Boletín de febrero 2024

Un mes más, volvemos con un nuevo boletín en el que os traemos una infografía sobre cómo compartir datos de manera segura, consejos de seguridad para las conexiones a redes públicas, los peligros de conectar un dispositivo a un USB público y las principales novedades respecto a los cursos tanto para ciudadanos como para empresas. Por último, como siempre, algunas de las principales amenazas surgidas durante este mes.

Día de internet segura

El pasado 6 de febrero, se celebró el Día de Internet Segura en todo el mundo y desde CSIRT-CV os recordamos a través de nuestro portal de concienciaT y de nuestras redes sociales cómo nuestro equipo puede ayudarte a mantenerte protegido en tu día a día. Puedes consultar esta información en el siguiente enlace.

Cómo compartir archivos de manera segura

Aplicaciones como Dropbox, WeTransfer, iCloud o Google Drive, se utilizan para almacenar y compartir archivos o carpetas de forma sencilla, pero su uso conlleva ciertos riesgos que debes conocer.

Si estas plataformas sufrieran un problema técnico o de seguridad y hubiéramos almacenado información, ésta podría verse comprometida, ya que los archivos salen de los sistemas organizativos, perdiendo el control sobre los mismos.

Accede a la siguiente infografía y descubre los consejos de ciberseguridad para enviar archivos con toda seguridad.

Consejos de seguridad en redes y USB públicos

¿Alguna vez has pensado cuáles son los riesgos de seguridad al conectar tus dispositivos a redes o puertos USB públicos?

A través de nuestras redes sociales, Facebook y X (antiguo Twitter), te ayudamos a mantenerte actualizado y a conocer cómo hacer frente a estas situaciones.

Cursos para empresas

CSIRT-CV pone a disposición de las empresas seis cursos con formato actualizado e interactivo en la plataforma eFormacion.

Si estabas realizando alguno de estos cursos o tenías pensado hacerlo, recuerda que, a partir del 1 de marzo de 2024, solo estarán disponibles en la plataforma de eFormación.

Desde CSIRT-CV nos gustaría incidir en que es fundamental aumentar el nivel de madurez en ciberseguridad en las empresas, por lo que si estas interesado en realizar alguno de estos cursos, accede a esta noticia y conoce más sobre ellos.

Matrículas récord en las plataformas de formación de la Generalitat

La demanda de matriculaciones en la plataforma on-line de cursos de formación de la Generalitat ha experimentado un crecimiento del 5 % con respecto al ejercicio de 2022.

En concreto, las matriculaciones anuales han pasado de las 266.689 registradas en 2022 a las 278.357 de 2023.

Entre las formaciones más demandadas, destacamos nuestros cursos de SAPS gratuitos, tanto a ciudadanos como a empresas.

Lee la noticia completa a través del siguiente enlace.

Alertas de seguridad

Por último, en nuestro portal de CSIRT-CV puedes encontrar las alertas de seguridad que se publican periódicamente y que pueden ayudarte a mantener tus equipos actualizados y protegidos. A continuación, destacamos las alertas de seguridad más relevantes de este mes:

      • ESET ha abordado una vulnerabilidad de alta gravedad: La vulnerabilidad es un problema de escalada de privilegios local. Según el aviso, un atacante puede hacer un mal uso de las operaciones de archivos de ESET. La compañía ha lanzado parches para abordar los problemas en diversas plataformas.
      • Nuevas vulnerabilidades de Wi-Fi exponen los dispositivos Android y Linux a los piratas informáticos: Investigadores de ciberseguridad han identificado dos fallas de omisión de autenticación en el software Wi-Fi de código abierto que se encuentran en dispositivos Android, Linux y ChromeOS que podrían engañar a los usuarios para que se unan a un clon malicioso de una red legítima o permitir que un atacante se una a una red confiable sin una contraseña. Las principales distribuciones Linux han publicado avisos para las dos vulnerabilidades.
      • Múltiples vulnerabilidades que afectan a productos Zyxel: Las vulnerabilidades detectadas podrían permitir a un atacante de la red local (LAN) causar problemas de denegación de servicio (DoS), ejecutar comandos del sistema operativo en el dispositivo afectado a través de FTP después de realizar la autenticación, causar condiciones de denegación de servicio (DoS) cuando la función “Deviced Insight” esté habilitada o realizar una ejecución remota de código no autorizado. Se recomienda a los usuarios que instalen los parches para una protección óptima.

 

Te animamos a compartir este boletín con tus colegas, familiares y amigos para promover entre todos una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRTCV).

Boletín de enero 2024

Al comenzar un nuevo año, muchas personas se plantean nuevos propósitos o metas para mejorar diferentes aspectos de sus vidas. Estos propósitos suelen estar relacionados con la salud, el trabajo o el desarrollo personal. Desde CSIRT-CV, arrancamos 2024 con una nueva edición de nuestra oferta formativa para que te conviertas en un ‘Human Firewall’. ¿Te sumas al reto?. Te invitamos a leer nuestro primer boletín del año para estar informado de las noticias más destacadas acontecidas en CSIRT-CV y en el área de la Ciberseguridad.   

 

CSIRT-CV pone en marcha la nueva edición de cursos online de Seguridad para ciudadanos

CSIRT-CV ha puesto en marcha la nueva edición de los 19 cursos online de Seguridad para este 2024, enfocados, principalmente, a los ciudadanos. El plazo de matrícula está abierto desde el 1 de enero hasta el 31 de diciembre.

Los cursos se imparten a través de la plataforma SAPS, son gratuitos, de corta duración y aplicación práctica, tanto a nivel personal como profesional.

Para poder empezar a hacer los cursos hay que ser usuario de SAPS. Para ello, es necesario registrarse en la plataforma e inscribirse en los cursos deseados. Acceso a SAPS.

Conoce en detalle nuestros cursos en nuestro portal de ConcienciaT.

 

Día Internacional de la Educación

El pasado miércoles, 24 de enero, nos sumamos a la celebración del Día Internacional de la Educación. Como sabéis, desde CSIRT-CV estamos comprometidos con la formación y concienciación en materia de Ciberseguridad, por ello, además de ofrecer cursos online gratuitos en materia de seguridad, impartimos sesiones y talleres a menores, familiares y docentes en los centros educativos de Secundaria de la Comunitat Valenciana con el objetivo de implantar una Cultura de Ciberseguridad y buenas prácticas digitales en toda la población.

 

La Generalitat Valenciana recibe el galardón a mejor proyecto de innovación tecnológica

El Plan de Ciberseguridad dirigido a las 584 entidades locales de la Comunitat Valenciana, cuyo objetivo es dotar a estos entes de herramientas y soluciones punteras que les ayuden a luchar contra los ciberataques, ha recibido un nuevo reconocimiento, por lo que la Generalitat Valenciana ha sido galardonada con el premio CIO 100 Awards 2023 al mejor proyecto del año de innovación tecnológica en ciberseguridad.

Este premio es un reconocimiento al esfuerzo de la institución, y en particular, de la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), a través del Centro de Ciberseguridad de la Comunidad Valenciana (CSIRTCV), organismo encargado de la ejecución del plan. Puedes leer la noticia completa aquí.

 

Día Europeo de la Protección de Datos

El 28 de enero se celebra el Día Europeo de la Protección de datos y para esta ocasión os recordamos una serie de consejos sobre ciberseguridad para proteger tus datos todos los días. Descarga nuestra infografía para conocerlos en su totalidad.

 

Alertas de seguridad

Por último, en nuestro portal de CSIRT-CV puedes encontrar las alertas de seguridad que se publican periódicamente y que pueden ayudarte a mantener tus equipos actualizados y protegidos. A continuación, destacamos las alertas de seguridad más relevantes de este mes:

      • Parche para Zero-Day crítico en iPhones y Macs: Apple ha publicado nuevas actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar un fallo de Zero-Day, que ha sido objeto de explotación activa. Se trata de la primera vulnerabilidad de Zero-Day activamente explotada que Apple parchea este año. El año pasado, el fabricante del iPhone había abordado 20 vulnerabilidades que se han empleado en ataques del mundo real. El proveedor ha lanzado una serie de actualizaciones para corregir esta falla.
      • Vulnerabilidad en Apache Superset: Se ha detectado una vulnerabilidad crítica en versiones de Apache Superset previas a la 3.0.3. De esta manera, un atacante podría almacenar un script o añadir un fragmento HTML específico que actuaría como XSS almacenado. Las recomendaciones consisten en la actualización a versiones 3.0.3 o bien cambiar la configuración incluyendo el código descrito en la noticia.
      • Vulnerabilidad en Apache OpenOffice: Se ha detectado una vulnerabilidad de alta severidad en Apache OpenOffice. Esta vulnerabilidad permite la ejecución de código no deseada. El fabricante recomienda que se actualicen las versiones a la 4.1.15.

Te animamos a compartir este boletín con tus colegas, familiares y amigos para promover entre todos una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRTCV).

Detectada una campaña fraudulenta, suplantando a Metrovalencia, que afecta a las tarjetas SUMA

Se ha detectado una campaña de mensajes fraudulentos en la red social Facebook, suplantando a Metrovalencia, en la cual se publicita una nueva tarjeta SUMA por un importe de 2,35 €.

Para acceder a la falsa promoción, supuestamente válida hasta el 31 de diciembre, el usuario debe acceder a un enlace fraudulento y rellenar una encuesta de tres preguntas con respuesta de Sí o No.

Una vez respondidas las preguntas, sale un mensaje de Enhorabuena (ver imagen siguiente) y proporciona tres indicaciones:

1. Hacer clic para para acceder a la página de pago

2. Rellenar el formulario para proceder con el pago

3. Indicar que el paquete se entregará en un plazo de 5 a 7 días.

A continuación, redirige a una pasarela de pago en la que se solicitan los datos personales del usuario (ver siguiente imagen).

Por último, solicita los datos bancarios como muestra la imagen siguiente. Si se llegaran a introducir los datos bancarios, los ciberdelincuentes se harían con ellos.

Recursos Afectados

Cualquier persona a la que le haya aparecido la publicación falsa en su muro de Facebook y haya accedido al enlace facilitado y rellenado los datos solicitados en la web fraudulenta.

Recomendaciones

Si no has accedido al enlace de la publicación, ignóralo y avisa a tus allegados de que es una estafa.

Si has accedido al enlace e introducido datos personales y bancarios en la pasarela de pago, presta atención a las siguientes recomendaciones:

1. Realiza capturas de pantalla o guarda todas las evidencias posibles de la estafa y los enlaces adjuntos.

2. Si has introducido datos bancarios, ponte en contacto con tu entidad bancaria, lo más pronto posible, para informar del incidente y que se tomen las medidas necesarias.

3. En los próximos días y meses, practica el egosurfing: introduce tu nombre y apellidos en los buscadores de Internet para asegurarte de que tus datos no se han visto comprometidos o hayan sido usados para otros fines como podría ser la creación de perfiles en redes sociales.

4. Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado junto con las evidencias que hayas podido recabar del fraude.

5. Informa del fraude a tus allegados para evitar que otras personas puedan ser víctimas de esta estafa.

Para mantenerte informado sobre este tipo de fraudes o alertas de vulnerabilidades, puedes suscribirte aquí y visitar nuestra web de CSIRT-CV y concienciaT.

Boletín de noviembre 2023

Iniciamos el último mes de este año y para dar la bienvenida al mes de diciembre os traemos un nuevo boletín informativo en el que recogemos la participación del CSIRT-CV en varios eventos de Ciberseguridad como son las Jornadas STIC del CCN y el congreso IARIA, así como unos consejos sobre compras seguras online y algunas de las vulnerabilidades más relevantes del último mes. ¡Comenzamos!

 

Congreso IARIA

El mes de noviembre ha sido uno de los periodos más activos en cuanto a la participación de CSIRT-CV en eventos de Ciberseguridad. El primero de ellos al que asistimos fue el Congreso IARIA 2023 bajo el título Fronteras en Ciencia, Tecnología, Servicios y Aplicaciones (Annual Congress on Frontiers in Science, Technology, Services, and Applications).

Este congreso se celebró celebrado del 13 al 17 de noviembre en la ciudad de Valencia y contó con la presencia de doctores, profesores, científicos, especialistas y tomadores de decisiones de todas las entidades económicas, educativas y gubernamentales en sistemas sociales, software, análisis de ciencia de datos, comunicaciones, tecnología y servicios en red a nivel mundial.

Durante el congreso, nuestra compañera de CSIRT-CV, Marina Galiano presentó dos de los proyectos en los que está trabajando e investigando el Centro de Seguridad de las Tecnologías de la Información y las Comunicaciones de la Comunitat Valenciana, pertenecientes al área de la Ciberseguridad Industrial. Estos trabajos consisten en el desarrollo de entornos que simulan, por un lado, el funcionamiento real de una Unidad de Imagen Médica y, por otro, el de una SmartCity, con el objetivo de entender y proteger mejor los sistemas que los componen de posibles amenazas cibernéticas.

El artículo de esta noticia está disponible en nuestro portal de CSIRT-CV.

 

XVII Jornadas STIC CCN-CERT y V Jornadas de Ciberdefensa

Como viene siendo habitual, CSIRT-CV ha participado en las XVII Jornadas STIC CCN-CERT y V Jornadas de Ciberdefensa: ESPDEF-CERT, organizadas por el Centro Criptológico Nacional (CCN), bajo el lema “Compartir para ganar”, entre el 28 y el 30 de noviembre en Madrid, coincidiendo la última jornada con el Día Mundial de la Seguridad de la Información, que se celebra cada 30 de noviembre, desde 1988.

Durante estas jornadas hemos tenido el placer de participar con la ponencia El Amperio contra Carga: atacando a un cargador eléctrico en una SmartCity, en la que nuestra compañera Marina Galiano ha explicado las consecuencias sociales que podría sufrir una Smartcity después de que varios dispositivos IoT como son los cargadores eléctricos de vehículos, los sensores de llenado de contenedores o las cámaras de vigilancia de tráfico fueran atacados por ciberdelincuentes.

La SmartCity es un proyecto de investigación, enmarcado dentro del ámbito de la Ciberseguridad Industrial, que lleva a cabo CSIRT-CV en colaboración con el Ajuntament de València, para la realización de pruebas con el fin de saber qué pasaría si fueran manipulados estos dispositivos IoT, que se encuentran actualmente repartidos por la ciudad de Valencia, y sobre todo para minimizar su impacto en la sociedad.

En el siguiente enlace, puedes leer esta noticia publicada en nuestro portal de concienciaT y ampliar la información acerca de estas jornadas.

 

Compras seguras online

Estamos inmersos en una de las épocas en las que realizamos cientos de compras tanto en tiendas físicas como en comercios electrónicos. El Black Friday, el Cyber Monday, los regalos de Navidad, las rebajas, etc. nos incitan a realizar compras compulsivas y nos llevan a uno de los escenarios que más nos preocupa en CSIRT-CV: la Ciberseguridad en las compras online y cómo evitar ser víctimas de estafas y fraudes ya que son miles los ciudadanos que son víctimas de los ciberatacantes.

Por ello, y con el fin de que podáis disfrutar de vuestras compras online de manera segura, hemos lanzado una serie de ciberconsejos en formato cartoon, tanto previos a la compra como tras esta, y qué hacer en caso de haber sido víctima de este tipo de fraude para no caer en la trampa.

¡Aprovecha esta oportunidad para asentar tus conocimientos sobre compras seguras online!

 

Alertas de seguridad

Por último, en nuestro portal de CSIRT-CV puedes encontrar las alertas de seguridad que publicamos periódicamente y que pueden ayudarte a mantener tus equipos actualizados y protegidos.

A continuación, destacamos las alertas de seguridad más relevantes del mes:

      • Vulnerabilidades en productos de Siemens: Siemens ha reportado varias vulnerabilidades cuya explotación podría permitir a los atacantes ejecutar código arbitrario o causar una denegación de servicio. Siemens ha lanzado actualizaciones para los productos afectados y recomienda a los usuarios que actualicen a las últimas versiones.
      • Vulnerabilidad crítica en productos Johnson Controls: Jim Reprogle reportó esta vulnerabilidad crítica a Johnson Controls que podría permitir a un usuario no autorizado acceder a funciones de depuración que fueron expuestas accidentalmente. Johnson Controls recomienda a los usuarios actualizar los productos a las últimas versiones.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRTCV).