Posted on

Butlletí de gener 2024

En començar un nou any, moltes persones es plantegen nous propòsits o metes per a millorar diferents aspectes de les seues vides. Estos propòsits solen estar relacionats amb la salut, el treball o el desenvolupament personal. Des de CSIRT-CV, arranquem 2024 amb una nova edició de la nostra oferta formativa perquè et convertisques en un ‘Human Firewall’. Et sumes al repte?. Et convidem a llegir el nostre primer butlletí de l’any per a estar informat de les notícies més destacades esdevingudes en CSIRT-CV i en l’àrea de la ciberseguretat.  

 

CSIRT-CV posa en marxa la nova edició de cursos en línia de seguretat per a ciutadans i ciutadanes

CSIRT-CV ha posat en marxa la nova edició dels 19 cursos en línia de seguretat per a este 2024, enfocats, principalment, als ciutadans i ciutadanes. El termini de matrícula està obert des de l’1 de gener fins al 31 de desembre.

Els cursos s’impartixen a través de la plataforma SAPS, són gratuïts, de curta duració i aplicació pràctica, tant a nivell personal com professional.

Per a poder començar a fer els cursos cal ser usuari/ària de SAPS. Per a això, és necessari registrar-se en la plataforma i inscriure’s en els cursos desitjats. Accés a SAPS.

Coneix detalladament  els nostres cursos en el nostre portal de ConcienciaT.

 

Dia Internacional de l’Educació

Dimecres passat, 24 de gener, ens vam sumar a la celebració del Dia Internacional de l’Educació. Com sabeu, des de CSIRT-CV estem compromesos amb la formació i conscienciació en matèria de ciberseguretat, per això, a més d’oferir cursos en línia gratuïts en matèria de seguretat, impartim sessions i tallers a menors, familiars i docents en els centres educatius de Secundària de la Comunitat Valenciana amb l’objectiu d’implantar una cultura de ciberseguretat i bones pràctiques digitals en tota la població.

 

La Generalitat Valenciana rep el guardó a millor projecte d’innovació tecnològica

El Pla de ciberseguretat dirigit a les 584 entitats locals de la Comunitat Valenciana, l’objectiu del qual és dotar a estos ens d’eines i solucions capdavanteres que els ajuden a lluitar contra els ciberatacs, ha rebut un nou reconeixement, per la qual cosa la Generalitat Valenciana ha sigut guardonada amb el premi CIO 100 Awards 2023 al millor projecte de l’any d’innovació tecnològica en ciberseguretat.

Este premi és un reconeixement a l’esforç de la institució, i en particular, de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), a través del Centre de Ciberseguretat de la Comunitat Valenciana (CSIRTCV), organisme encarregat de l’execució del pla. Pots llegir la notícia completa ací.

 

Dia Europeu de la Protecció de Dades

El 28 de gener se celebra el Dia Europeu de la Protecció de Dades i per a esta ocasió vos recordem una sèrie de consells sobre ciberseguretat per a protegir les teues dades tots els dies. Descarrega la nostra infografia per a conéixer-los íntegrament.

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este  mes:

      • Pedaç per a Zero-Day crític en iPhones i Macs: Apple ha publicat noves actualitzacions de seguretat per a iOS, iPadOS, macOS, tvOS i el navegador web Safari per a abordar una fallada de Zero-Day, que ha sigut objecte d’explotació activa. Es tracta de la primera vulnerabilitat de Zero-Day activament explotada que Apple posa pedaços enguany. L’any passat, el fabricant de l’iPhone havia abordat 20 vulnerabilitats que s’han emprat en atacs del món real. El proveïdor ha llançat una sèrie d’actualitzacions per a corregir esta fallada.
      • Vulnerabilitat en Apache Superset: s’ha detectat una vulnerabilitat crítica en versions d’Apache Superset prèvies a la 3.0.3. D’esta manera, un atacant podria emmagatzemar un script o afegir un fragment HTML específic que actuaria com a XSS emmagatzemat. Les recomanacions consistixen en l’actualització a versions 3.0.3 o bé canviar la configuració incloent el codi descrit en la notícia.
      • Vulnerabilitat en Apache OpenOffice: s’ha detectat una vulnerabilitat d’alta severitat en Apache OpenOffice. Esta vulnerabilitat permet l’execució de codi no desitjada. El fabricant recomana que s’actualitzen les versions a la 4.1.15.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en este àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).

