Noticias

• El objetivo de esta publicación es servir de complemento al proceso de acreditación establecido en el PAC-ENAC
• El documento se ha elaborado con la colaboración con el Centro Criptológico Nacional (CCN) y la Secretaría de Estado de Función Pública.

La Entidad Nacional de Acreditación (ENAC) ha publicado un nuevo documento relacionado con el Esquema Nacional de Seguridad, ENS. Dicha publicación, ‘Criterios y proceso de acreditación específico para la certificación de la Conformidad con el Esquema Nacional de Seguridad (ENS)’, ha sido elaborada con la colaboración del Centro Criptológico Nacional (CCN) y de la Secretaría de Estado de Función Pública.

Con el objetivo de servir como complemento al proceso de acreditación establecido en el PAC-ENAC, en el que se detallan todos los pasos a seguir, se señalan aquellos documentos en los que se establecen los requisitos que han de cumplir las entidades.

Entre estos se encuentra la Guía de Seguridad CCN-STIC ‘ENS: Criterios adicionales de Auditoría y Certificación’, publicada el pasado mes de junio. Asimismo, se incluyen las siguientes Normas y Resoluciones:

• Norma UNE EN ISO/IEC 17065
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Por último, el documento de la ENAC destaca las guías de aplicación publicadas por el CCN y que deben ser seguidas por las entidades de certificación en sus aspectos relevantes.

ENAC

Más información

Se ha detectado una nueva campaña de correos electrónicos fraudulentos cuyo objetivo es extorsionar a los destinatarios con un supuesto video de contenido sexual. El ciberdelincuente amenaza con enviar un supuesto video comprometido a los contactos de la víctima en 72 horas, sino realiza el pago de una determinada cantidad de bitcoins.

• La red social admite que esa información podía extraerse fácilmente de la aplicación antes de abril de 2018.
• El documento incluía el número público del identificador personal de Facebook y el número de teléfono.

Facebook ha confirmado que 419 millones de números de teléfono de sus usuarios han sido encontrados en una base de datos sin contraseña en Internet. El documento incluía solo dos datos: el número público del identificador personal de Facebook, que es sencillo de enlazar con el nombre del usuario, y el número de teléfono.

La web tecnológica Techcrunch ha publicado el hallazgo gracias a una información de Sanyam Jain, investigador de la Fundación GDI. Jain no fue capaz de encontrar al dueño de la base de datos que estaba sin proteger con contraseña y contactó con Techcrunch para evitar que los datos siguieran disponibles. Cuando Techcrunch llamó al host de la base de datos, esta fue retirada.

Según la Fundación GDI, el mayor grupo de números de teléfono afectados por esta filtración son 131 millones de estadounidenses, seguido de 50 millones de vietnamitas y 18 millones de británicos. Por su parte, Facebook ha admitido que esos datos proceden de su aplicación: "Esta base de datos es vieja y parece tener información obtenida antes de los cambios que hicimos el año pasado para retirar la opción de que la gente encontrara a otros a través de sus números de teléfono. La base de datos ha sido retirada y no vemos ninguna evidencia de que haya sido comprometida ninguna cuenta de Facebook".

La gravedad de estas filtraciones no es solo que se "comprometa una cuenta de Facebook", como dice la compañía en su comunicado. La revelación de información personal de usuarios permite ataques refinados como el duplicado de tarjeta sim (o sim swapping) u otros de ingeniería social.

Más información:

Techcrunch (04/09/19)

El País (05/09/19)

• La información de millones de clientes se ha visto expuesta.
• También se filtraron métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos de la firma francesa.

La compañía de cosméticos francesa Yves Rocher ha sufrido una brecha de seguridad que ha expuesto información de millones de clientes y de algunas de las operaciones de la propia empresa.

El incidente se ha debido a la falta de protección de la base de datos de un servicio de terceros. Concretamente, la compañía Aliznet, especializada en la transformación digital y que, además de Yves Rocher, trabaja para otras grandes compañías, como Lacoste.

