Volvemos una quincena más con un nuevo boletín sobre las principales noticias del mundo de la ciberseguridad.
Empezamos nuestro boletin con la noticia del hackeo al sitio web “Bitcoin.org”. El ataque comenzó con un mensaje en una ventana emergente en la web, donde se informaba que los 10.000 primeros usuarios que respondieran al mensaje podían aprovecharse de una oferta y duplicar el total de activos de sus billeteras electrónicas. El mensaje incluía un código QR para acceder a una determinada billetera.
Otra noticia interesante es la relativa a la filtración de datos confidenciales sobre el estado de vacunación COVID-19 en Canadá que se ha producido a través de los códigos QR emitidos en los certificados de vacunación. La empresa “eHealth Saskatchewan” encargada de proporcionarl estos servicios electrónicos al sector sanitario, se ha visto obligada a solicitar la destrucción de dichos certificados de vacunación COVID.
Asimismo, varios expertos de Kaspersky han identificado intentos de infección -a través de malware y otros tipos de software malicioso- a usuarios que intentaban descargarse la nueva película de James Bond (“No Time to Die”). También se han identificado intentos de phishing en los que se les pedía a los usuarios que se registrasen para poder seguir viendo la película. Durante este proceso se solicitaba a las víctimas sus datos bancarios.
También os informábamos acerca del reporte realizado acerca de una vulnerabilidad en “Apple AirTag”, cuya explotación permitiría a los ciberdelincuentes encontrar el número telefónico de un usuario, e incluso redirigirlo a sitios de phishing de iCloud y otras plataformas legítimas. Todo se debe a que el “modo perdido” del dispositivo no está protegido, y permite al atacante inyectar código en los campos de la función que genera los datos personales del propietario del móvil perdido.
Os recordamos que en octubre se celebra el Mes Europeo de la Ciberseguridad (ECSM), mes durante el cual, la Union Europea realiza una campaña dedicada a promover la ciberseguridad entre los ciudadanos y las organizaciones de la UE y a proporcionar información de seguridad en línea actualizada mediante la sensibilización y el intercambio de buenas prácticas.
Por último, os anunciamos que esta semana hemos finalizado nuestra campaña de concienciación dirigida a docentes, en la que durante dos semanas, hemos publicado un consejo diario sobre un tema a trabajar con los alumnos, ofreciendo recursos que permitan asimilar mejor los contenidos de ciberseguridad. Puedes ver el detalle de nuestra campaña en nuestro portal de concienciación concienciaT.
Respecto a las alertas y actualizaciones más relevantes de la quincena:
- Se han identificado múltiples vulnerabilidades “ZeroDay” que afectaban a dispositivos Iphone y Mac:
– CVE-2021-30869. Fallo de confusión de tipo en el componente XNU que permite ejecutar código arbitrario con privilegios en Kernel.
– CVE-2021-30858. Vulnerabilidad “Use-After-Free” (UAF) que permite a “Webkit” ejecutar código arbitrario en un sitio web con contenido malicioso.
– CVE-2021-30860. Vulnerabilidad que permite ejecutar código arbitrario al procesar un PDF con contenido malicioso. - Netgear ha reportado 25 vulnerabilidades, todas ellas de severidad crítica, que podrían permitir a un atacante comprometer los productos afectados. Se recomienda actualizar a la versión de firmware más reciente.
- Google también se ha visto sorprendida por otra vulnerabilidad ZeroDay en su última versión de “Chrome 94”. En este sentido, han tenido que lanzar un parche de emergencia. La vulnerabilidad detectada (CVE-2021-37973) afectaba a la API de Portals encargada de la transición entre páginas.
- Se han identificado múltiples vulnerabilidades “ZeroDay” que afectaban a dispositivos Iphone y Mac: