Butlletí de setembre 2024

En el butlletí del mes de setembre, us mantenim informats sobre les últimes vulnerabilitats, consells i millors pràctiques en matèria de ciberseguretat. Este mes, ens centrem a ajudar-vos a reprendre i reforçar les mesures de seguretat després de l’estiu, assegurant que els vostres sistemes, dades i equips estiguen protegits enfront de les amenaces cibernètiques.

Impuls de la ciberseguretat a la Comunitat Valenciana

La consellera d’Hisenda, Economia i Administració Pública, Ruth Merino, va visitar les noves instal·lacions de CSIRT-CV per a conéixer de primera mà el treball del centre de ciberseguretat i el funcionament del laboratori de Ciberseguretat Industrial juntament amb la secretària autonòmica d’Administració Pública, Emilia Selva; el director general de Tecnologies de la Informació i les Comunicacions, José Manuel García Duarte, i la subdirectora de Ciberseguretat, Carmen Serrano.

El laboratori es va crear amb finalitats demostratives, de formació i d’investigació de noves vulnerabilitats i es continua treballant en esta mateixa línia. L’objectiu d’estes investigacions és poder realitzar i provar diferents activitats relacionades amb la ciberseguretat que ajuden a entendre i a protegir millor els sistemes que els componen, ajudant a mitigar així els ciberatacs.

CSIRT-CV ha gestionat amb èxit 2.221 ciberincidents des de principi d’any sobre un total de 40 milions d’alertes d’atacs registrats pels sistemes de detecció, que en la seua majoria han sigut continguts pels sistemes automàtics de defensa de la xarxa corporativa. Esta xifra representa un increment del 24 % respecte al total d’incidents de seguretat que va gestionar amb èxit CSIRT-CV durant tot 2023, i que va ser de 1.788 incidents.

Igualment, CSIRT-CV duu a terme una àmplia labor de formació, conscienciació i divulgació.

Pots trobar tota la informació ací.

 

Campanya CSIRT-CV

Des de CSIRT-CV hem llançat la campanya de conscienciació «Més enllà de la pantalla» amb el lema “Fes del mòbil el teu aliat”, amb l’objectiu de reflexionar sobre el paper que juguen les pantalles en la vida quotidiana dels nostres menors.

Per a això, des del 16  de setembre i fins a principis d’octubre, CSIRT-CV  publicarà diferents continguts, que es poden seguir en els nostres perfils de X i Facebook, així com el portal de concienciaT per a estar al dia en les tecnologies a l’abast de les generacions més joves.

Troba tota la informació relacionada amb esta campanya ací.

 

Patrons addictius en el tractament de dades personals

Un patró addictiu és una característica, atribut o pràctica de disseny que porta a una persona a utilitzar una tecnologia o servici de manera excessiva, la qual cosa genera una sensació de malestar o ansietat quan no pot accedir-hi.

El desenrotllament dels patrons addictius comença amb el concepte de tecnologia persuasiva, dissenyada per a canviar les actituds i comportaments de les persones sense recórrer a la coerció ni l’engany. El disseny persuasiu convertix plataformes, aplicacions i servicis en addictius.

Si estàs interessat en esta temàtica, pots trobar més informació en el següent informe elaborat per l’Agència Espanyola de Protecció de Dades (AEPD).

 

Teletreball

El teletreball ha revolucionat la forma en què treballem, oferint beneficis significatius com una major flexibilitat, o l’equilibri entre la vida laboral i personal. No obstant això, esta modalitat també planteja nous desafiaments en l’àmbit de la ciberseguretat. Treballar pot implicar l’ús de xarxes i dispositius sense mesures de protecció adequades.

CSIRT-CV elabora la següent guia com a resposta als riscos derivats del teletreball.

 

Com pots actualitzar els navegadors dels teus dispositius

Els navegadors web són ferramentes essencials per a la nostra vida diària, ens permet accedir a informació, realitzar transaccions i comunicar-nos. No obstant això, quan no es mantenen actualitzats, poden convertir-se en un important vector de ciberatacs. Les actualitzacions dels navegadors no sols introduïxen noves funcionalitats i millores en el rendiment, sinó que també corregixen vulnerabilitats de seguretat. No actualitzar els navegadors deixa els usuaris exposats a amenaces com són el programari maliciós, pesca  o explotadors.

Pots trobar tota la informació sobre com actualitzar els teus navegadors ací.

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

    • Butlletí de seguretat d’Android setembre 2024. El butlletí d’Android, relatiu a setembre de 2024, soluciona múltiples vulnerabilitats de severitat crítica i alta que afecten el seu sistema operatiu, així com múltiples components, que podrien provocar una escalada de privilegis, una divulgació d’informació o una denegació de servici.

