se pueden tomar ciertas medidas de prevención, como configurar un PIN para limitar el acceso a la tarjeta SIM, desvincular los números de teléfono de las cuentas en línea o utilizar una aplicación de autenticación o una clave de seguridad para proteger las cuentas.

Más información:

Europol (16/03/2020)

Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a CaixaBank, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

La Agencia Española de Protección de Datos ha aprobado las primeras normas corporativas vinculantes (BCR, por sus siglas en inglés) en el marco del Reglamento general de protección de datos (RGPD), siendo también una de las primeras que se aprueban a nivel europeo. En la tramitación de estas BCR la Agencia ha actuado como autoridad líder y ha contado con el informe favorable del Comité Europeo de Protección de Datos.

Las normas corporativas vinculantes son las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

El RGPD recoge, en su considerando 110, que “todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal”. Además, el RGPD dispone que la autoridad de control competente aprobará las BCR de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD cuando estas sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y cumplan los requisitos establecidos en el artículo 47.2 del RGPD.

AEPD (16/03/2020)

Más información

Se han detectado varias campañas de envío de correos electrónicos fraudulentos que suplantan al Banco Santander, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

• Se ha publicado el Informe REINA 2019, que presenta el análisis de los indicadores más significativos del sector TIC del año 2018 en la Administración General del Estado.

Ya está disponible para su consulta el informe REINA 2019 con el análisis de los indicadores más representativos de la situación y uso de los sistemas y tecnologías de la Información y Comunicaciones en la AGE, así como del personal TIC empleado. La información se ha actualizado a 31 de mayo de 2018, debido a que la aplicación del REINA sólo puede trabajar con una estructura ministerial y el 6 de junio se publicó el Real Decreto 355/2018, por el que se reestructuran los departamentos ministeriales.

La Comisión de Estrategia TIC (creada por Real Decreto 806/2014, de 26 de septiembre) tiene entre sus funciones "actuar como Observatorio de la Administración Electrónica y Transformación Digital" y es el responsable de la elaboración de éste Informe. REINA se viene publicando con periodicidad anual desde 1988.

Al igual que el año pasado esta edición de REINA 2019 no incluye el informe IRIA, ya que dicho estudio ha sido actualizado con objeto de contemplar las nuevas tendencias en Administración electrónica, y se publica por separado.

El informe se ha realizado en base a los datos que proporcionan las organizaciones de la Administración General del Estado, Organismos Autónomos, Entidades Gestoras y Servicios Comunes de la Seguridad Social, Agencias Estatales, Entidades Públicas Empresariales y otros Organismos Públicos participantes, en la aplicación REINA. En él se analizan diferentes aspectos relacionados con los gastos e inversiones TIC, el parque informático actualizado de la AGE, software utilizado y el personal efectivo destinado a competencias TIC.

Respecto a los resultados, durante el ejercicio 2018 en la Administración General del Estado, los gastos TIC alcanzaron los 1.415 millones de euros, cifra que representa un decremento del 1,74% frente a los 1.440 de 2017. Sigue de este modo la tendencia a la baja del año anterior, situándose por debajo de la cifra de 2013 que marca el punto más bajo de los últimos ocho años.

El volumen total de gastos informáticos fue de 1.133 millones de euros un 4,23% inferior al pasado año 2017. Los gastos en telecomunicaciones fueron de 282 millones de euros un 9,73% más que en 2017.

Un dato de interés es conocer cuánto del presupuesto total de los Ministerios se ha destinado a los gastos TIC. El indicador global se sitúa en un 3,28 %, lo que supone un descenso de casi seis décimas porcentuales con respecto al año 2017.

Cabe señalar, que la partida de "personal" disminuye, respecto al año anterior, en prácticamente todos los Ministerios, a excepción del Ministerio de Interior; alcanzando casi los 233 millones de euros, al contrario que la partida de "servicios" que aumenta la partida en el 78% de los Ministerios, hasta casi los 585 millones de euros. En 11 de los 13 Ministerios esta es la partida con más porcentaje dentro de los gastos informáticos.

El esfuerzo presupuestario que los Departamentos hacen en gastos informáticos, se muestra en la relación entre este gasto y la suma de los capítulos 1, 2 y 6 de los Presupuestos Generales del Estado. En este año 2018 el indicador global se sitúa en el 2,63% notablemente menor que el 3,12% de 2017.

Las cifras recogidas en el informe REINA se publican también en los formatos procesables XLSX y ODS que forman parte de nuestra política RISP. El informe completo puede descargarse en el Observatorio de Administración Electrónica.

Más información:

Portal de Administración Electrónica (06/03/2020)

En los últimos días el conocido foro sobre móviles, tablets y tecnología HTCMania ha hecho pública la difusión no autorizada de datos de sus usuarios. En el mensaje publicado en el propio foro, HTCMania recomienda por prevención, a todos sus usuarios cambiar periódicamente las credenciales de acceso a su cuenta.

Se han detectado varios casos de intentos de fraude, cuyo origen se encuentra en un contacto interesado en comprar un producto a través de una aplicación de compraventa de artículos de segunda mano, en concreto Wallapop. El ciberdelincuente redirige la comunicación hacia el correo electrónico, mediante el que trata de engañar al vendedor para que le envíe dinero a través de tarjetas prepago, o le dé sus datos bancarios mediante un phishing realizado a DHL.

• En este informe, en cuya elaboración y desarrollo ha participado el Centro Criptológico Nacional, se ofrecen directrices y buenas prácticas para los hospitales a la hora de adquirir servicios, productos e infraestructuras.

ENISA, la agencia europea de ciberseguridad, ha publicado una nueva guía de buenas prácticas para hospitales (Cybersecurity Procurement Guide for Hospitals), en cuya elaboración y desarrollo ha participado el Centro Criptológico Nacional (CCN). En este documento, la agencia ofrece una serie de directrices para la adquisición segura de servicios, productos, material e infraestructuras en el entorno sanitario.

Todas las buenas prácticas están vinculadas a los tipos de adquisición para los que son pertinentes y a las amenazas que pueden mitigar, proporcionando un conjunto de prácticas fáciles de filtrar para los hospitales que deseen centrarse en aspectos concretos.

A medida que la ciberseguridad se convierte en una prioridad para los hospitales, es esencial que se integre de forma holística en los diferentes procesos, componentes y etapas que influyen en el ecosistema de las TIC sanitarias.

La adquisición de servicios, productos, etc. es un proceso clave que configura el entorno de las Tecnologías de la Información y la Comunicación (TIC) de los hospitales modernos y, como tal, debe estar en primera línea cuando se trata de cumplir los objetivos de la ciberseguridad.

Más información:

• ENISA