Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/02/2019

Boletín 19/01/2019 - 01/02/2019

Como cada quincena, os resumimos algunas de las noticias sobre seguridad más importantes que se han publicado recientemente.

Si hace unas semanas se publicaba una recopilación de más de 700 millones de credenciales de usuarios provenientes de diferentes fugas de información, conocida como “Collection #1”, esta semana hemos conocido de la existencia de hasta 5 compilaciones de este tipo, que suman más de 2200 millones de credenciales publicadas. Desde CSIRT-CV recomendamos que se utilicen contraseñas complejas y diferentes para cada servicio para minimizar el impacto de estas fugas de información sobre la identidad digital de los usuarios.

En el ámbito legal cabe destacar la publicación de la Guía de Notificación y Gestión de Incidentes de Ciberseguridad publicada por el Gobierno de España, que establece un marco de referencia para la notificación y gestión de incidentes en los entes afectados por el Real Decreto Ley 12/2018 sobre seguridad de las redes y sistemas de información, entre los que destacan la administración pública, las infraestructuras críticas y los operadores estratégicos.

También han sido reseñables en los últimos días dos noticias relacionadas con la justicia: Por un lado, el inicio del juicio en EEUU contra un delincuente ruso acusado de infectar cerca de 1,7 millones de ordenadores, en el que el hacker se ha declarado no culpable. Por otro lado, una operación policial coordinada por Europol ha permitido el cierre del mercado online xDedic, que se dedicaba a vender credenciales de acceso a servidores comprometidos en todo el mundo.

Otro tema cada vez más en boga es el de las noticias falsas, o “fake news”. Diferentes medios y plataformas están realizando esfuerzos para tratar de evitar la diseminación de estas noticias falsas. El último que ha anunciado medidas al respecto es Whatsapp, que limitará el reenvío de mensajes para frenar la dispersión de noticias falsas.

Por último, destacar que han salido voces que indican que, más allá de una campaña nostálgica para mostrar cuánto cambiamos con el tiempo, la campaña “Ten Year Challenge”, promovida por Facebook y en la que nos solicitan que publiquemos una foto nuestra actual junto con una de hace 10 años, podría ser una campaña de ingeniería social para entrenar algoritmos de reconocimiento facial con el matiz de que además tendrían información sobre los cambios que se producen en las personas por la edad.

Actualizaciones de aplicaciones

Una de las principales afectadas esta quincena por fallos de seguridad ha sido Apple, que ha visto como un fallo de seguridad en su aplicación FaceTime para la realización de llamadas y videollamadas, permitía escuchar el audio de un tercero incluso antes de que haya aceptado la llamada. Además, se ha publicado un jailbreak para la versión 12.1.2 y anteriores de iOS que permite obtener acceso de administrador al terminal únicamente visitando una página web especialmente diseñada.

También destacamos dos vulnerabilidades que afectan a productos de Microsoft y que para las que parece que de momento no se ha publicado ninguna solución. Se trata de una vulnerabilidad al tratar ficheros de contactos que podría causar la ejecución remota de código arbitrario, y una vulnerabilidad en Exchange 2013 que permitiría llevar a cabo ataques de retransmisión de cadenas de autenticación, pudiendo permitir a un atacante obtener privilegios de administrador de dominio.

CSIRT-CV