 

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita les nostres pàgines web, on trobaràs consells, cursos en línia, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ , o seguix les nostres xarxes socials: Facebook (CSIRT-CV) i X (@csirtcv).

 

ESET soluciona vulnerabilitats d’escalada de privilegis en productes per a Windows i macOS

ESET ha corregit múltiples vulnerabilitats d’escalada de privilegis en els seus productes per a sistemes operatius Windows i macOS, segons ha informat el portal Security Week. Aquestes vulnerabilitats, si eren explotades, podien permetre que un atacant amb accés local elevés els seus privilegis en el sistema afectat, proporcionant-li control total.

Els errors estaven relacionats amb l’eliminació d’arxius detectats com a maliciosos, procés en el qual es generava una escalada de privilegis, permetent que usuaris no autoritzats pogueren realitzar accions que normalment requeririen permisos superiors. L’empresa de ciberseguretat ha llançat pegats per a corregir les vulnerabilitats en les versions més recents dels seus productes de seguretat.

Segons Security Affairs, les vulnerabilitats van ser reportades per investigadors de seguretat, els quals van alertar ESET del risc que implicaven aquests errors. Aquests problemes afectaven tant a usuaris de macOS com de Windows, i l’empresa ha instat els seus clients a actualitzar a l’última versió per a protegir-se de possibles atacs que exploten aquestes vulnerabilitats.

En particular, en la seua pàgina de suport oficial, ESET ha assenyalat que la vulnerabilitat es trobava en el procés d’eliminació d’arxius detectats com a maliciosos i que l’error ja ha sigut corregit en les versions 16.1.7.0 dels productes per a Windows i 7.3.8 dels productes per a macOS ESET Support.

L’empresa no ha reportat que aquestes vulnerabilitats hagen sigut explotades en atacs coneguts fins al moment.

La recomanació dels experts és que tots els usuaris d’ESET verifiquen la versió del seu programari i apliquen les actualitzacions necessàries per a evitar quedar exposats a aquesta vulnerabilitat que podria comprometre seriosament la seguretat dels dispositius.

Aquesta actualització reforça el compromís d’ESET amb la seguretat dels seus usuaris i destaca la importància de mantindre els sistemes i productes actualitzats per a mitigar riscos en l’entorn digital actual.

Referències:

Conveni marc del Consell d’Europa sobre intel·ligència artificial

La primera normativa global sobre IA al món

La Comissió Europea ha publicat una notícia sobre la firma del Conveni marc del Consell d’Europa sobre intel·ligència artificial (IA) en nom de la Unió Europea.

En què consistix el Conveni?

Este conveni constituïx el primer reglament sobre IA a escala mundial. Establix una sèrie de principis i mesures per a regular el desenrotllament i l’ús de la IA amb un enfocament en la seua utilització ètica i en el respecte dels drets humans, la democràcia i l’estat de dret, que promoga la innovació i la confiança.

A més, el Conveni adopta un enfocament diferenciat i basat en el risc, aplicant els seus principis i obligacions a les activitats d’actors privats i públics al llarg del cicle de vida de la IA. No obstant això, exclou del seu abast les activitats de sistemes d’IA relacionades amb la protecció d’interessos de seguretat nacional, assumptes de defensa nacional, i activitats d’investigació i desenrotllament.

La firma d’este conveni es farà el mes de setembre, fet que permet que qualsevol país del món s’hi unisca i es comprometa a complir les seues disposicions.

Quina relació hi ha entre el Conveni marc i el Reglament europeu d’intel·ligència artificial (RIA)?

En primer lloc, les dos normes tenen com a objectiu proporcionar un marc eficaç d’àmbit internacional per a abordar els riscos que planteja la IA en relació amb els drets humans, la democràcia i l’estat de dret. No obstant això, mentres que el RIA s’aplica exclusivament a la Unió Europea, el Conveni marc té una dimensió global i està obert a la firma de qualsevol país del món.

El RIA està dissenyat per a establir un marc normatiu comú en els estats membres de la Unió Europea que regule el desenrotllament i l’ús de la intel·ligència artificial dins del territori de la UE. A més, establix un marc normatiu basat en la classificació dels sistemes d’IA, segons el seu nivell de risc per a les persones i la societat. Este marc regulador distingix quatre categories:

    • Risc inacceptable: Sistemes prohibits o estrictament restringits per contradir els valors i principis fonamentals de la UE, com la dignitat humana, la democràcia o l’estat de dret.
    • Risc alt: Sistemes d’IA que han d’estar subjectes a obligacions o requisits estrictes abans de la seua utilització o comercialització, ja que tenen un impacte significatiu en els drets fonamentals i la seguretat de les persones.
    • Risc limitat: Sistemes subjectes a requisits de transparència, atés que poden influir en els drets o la voluntat dels usuaris, encara que en menor mesura que els sistemes d’alt risc.
    • Risc mínim o nul: Sistemes d’IA que no tenen un impacte directe en els drets fonamentals o la seguretat de les persones i no estan subjectes a cap obligació.