Entre los datos expuestos durante el incidente se encuentran nombres completos de los clientes, sus números de teléfono, direcciones de correo electrónico, así como sus fechas de nacimiento. En cuanto a la información de la compañía, la brecha expuso algunas métricas sobre el tráfico de usuarios en algunas sucursales, volúmenes de ventas y pedidos, detalles sobre algunos productos, datos sobre materia prima y códigos de descuentos.

Esta no es la primera ocasión en la que una compañía de cosméticos sufre un incidente similar. Hace algunas semanas, miles de clientes de la compañía francesa Sephora comenzaron a recibir una notificación de la empresa, informando que se filtró una gran cantidad de información de una de las bases de datos de la compañía. Sephora solicitó a los clientes restablecer sus contraseñas, además de ofrecer servicios de monitoreo de información para prevenir un uso malicioso de los datos filtrados.

Más información:

Noticias de Seguridad Informática (04/09/19)

Threat Post (03/09/19)

Foxit Software, la empresa conocida por sus aplicaciones “Foxit PDF” y “PhantomPDF”, utilizadas por más de 525 millones de usuarios, ha emitido un aviso de ciberseguridad, donde se informa a los usuarios de que se ha realizado un acceso no autorizado a sus sistemas de datos. Dicho acceso podría poner en riesgo la información personal de los usuarios que utilicen el servicio “Mi cuenta”.

En las últimas semanas se ha detectado un aumento de anuncios fraudulentos en los que se utilizan la imagen de personas de reconocido prestigio y reputación con el fin de captar la atención y ganarse la confianza de los usuarios. Existen variantes de todo tipo y aparecen en diversos medios de comunicación y plataformas digitales.

Estos anuncios no han sido elaborados por las redacciones de las páginas web en las que se encuentran, sino que forman parte del espacio publicitario que han comprado de manera legítima los ciberdelincuentes para insertar la publicidad fraudulenta. Dichos anuncios enlazan con plataformas o páginas falsas y las entrevistas, reclamos, titulares, etc., a las que se hace referencia, son ficticias y nunca se han llegado a realizar por los famosos que las protagonizan.

Todo esto forma parte de un intento de fraude con el que los ciberdelincuentes se valen de la reputación de los medios de comunicación y de personas famosas para intentar engañar al usuario y tratar de convencerle para que éste ingrese una cantidad de dinero en una cuenta bancaria o introduzca sus datos bancarios en un formulario proporcionado por los atacantes o, incluso, para infectar su equipo con malware.

En algunos casos, la estafa dura días mediante aplicaciones falsas de inversión en bitcoins. Los usuarios son incitados a registrarse en la supuesta plataforma e invertir pequeñas cantidades por las que enseguida obtienen beneficios y les permiten retirarlos. Poco a poco incitan a invertir más hasta que llega un punto en el que invierten una cantidad mayor y ya no la pueden retirar.

Se ha detectado código malicioso en la versión gratuita de CamScanner, una aplicación de Android destinada a crear documentos PDF que posee más de 100 millones de descargas. Google ha retirado la aplicación de su tienda hasta que se resuelva el incidente.

• Los atacantes solicitan a las víctimas el pago de 0.09981 BTC, unos 900 €, para poder descifrar sus datos.
• A diferencia de los ataques de phishing, el uso de estas conexiones pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo.

Un nuevo ransomware, llamado Nemty, ha sido descubierto durante el pasado fin de semana. Como cualquier malware con cifrado de archivos, la primera versión de este código dañino elimina las copias ocultas (shadow copies) de los archivos que procesa, quitándole a la víctima la posibilidad de recuperar las versiones de los datos creadas por el sistema operativo Windows.

Las víctimas verán una nota de rescate informando que los atacantes tienen la clave de descifrado y que los datos son recuperables por un precio: 0.09981 BTC, lo que a día de hoy tiene un valor aproximado de 900 €. Para facilitar el anonimato, el portal de pago se encuentra alojado en la red Tor, donde los usuarios tienen que subir su archivo de configuración. En base a esto, se les proporciona un enlace a otro sitio web, el cual incluye un chat, a través del cual reciben más información sobre las demandas.

Aunque no está del todo claro cómo se distribuye Nemty, el investigador de seguridad Vitali Kremez asegura que los operadores lo despliegan a través de conexiones a escritorio remoto comprometidas del mismo.

En comparación con los ataques de phishing a través de correo electrónico, método de distribución más común, el aprovechamiento de una conexión RDP (Remote Desktop Protocol) pone al atacante en control, ya que no tiene que esperar a que la víctima muerda el anzuelo de phishing.

BleepingComputer (26/08/19)

Más información

• Los dispositivos Galaxy S10e, Galaxy S10, Galaxy S10+ y Galaxy S10 5G han recibido la cualificación.
• A esta lista se suman los Galaxy S8 y S9, además del Galaxy Note 8, todos ellos aptos para ser utilizados en sistemas alineados con el Nivel Alto del Esquema Nacional de Seguridad (ENS).

Todos los dispositivos de la familia de 'smartphones' Samsung Galaxy S10 --el Galaxy S10e, Galaxy S10, Galaxy S10+ y Galaxy S10 5G--, han recibido la certificación de seguridad otorgada por el Centro Criptológico Nacional (CCN).

El modelo Samsung Galaxy S10 5G, es el primer dispositivo del mercado con tecnología 5G cualificado por el CCN, institución asociada al Centro Nacional de Inteligencia (CNI), según ha anunciado Samsung Electronics este jueves en un comunicado.

El fabricante surcoreano es actualmente el único con equipos cualificados por el CCN dentro del Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación, supervisado por el CCN. A esta lista suman los Galaxy S8 y S9, además del Galaxy Note 8, siendo todos aptos para ser utilizados en sistemas alineados con el Nivel Alto del Esquema Nacional de Seguridad (ENS).

"Somos el único fabricante que ha superado esta evaluación de seguridad, y con la suma del Samsung Galaxy S10 5G ya contamos con equipos preparados para utilizar la tecnología 5G, manteniendo los máximos estándares de seguridad del mercado", ha afirmado el vicepresidente corporativo de Samsung Electronics, Celestino García.

Más información:

Samsung Newsroom España (22/08/19)

COPE (22/08/19)

• Desde su cuenta de Twitter piden no responder a un número con el prefijo 0056.
• Según han alertado, estos estafadores llaman por teléfono para hacer creer que tienen secuestrado a un familiar.

La Policía Nacional ha alertado a través de su cuenta de Twitter sobre un nuevo caso de estafa telefónica, de los llamados secuestros virtuales. Según han señalado, estos estafadores llaman por teléfono para hacer creer que tienen secuestrado a un familiar.

El cuerpo de policía explica que las llamadas se suelen realizar desde un teléfono oculto o con un número que tiene por prefijo el 0056. Además, añaden que normalmente llaman entre las 16:00 y las 23:00 horas.

Concretamente, el interlocutor comunica el secuestro de un familiar y pide un rescate que se ha de hacer de forma urgente. Ante esta situación, la policía recomienda no pagar nada a nadie y llamar al 091 para alertar sobre lo ocurrido.

“Por muy realista que suene, mantén la calma y no cedas al chantaje. Es un secuestro virtual”, advierte la Policía en el tuit. “Es una estafa, no pagues y llama al 091”, añaden.

La Vanguardia (22/08/2019)

Más información

• Varios archivos de las instituciones quedaron encriptados.
• Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE'. 

Al menos 23 agencias gubernamentales de Texas (Estados Unidos) sufrieron un ataque de 'ransomware' conjunto el pasado viernes por el que varios archivos de las instituciones quedaron encriptados y que es responsabilidad de un archivo con extensión '.JSE', y el Department of Information Resources, DIR (Departamento de recursos de información, en inglés) está liderando una respuesta a este ciberataque masivo.

El 16 de agosto más de 20 agencias estatales de Texas comunicaron que habían sufrido un ataque de ransomware. Según varios comunicados de la DIR, la mayoría de estas entidades eran pequeñas y locales y los sistemas y redes del estado de Texas no se han visto afectados.

La División de Manejo de Emergencias de Texas está coordinando el apoyo ofrecido por las agencias estatales a través del Centro de Operaciones del Estado de Texas. Aún no se ha localizado el origen de los ataques y sigue bajo investigación, pero según el DIR, "la evidencia existente indica que los ataques provienen de un solo actor".

Según fuentes locales citadas por el medio ZDNet, el responsable de los ataques es un nuevo tipo de 'ransomware' conocido por su extensión '.JSE', que encriptó los archivos de las agencias afectadas. Este 'malware', advertido por primera vez hace un año, no muestra ninguna nota ni solicita rescate alguno, como resulta frecuente en los 'ransomware'.

Además, la DIR ha informado que parece que todos los sistemas que se han visto afectados han sido identificados y notificados y varias agencias están ya colaborando con ellas y la DIR, para volver a establecer los sistemas.

Europapress (19/08/2019)

Más información

• Alrededor de 112.000 personas se han visto afectadas.
• La aerolínea neozelandesa Air New Zealand ha sufrido un ataque de phishing que ha expuesto los datos personales del 3,5 % de los miembros de su programa Airpoints.

La aerolínea neozelandesa Air New Zealand ha sufrido un ciberataque que podría haber comprometido los datos personales de 112.000 miembros (un 3 %) de los miembros de su programa Airpoints, a través del cual los usuarios frecuentes reciben una serie de beneficios.

La compañía avisó el pasado viernes de esta violación de datos. Hasta el momento, la información concreta que podría estar en peligro se desconoce. Sin embargo, entre los datos ofrecidos por los miembros de Airpoints se encuentra el domicilio, teléfonos de contacto, puesto de trabajo y empresa, datos bancarios, número de pasaporte, etc.

La aerolínea aseguró que este problema se ha derivado de un ataque de phishing a dos cuentas del personal de la compañía, a través del cual los delincuentes habrían podido acceder a los perfiles de los miembros y, por tanto, a la información que estos facilitan.

Las cuentas de dichos profesionales ya han sido protegidas y desde Air New Zealand afirman estar llevando a cabo una investigación exhaustiva para conocer cómo se produjo la violación de datos.

STUFF (09/08/2019)

Más información

La creciente digitalización de la red eléctrica ha provocado que el sector de la energía incremente su interés en la ciberseguridad con el objetivo de hacer frente a las cada vez mayores posibles amenazas informáticas ejecutadas por hackers.

La vulnerabilidad de los sistemas de almacenamiento energético, como las baterías o los vehículos eléctricos, pueden poner en riesgo la fiabilidad de los mismos. Por ello, la ciberseguridad se ha convertido en un eslabón más en la infraestructura de mantenimiento del sistema energético, no sólo a nivel de la red eléctrica, sino también en los sistemas interconectados e interdependientes de gas natural, agua, comunicaciones o en la distribución de combustible.

El proyecto CAdeNAT (Ciberseguridad en comunicaciones con Activos de Nuevas aplicaciones de Almacenamiento energético para servicios Terciarios) que investiga el ITE (Instituto Tecnológico de la Energía), centro de referencia en la C. Valenciana, con el apoyo del IVACE, Instituto Valenciano de Competitividad Empresarial de la Generalitat Valenciana, se centra específicamente en investigar los mecanismos actuales de ciberseguridad en el almacenamiento estático (en forma de baterías) y dinámico (en vehículos eléctricos (VE)) y desarrollar sistemas de detección de intrusos y de restauración del sistema para hacer fiables y seguros los sistemas de almacenamiento energético.

A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.

Objetivo: desarrollar sistemas ciberseguros

A lo largo de la investigación desarrollada se ha detectado que los puntos más vulnerables a nivel de seguridad en la red eléctrica son los sistemas de almacenamiento dinámico, más concretamente las estaciones de recarga del vehículos eléctricos debido a que la implantación del vehículo eléctrico ha aumentado significativamente y con ello las estaciones de recarga, las cuales se han convertido y se convertirán en puntos de la red fácilmente accesible para cualquier tipo de atacante.

La actual vulnerabilidad de las estaciones de recarga unida otro tipo de limitaciones como es la falta de un sistema de pagos instantáneos seguro que permita al usuario del vehículo hacer uso de cualquier estación de recarga suponen dos barreras significantes a la adopción masiva del vehículo eléctrico.

El proyecto CAdeNAT tiene como objetivo desarrollar sistemas ciberseguros en todos los procesos que intervienen en la recarga de un vehículo eléctrico, desde la interacción del usuario con la estación de recarga, pasando por la estación de recarga, las comunicaciones con el gestor o proveedor de estaciones de recarga y el pago seguro de cada recarga realizada. Para lograrlo se está desarrollando un sistema de detección de intrusos y restauración del sistema que monitoriza y detecta cualquier tipo de intrusión siendo capaz de actuar con el fin de garantizar la seguridad del usuario y la estabilidad en la red eléctrica.

Adicionalmente la tecnología Blockchain es integrada para realizar los pagos instantáneos en la recarga del vehículo eléctrico, utilizando plataformas que permitan conocer al usuario (Know Your Costumer (KYC)) de manera que el proveedor de estaciones de recarga y el usuario conozcan la trazabilidad de todas las recargas realizadas, conociendo que usuario realizó una recarga, cuánto tiempo tarda la recarga y la energía consumida en cada recarga.

EnergyNews (07/08/2019)

Más información

Se han descubierto una serie de fallos de seguridad en chips de procesadores Qualcomm, utilizados en dispositivos móviles Android que podrían permitir a un atacante comprometer su seguridad de manera remota, sin que la víctima sea consciente de ello, con el objetivo de instalar programas maliciosos, robar información privada, etc.

Varias fuentes estiman que para el año 2020 se desplegarán unos 50 mil millones de dispositivos IoT en todo el mundo. Los dispositivos IoT están diseñados a propósito para conectarse a una red y muchos simplemente están conectados a Internet con poca administración o supervisión. Dichos dispositivos aún deben ser identificables, mantenidos y monitoreados por equipos de seguridad, especialmente en grandes empresas complejas. Algunos dispositivos IoT pueden incluso comunicar la telemetría básica al fabricante del dispositivo o tener medios para recibir actualizaciones de software. Sin embargo, en la mayoría de los casos, el centro de operaciones de TI de los clientes no sabe que existen en la red.

En 2016, el grupo de investigación de malware MalwareMustDie descubrió la botnet Mirai. La botnet inicialmente consistía en cámaras IP y routers domésticos básicos, dos tipos de dispositivos IoT que se encuentran comúnmente en el hogar. A medida que surgieron más variantes de Mirai, también surgió la lista de dispositivos IoT a los que apuntaba. El código fuente del malware que alimenta esta botnet finalmente se filtró en línea.

En 2018, cientos de miles de dispositivos de red y almacenamiento para el hogar y PyMEs se vieron comprometidos con el denominado malware VPN Filter. El FBI ha atribuido públicamente esta actividad a un actor de un estado-nación y tomó medidas posteriores para interrumpir esta red de bots, aunque los dispositivos seguirían siendo vulnerables a la reinfección a menos que el usuario establezca los controles de seguridad o firmware adecuados.

También hubo múltiples informes de prensa de ciberataques en varios dispositivos durante las ceremonias de apertura de los Juegos Olímpicos de 2018 en PyeongChang. Los funcionarios confirmaron unos días después que fueron víctimas de ataques maliciosos que impidieron a los asistentes imprimir sus boletos para los Juegos y las televisiones y el acceso a Internet en el centro de prensa principal simplemente dejaron de funcionar.

Tres dispositivos de IoT

En abril, investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft descubrieron la infraestructura de un adversario conocido como STRONTIUM que se comunicaba con varios dispositivos externos. Investigaciones posteriores descubrieron intentos para comprometer dispositivos IoT populares (un teléfono VOIP, una impresora de oficina y un decodificador de video) en múltiples ubicaciones de clientes. La investigación descubrió que un atacante había usado estos dispositivos para obtener acceso inicial a las redes corporativas. En dos de los casos, los dispositivos se implementaron sin cambiar las contraseñas predeterminadas del fabricante y, en tercera instancia, la última actualización de seguridad no se había aplicado al dispositivo.

Estos dispositivos se convirtieron en puntos de entrada desde los cuales el actor estableció una presencia en la red y continuó buscando un mayor acceso. Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de la red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor. Después de obtener acceso a cada uno de los dispositivos IoT, el actor ejecutó tcpdump para detectar el tráfico de red en subredes locales.

También se les vio enumerando grupos administrativos para intentar una mayor explotación. A medida que el actor se movía de un dispositivo a otro, soltaban un simple script de shell para establecer la persistencia en la red, lo que permitía un acceso extendido para continuar la caza. El análisis del tráfico de red mostró que los dispositivos también se comunicaban con un servidor externo de comando y control (C2).

Strontium / Fancy Bear / APT28

En los últimos doce meses, Microsoft ha entregado cerca de 1.400 notificaciones de estado-nación a aquellos que han sido atacados o comprometidos por Strontium / Fancy Bear / APT28. Una de cada cinco notificaciones de actividad de Strontium estaba vinculada a ataques contra organizaciones no gubernamentales, grupos de expertos u organizaciones políticamente afiliadas en todo el mundo. El 80% restante de los ataques de Strontium se han dirigido principalmente a organizaciones en los siguientes sectores: gobierno, informática, militar, defensa, medicina, educación e ingeniería. También se ha observado y notificado los ataques de Strontium contra los comités organizadores olímpicos, las agencias antidopaje y la industria hotelera.

Strontium está relacionado a uno de los grupos de hacking de élite patrocinados por el estado de Rusia como una forma de violar redes corporativas, desde donde pivotan a otros objetivos de mayor valor. Este grupo ha estado involucrado previamente en el ataque de DNC de 2016 y que, según una acusación presentada en 2018 por funcionarios estadounidenses, ha sido identificado como la Unidad 26165 y la Unidad 74455 de la agencia de inteligencia militar rusa GRU.

Pero además de Strontium, otros grupos patrocinados por el estado también han comenzado a apuntar a dispositivos IoT, y principalmente a routers. Los ejemplos incluyen los grupos LuckyMouse, Inception Framework, y Slingshot.

Es necesario para crear conciencia sobre estos riesgos en toda la industria y pedimos una mejor integración empresarial de los dispositivos IoT, particularmente la capacidad de monitorear la telemetría de dispositivos IoT dentro de las redes empresariales. Hoy, la cantidad de dispositivos IoT implementados supera en número a la población de computadoras personales y teléfonos móviles, combinados. Con cada dispositivo IoT en red que tiene su propia pila de red separada, es bastante fácil ver la necesidad de una mejor gestión empresarial, especialmente en el mundo actual de "traiga su propio dispositivo".

Recomendaciones para asegurar IoT

Hay pasos adicionales que una organización puede tomar para proteger su infraestructura y red de actividades similares. Microsoft recomienda las siguientes acciones para proteger y administrar mejor el riesgo asociado con los dispositivos IoT:

• Se requiere aprobación y catalogación de cualquier dispositivo IoT que se ejecute en su entorno corporativo.
• Desarrollar una política de seguridad personalizada para cada dispositivo IoT.
• Evitar exponer dispositivos IoT directamente a Internet o cree controles de acceso personalizados para limitar la exposición.
• Usar una red separada para dispositivos IoT si es posible.
• Realizar auditorías de configuración / parches de rutina contra dispositivos IoT implementados.
• Definir políticas para el aislamiento de dispositivos IoT, la preservación de los datos del dispositivo, la capacidad de mantener registros del tráfico del dispositivo y la captura de imágenes del dispositivo para la investigación forense.
• Incluir las debilidades de configuración del dispositivo IoT o los escenarios de intrusión basados en IoT como parte de las pruebas de Red Team.
• Supervisar la actividad del dispositivo IoT en busca de un comportamiento anormal (por ejemplo, una impresora que navega por sitios de SharePoint ...)
• Auditar las identidades y credenciales que tienen acceso autorizado a dispositivos, usuarios y procesos de IoT.
• Centralizar la gestión de activos / configuración / parches si es posible.
• Si los dispositivos son implementados / administrados por un tercero, se debe incluir Términos explícitos en sus contratos que detallen las prácticas de seguridad a seguir y las Auditorías que informan el estado de seguridad y el estado de todos los dispositivos administrados.
• Siempre que sea posible, definir los Términos de SLA en los contratos de proveedores de dispositivos IoT que establezcan una ventana mutuamente aceptable para la respuesta de investigación y el análisis forense a cualquier compromiso relacionado con su producto.

Este caso es uno de varios ejemplos que Eric Doerr presentará en Black Hat, el 8 de agosto de 2019, donde Microsoft está pidiendo una mayor transparencia de la industria para garantizar que los defensores estén mejor equipados para responder a las amenazas de adversarios con recursos suficientes.

Microsoft Security Response Center (05/08/2019)

Más información

• Más de diez hospitales de los estados de Renania-Palatinado y Sarre en Alemania han sufrido un ataque con malware que ha paralizado sus sistemas.

Recientemente más de diez hospitales en Renania-Palatinado y Sarre han sufrido la paralización de sus sistemas debido a un ciberataque realizado a través de un malware. Tal ha sido la gravedad que ha infectado toda la red que la Administración de dichos centros han tenido que dejar de utlizar los ordenadores y recurrir a la pluma y el papel.

Ante estos ciberataques, desde las instalaciones se cerró el acceso a Internet y no se pudo utilizar el correo electrónico, solamente el teléfono o fax. De momento, no hay evidencias de que se haya accedido a datos de los pacientes o a los dispositivos médicos.

Más información

• Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
• El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

AEPD (09/07/2019)

• Una vulnerabilidad encontrada el pasado jueves puede provocar que los usuarios reciban dosis alteradas de esta hormona.
• Medtronic avisa de que al menos 4.000 personas están usando dispositivos antiguos.

La compañía de dispositivos médicos Medtronic está avisando a miles de usuarios que hacen uso de sus bombas de insulina anteriores a 2013 de que estos dispositivos podrían contener una importante vulnerabilidad de ciberseguridad, permitiendo que un ciberatacante modifique los ajustes de envío de medicamentos y provoque que el paciente entre en una situación de emergencia debido a la diabetes. Por su parte, el Departamento de Seguridad Nacional de los Estados Unidos publicó el pasado jueves una serie de recomendaciones para mitigar el problema.

“En este momento, no hemos recibido informes de confirmación de personas sin autorización que hayan modificado los ajustes de los dispositivos o controlado el envío de insulina”, señalan desde Medtronic en una carta enviada a sus clientes el pasado 27 de junio. Asimismo, la compañía calcula que al menos 4.000 personas en Estados Unidos y un número desconocido a nivel internacional siguen utilizando los dispositivos antiguos.

Debido a la vulnerabilidad encontrada, estas personas podrían recibir demasiada o muy poca insulina si un ciberatacante decidiera secuestrar los sistemas de comunicación y enviar estos comandos. En ambos casos, el resultado podría ser perjudicial para el individuo, ya que una dosis repentina de demasiada insulina puede provocar convulsiones o un coma diabético.

Medtronic aconseja a los pacientes que, si es posible, hablen con su médico para obtener una receta para un dispositivo más nuevo. Para aquellos que no pueden o no quieren cambiar, la empresa recomienda que mantengan la bomba y los dispositivos relacionados bajo control físico, mantengan los números de serie de la bomba privados, desconecten los dispositivos del sistema de transmisión remota CareLink cuando no se estén utilizando para transmitir información, que estén atentos de las alarmas de la bomba, así como cancelen cualquier dosis no intencionada de insulina.

Más información: StarTribune

• El objetivo del informe es ayudar a las organizaciones a mejorar la ciberseguridad de estas tecnologías.
• En el documento se incluyen diversas consideraciones a tener en cuenta en relación a la ciberseguridad y privacidad en los dispositivos del Internet de las Cosas (IoT), así como los principales retos y recomendaciones para proteger los dispositivos.

El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha publicado un documento con consideraciones para gestionar la ciberseguridad y riesgos en la privacidad en los dispositivos del Internet de las Cosas (IoT). La publicación está dirigida a profesionales que trabajan en organizaciones, principalmente aquellos cuyas funciones están relacionadas con la gestión de la ciberseguridad en los dispositivos IoT.

El informe, cuyo objetivo es ayudar a las organizaciones a proteger estas tecnologías, incluye diversas consideraciones a tener en cuenta, algunos de los principales retos (proteger la seguridad del dispositivo, proteger la seguridad de la información y proteger la privacidad del individuo) y recomendaciones para proteger los dispositivos.

Respecto este último punto, principal objetivo del documento, el NIST aconseja aplicar los siguientes dos principales consejos:

• Adaptar las políticas y procedimientos de la organización, definiendo de forma clara los dispositivos IoT para evitar confusiones y ambigüedades. Asimismo, las organizaciones deberían asegurar que su ciberseguridad, cadena de suministro y los programas de gestión del riesgo de privacidad tienen en cuenta estos dispositivos correctamente.
• Implementar acciones de mitigación de riesgos actualizadas. Es muy probable que la mayoría de organizaciones cuente con una mayor variedad de dispositivos IoT que tecnologías IT tradicionales, dado que estos primeros suelen ser diseñados para cumplir una función única, a diferencia de los segundos. Por tanto, la organización necesitará adaptar las prácticas de ciberseguridad en función del tipo de dispositivo del que se trate.

Más información

El Ayuntamiento de Cuarte de Huerva (Zaragoza) se ha certificado en el Esquema Nacional de Seguridad (ENS), que tiene como objetivo el establecimiento de una política de seguridad en la utilización de medios electrónicos que permita una protección adecuada de la información.

La empresa aragonesa Cibergob (colaboradora del Centro Criptológico Nacional para implantar el Esquema Nacional de Seguridad en Entidades Públicas y especializada en el campo de la ciberseguridad) ha apoyado al consistorio en este proceso que aborda integralmente la seguridad en todo lo que puede afectar a la protección de la información: transacciones, almacenamiento y tratamiento de datos, etc.

El cumplimiento del Esquema Nacional de Seguridad, además de una obligación para todas las Administraciones Públicas recogida en el Real Decreto 3/2010, garantiza la seguridad en el ciberespacio -generando un marco de trabajo adecuado para la correcta protección de la información de los ciudadanos que gestiona el consistorio- al tiempo que respeta la privacidad y la libertad: prioridad de los países desarrollados y algo fundamental para la sociedad en su conjunto.

En España, el Centro Criptológico Nacional (CCN) es el organismo responsable de garantizar la seguridad de las tecnologías de la información y la comunicación (TIC) en las diferentes entidades del sector público, lo que afecta a los sistemas que procesan, almacenan o transmiten información clasificada.

El alcalde de Cuarte de Huerva, Jesús Pérez, se ha mostrado muy satifecho con este certificado, ya que junto Utebo son los primeros y únicos municipios -de menos de 20.000 habitantes- en su implantación a nivel nacional. Del mismo modo ha alabado la labor fundalmental en la certificación en el Sistema Nacional de Seguridad del responsable infórmatico del consistorio, Ovidiu Necatu, que ha trabajado durante año y medio -en colaboración con Cibergob y Aeonor- para hacerlo posible.

Dicho proceso busca la seguridad tanto para el trabajo de los funcionarios como para los ciudadanos en su relación telemática con la administración, garantizando la completa seguridad de todos cuantos trámites se efectúan a través de nuestra sede electrónica.

Más información: ENS

CCN-CERT (01/07/2019)