Posted on

Detectada una campanya fraudulenta, suplantant a Metrovalencia, que afecta les targetes de transport SUMA

S’ha detectat una campanya de missatges fraudulents en la xarxa social Facebook suplantant a Metrovalencia, en la qual es publicita una nova targeta SUMA per un import de 2,35 €.

Per a accedir a la falsa promoció, suposadament vàlida fins al 31 de desembre, l’usuari ha d’accedir a un enllaç fraudulent i emplenar una enquesta de tres preguntes amb resposta de Si o No.

Una vegada respostes les preguntes, ix un missatge d’Enhorabona (veure imatge següent) i proporciona tres indicacions:

1. Fer clic per a per a accedir a la pàgina de pagament

2. Emplenar el formulari per a procedir amb el pagament

3. Indicar que el paquet s’entregarà en un termini de 5 a 7 dies.

A continuació, redirigix a una passarel·la de pagament en la qual se sol·liciten les dades personals de l’usuari (veure següent imatge).

Finalment, sol·licita les dades bancàries com a mostra la imatge següent. Si s’arribaren a introduir les dades bancàries, els ciberdelinqüents es farien amb ells.

Recursos Afectats

Qualsevol persona a la qual li haja aparegut la publicació falsa en el seu mur de Facebook i haja accedit a l’enllaç facilitat i emplenat les dades sol·licitades en la web fraudulenta.

Recomanacions

Si no has accedit a l’enllaç de la publicació, ignora’l i avisa als teus afins que és una estafa.

Si has accedit a l’enllaç i introduït dades personals i bancaris en la passarel·la de pagament, para atenció a les següents recomanacions:

1. Realitza captures de pantalla o guarda totes les evidències possibles de l’estafa i els enllaços adjunts.

2. Si has introduït dades bancàries, posa’t en contacte amb la teua entitat bancària, al més prompte possible, per a informar de l’incident i que es prenguen les mesures necessàries.

3. En els pròxims dies i mesos, practica el *egosurfing: introduïx el teu nom i cognoms en els cercadors d’Internet per a assegurar-te que les teues dades no s’han vist compromesos o hagen sigut usats per a altres fins com podria ser la creació de perfils en xarxes socials.

4. Presenta una denúncia davant les Forces i Cossos de Seguretat de l’Estat juntament amb les evidències que hages pogut recaptar del frau.

5. Informa del frau als teus afins per a evitar que altres persones puguen ser víctimes d’esta estafa.

Per a mantindre’t informat sobre esta mena de fraus o alertes de vulnerabilitats, pots subscriure’t ací i visitar la nostra web de CSIRT-CV i concienciaT.

 

Posted on

Butlletí de novembre 2023

Iniciem l’últim mes d’enguany i per donar la benvinguda al mes de desembre us portem un nou butlletí informatiu on recollim la participació del CSIRT-CV en diversos esdeveniments de ciberseguretat com són les Jornades STIC del CCN i el Congrés IARIA, així com uns consells sobre compres segures en línia i algunes de les vulnerabilitats més rellevants de l’últim mes. Comencem!

 

Congrés IARIA

El mes de novembre ha sigut un dels períodes més actius quant a la participació de CSIRT-CV en esdeveniments de Ciberseguretat. El primer d’estos  al qual vam assistir va ser el Congrés IARIA 2023, amb el títol Fronteres en Ciència, Tecnologia, Serveis i Aplicacions (Annual Congress on Frontiers in Science, Technology, Services, and Applications).

Este congrés es va celebrar del 13 al 17 de novembre a la ciutat de València i va comptar amb la presència de doctors, professors, científics, especialistes i prenedors de decisions de totes les entitats econòmiques, educatives i governamentals en sistemes socials, programari, anàlisi de ciència de dades, comunicacions, tecnologia i serveis en xarxa a escala mundial.

Durant el congrés, la nostra companya de CSIRT-CV, Marina Galiano, va presentar dos dels projectes en els quals treballa i investiga el Centre de Seguretat de les Tecnologies de la Informació i les Comunicacions de la Comunitat Valenciana, pertanyents a l’àrea de la Ciberseguretat Industrial. Estos treballs consisteixen en el desenvolupament d’entorns que simulen, d’una banda, el funcionament real d’una Unitat d’Imatge Mèdica i, d’una altra, el d’una SmartCity, amb l’objectiu d’entendre i protegir millor els sistemes que els componen de possibles amenaces cibernètiques.

L’article d’esta  notícia està disponible en el nostre portal de CSIRT-CV.

 

XVII Jornades STIC CCN-CERT i V Jornades de Ciberdefensa

Com és habitual, CSIRT-CV ha participat en les XVII Jornades STIC CCN-CERT i V Jornades de Ciberdefensa: ESPDEF-CERT, organitzades pel Centre Criptològic Nacional (CCN), amb el lema “Compartir per a guanyar”, entre el 28 i el 30 de novembre a Madrid, coincidint l’última jornada amb el Dia Mundial de la Seguretat de la Informació, que se celebra cada 30 de novembre, des de 1988.

Durant estes jornades hem tingut el plaer de participar amb la ponència L’Ampere contra Càrrega: atacant a un carregador elèctric en una SmartCity, en la qual la nostra companya Marina Galiano ha explicat les conseqüències socials que podria patir una Smartcity després que diversos dispositius IoT com són els carregadors elèctrics de vehicles, els sensors d’ompliment de contenidors o les càmeres de vigilància de trànsit foren atacats per ciberdelinqüents.

La SmartCity és un projecte d’investigació, emmarcat dins de l’àmbit de la Ciberseguretat Industrial, que du a terme CSIRT-CV en col·laboració amb l’Ajuntament de València, per a la realització de proves amb la finalitat de saber què passaria si foren manipulats estos dispositius IoT, que es troben actualment repartits per la ciutat de València, i sobretot per a minimitzar el seu impacte en la societat.

En el següent enllaç, pots llegir esta notícia publicada en el nostre portal de concienciaT i ampliar la informació sobre estes jornades.

 

Compres segures en línia

Estem immersos en una de les èpoques en les quals realitzem centenars de compres tant en botigues físiques com en comerços electrònics. El Black Friday, el Cyber Monday, els regals de Nadal, les rebaixes, etc. ens inciten a realitzar compres compulsives i ens porten a un dels escenaris que més ens preocupa en CSIRT-CV: la Ciberseguretat en les compres en línia i com evitar ser víctimes d’estafes i fraus, ja que són milers els ciutadans que són víctimes dels ciberatacants.

Per això, i amb la finalitat que pugueu gaudir de les vostres compres en línia de manera segura, hem llançat una sèrie de ciberconsells en format cartoon, tant previs a la compra com després d’esta, i què fer en cas d’haver sigut víctima d’este tipus de frau per a no caure en el parany.

Aprofita esta oportunitat per a assentar els teus coneixements sobre compres segures en línia!

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que publiquem periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits.

A continuació, destaquem les alertes de seguretat més rellevants del mes:

      • Vulnerabilitats en productes de Siemens: Siemens ha reportat diverses vulnerabilitats l’explotació de les quals podria permetre als atacants executar codi arbitrari o causar una denegació de servei. Siemens ha llançat actualitzacions per als productes afectats i recomana als usuaris que actualitzen a les últimes versions.
      • Vulnerabilitat crítica en productes Johnson Controls: Jim Reprogle va reportar esta vulnerabilitat crítica a Johnson Controls que podria permetre a un usuari no autoritzat accedir a funcions de depuració que van ser exposades accidentalment. Johnson Controls recomana als usuaris actualitzar els productes a les últimes versions.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una Cultura de la Ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubtes a visitar les nostres pàgines web on trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/, així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).

Posted on

CSIRT-CV imparteix un curs sobre ‘Desenvolupament segur d’aplicacions’ en l’IVAP

El Institut Valencià d’Administració Pública (IVAP) ha organitzat un curs sobre ‘Desenvolupament segur d’aplicacions’, que ha sigut impartit per personal del CSIRT-CV.

L’objectiu d’esta formació és, d’una banda, conscienciar als desenvolupadors i donar a conéixer les males praxis en estes aplicacions mitjançant la realització d’exercicis pràctics.

I, per un altra, entendre els riscos de seguretat que es corren en un desenvolupament insegur en l’actualitat, així com donar a conéixer estàndards i metodologies per a la seua mitigació en este àrea.

El curs de 30 hores lectives, que consta d’una part teòrica i una altra pràctica, ha comptat amb l’assistència de 20 empleats públics de la Generalitat Valenciana.

El contingut impartit s’ha centrat en quatre blocs: Fonaments de la seguretat de la informació; Introducció al procés de desenvolupament segur; Desenvolupament web i d’aplicacions i Anàlisis de la seguretat.

Estes formacions, dirigides al personal de la Generalitat Valenciana, formen part de Pla Especial de Formació del CSIRT-CV.

Per a més informació sobre els cursos disponibles del CSIRT-CV, pots consultar la pàgina de concienciaT.