El Conveni és coherent amb el que estipula el RIA i inclou conceptes clau, com ara:

    • El seu enfocament basat en el risc.
    • Principis clau (transparència, solidesa, seguretat, governança, protecció de dades, etc.).
    • Reforç de la documentació, la rendició de comptes i les vies de recurs.
    • Mecanismes de supervisió de les activitats d’IA.
    • Suport a la innovació segura a través d’espais controlats de proves.

El Conveni s’aplicarà a la UE a través del RIA.

Referències

Butlletí d´agost 2024

Amb agost arribant a la seua fi i la tornada a la rutina en marxa, és el moment perfecte per a reflexionar sobre com podem protegir la nostra informació en els nostres llocs de treball. Per a això, vos recordem alguns consells sobre seguretat que hem recopilat en el nostre últim butlletí informatiu de ciberseguretat.

Pren nota:

1. Bloqueja la sessió. Quan abandones el teu lloc de treball recorda blocar l’equip. Evitaràs que algú puga accedir-hi durant la teua absència.
2. Utilitza una política de taules netes. No deixes mai damunt de la taula de treball informació delicada que puga ser vista per altres persones.
3. Xifra la informació confidencial. Per a la informació confidencial, utilitza una partició o un directori xifrat que en garantisca la seguretat i confidencialitat.
4. Gestiona de manera segura les contrasenyes. Utilitza contrasenyes que continguen minúscules, majúscules, signes de puntuació, símbols i huit o més caràcters. A més, canvia-les periòdicament. Per a facilitar-ne la gestió, fes ús de gestors de contrasenyes.
5. Xifra els missatges de correu electrònic. En enviar per correu electrònic informació confidencial o especialment crítica, has de xifrar el missatge.

Pots accedir al contingut i descarregar la infografia des del següent enllaç.

Certificació ISO 27001
CSIRT-CV ha renovat la seua certificació ISO 27001, un estàndard internacional que establix els requisits per a un sistema de gestió de seguretat de la informació (SGSI). Este assoliment confirma el compromís de CSIRT-CV amb la protecció i gestió de la informació de manera segura i eficient, que s’alinea amb les millors pràctiques internacionals.

Per a conéixer les iniciatives que du a terme el centre de ciberseguretat per a la millora del servici, accedix al següent enllaç.

Dia del Gamer
Cada 29 d’agost se celebra el Dia Internacional del Gamer per a reconéixer i celebrar la cultura dels videojocs. És una oportunitat per a destacar la importància dels videojocs com a forma d’entreteniment, expressió artística i comunitat, però també per a recordar la necessitat d’aplicar bones pràctiques per a protegir la informació personal, previndre fraus, garantir una experiència de joc segura i protegir els comptes i la inversió dels jugadors, així com promoure una comunitat de joc més saludable i respectuosa sense donar cabuda a qüestions com el ciberassetjament i el comportament tòxic.

Des de CSIRT-CV, et recordem en el següent enllaç 10 consells de ciberseguretat per a gaudir al màxim dels jocs en línia.

Últimes notícies sobre l’incident CrowdStrike
Tots recordem el 19 de juliol, dia en què una actualització defectuosa del programari Falcon de CrowdStrike va deixar sense servici milions d’ordinadors amb sistema operatiu Windows. Este incident va afectar greument diversos sectors a escala global, incloent-hi aeroports, bancs, mitjans de comunicació, hospitals i operadors de telecomunicacions. A Espanya, AENA va ser-ne la companyia més afectada, encara que també va tindre incidència en Correos, Iberdrola o Bizum.

Els servicis de Microsoft que van resultar afectats inclouen PowerBI, Fabric, Teams, el centre d’administració de Microsoft 365, Purview, Defender, Intune, OneNote, OneDrive, SharePoint Online, Windows 365 i Viva Engage.

CrowdStrike va explicar que la causa de l’incident va ser un defecte en l’arxiu de Canal 291, utilitzat pel sensor Falcon per a interpretar l’execució de “canonades de nom”, un mecanisme que permet la comunicació entre sistemes o processos en Windows. L’actualització de la configuració va provocar un error lògic que va derivar en una fallada del sistema operatiu.

Per a solucionar el problema, CrowdStrike va corregir el contingut de l’arxiu i va proporcionar una solució ràpida i detallada per a la recuperació. No obstant això, la recuperació ha sigut lenta en molts casos, la qual cosa ha generat pèrdues estimades en uns 5.400 milions de dòlars per a les empreses afectades.

Per a més informació, vos deixem enllaços a articles en ComputerWorld i El Mundo.

Alertes de seguretat
Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes: