7 de abril de 2018

GAMERS. Mejores candidatos para los puestos de ciberseguridad

McAfee, la empresa americana de seguridad informática, ha recogido en su nuevo informe que los 'gamers' desempeñan mejor los empleos relacionados con ciberseguridad. El estudio también revela la importancia de la automatización y la gamificación para luchar contra los cibercriminales.
La compañía con sede en Santa Clara (California, Estados Unidos) ha realizado una encuesta a 300 responsables de seguridad y a 650 profesionales de ciberseguridad de grandes corporaciones para abordar cuestiones como la relación entre los 'gamers' y la seguridad informática, además del creciente potencial de la automatización y la gamificación para defenderse de los piratas informáticos. El 78% de los encuestados cree que la actual generación, en la que la mayoría ha crecido jugando a videojuegos, cuenta con los mejores candidatos para ocupar roles de ciberseguridad.
El informe, llamado 'Winning the Game', sugiere que los 'gamers' poseen las habilidades idóneas para ocupar ese puesto de trabajo. El 92% de los encuestados cree que los videojuegos brindan una serie de habilidades y experiencias útiles para acabar con las ciberamenazas, tales como la perseverancia, el entender cómo acercarse a un rival o la lógica, además de aportar una visión innovadora de la ciberseguridad.
En este sentido, el informe recoge que tres cuartas partes de los directivos afirman que considerarían contratar a un 'gamer', incluso si esa persona no tuviese experiencia ni estudios concretos relacionados con la seguridad informática.
La encuesta revela que el 46% de los encargados de seguridad cree no poder hacer frente al aumento y a la complejidad de las amenazas a las que se enfrentarán durante el próximo año o que será imposible defenderse de ellas. Pese a la necesidad de aumentar el personal, el 84% de los encuestados explica la dificultad de atraer talento, mientras que el 81% piensa que la ciberseguridad se vería beneficiada por una mayor automatización.
Además, una cuarta parte de los encuestados declara que la automatización dejaría tiempo libre para centrarse en la innovación y en el trabajo de valor agregado. De los que no invierten en automatización, el 32% dice que no lo hacen debido a la falta de habilidades internas.
La gamificación, el uso de conceptos de los videojuegos para otras ramas, cada día obtiene más importancia a la hora de ayudar a transformar la ciberseguridad. El 96% de quienes usan la gamificación en sus lugares de trabajo obtiene beneficios visibles. De hecho, de los encuestados que declaran encontrarse satisfechos en su empleo, el informe resalta que pueden trabajar para una organización que gestiona juegos o competiciones varias veces al año.
Fuente: Europa Press

EEUU. Trump ataca a The Washington Post, propiedad del "jefe lobista" dueño de Amazon

El presidente de Estados Unidos, Donald Trump, continuó el jueves sus ataques contra Amazon.com, apuntando en esta ocasión contra The Washington Post, periódico del que también es propietario Jeff Bezos, fundador de la firma minorista, y al que calificó como “lobista jefe” en una publicación en Twitter.
Trump, que suele criticar de forma habitual lo que considera como artículos críticos del Post y otros destacados medios estadounidenses, cargó esta vez contra el título de una nota sobre las represalias de China tras la imposición de aranceles a las importaciones por parte de Estados Unidos.
“Las Noticias Falsas del Washington Post, del ‘lobista jefe’ de Amazon’, tienen otros (de muchos) titulares falsos”, escribió Trump.
Ni Amazon ni The Washington Post respondieron de inmediato a las peticiones de comentario. A las 1423 GMT, las acciones del gigante minorista por internet subían un 1,7 por ciento.
Trump ha sido muy crítico con el uso del Servicio Postal de Estados Unidos por parte de Amazon, asegurando que la compañía de paquetería está perdiendo dinero ocupándose de los envíos del minorista.
También acusó a la compañía de no pagar impuestos suficientes y dejar sin trabajo a pequeños minoristas, sumándose a preocupaciones de los inversores de que podría ser sometida a más regulaciones. Sin embargo, no aportó pruebas que respalden sus críticas y no adelantó qué medidas podría adoptar.
Fuente: Reuters

CRYPTOJACKING. Gana en importancia y afecta también a quienes no tienen criptomonedas

Las criptomonedas cada día tiene más relevancia y con ellas aparece el 'cryptojacking', el procedimiento por el cual se roban o se generan monedas de este tipo, y cualquier persona puede ser objetivo de estos ataques, aunque no tenga criptomonedas ni esté relacionada con ese mundo.
Según el comunicado realizado por Check Point Software Technologies, un proveedor global especializado en ciberseguridad, los atacantes utilizan como blanco a todas las personas y organizaciones que pueden, todo el mundo es un objetivo potencial.
Los criminales infectan los equipos de otras personas o empresas para minar monedas virtuales, como Bitcoin. Minar consiste en realizar una serie de complejas operaciones matemáticas usando ordenadores u otros dispositivos, cuyo resultado es la obtención de una moneda virtual. Estos piratas informáticos usan la potencia de ordenadores, teléfonos y servidores ajenos para minar las monedas sin el consentimiento de sus dueños, lo que les genera beneficios económicos de modo fraudulento.
Los ataques de 'cryptojacking' surgieron por primera vez en 2011 como una amenaza sin importancia al lado de los troyanos o los 'ramsonware'. En cambio, cuando en 2017 se disparó el valor del Bitcoin, el negocio de estos piratas informáticos pasó a ser mucho más lucrativo. Check Point ha elaborado un gráfico con datos extraídos de su base de datos de inteligencia, ThreatCloud, que muestra el crecimiento exponencial de este tipo de ataques.
Los ciberdelincuentes no tienen un país como objetivo principal, sino que se limitan a infectar equipos por todo el globo, como se muestra en este mapa elaborado por Check Point teniendo en cuenta los casos detectados durante el pasado año 2017.
Hay compañías que pueden verse afectadas por 'cryptojacking' y, aunque no tuviesen en su haber monedas virtuales, pueden sufrir diversas consecuencias negativas, según explica Check Point. La primera de ellas es un aumento del consumo en los servidores, ya que el 'malware' de minería ilegítima de criptomonedas aumenta los costes de alojamiento y electricidad en gran medida.
Estos ataques también afectarán a los ordenadores y a los teléfonos móviles que visiten 'webs' infectadas, que funcionarán con más lentitud, lo que implica una reducción del rendimiento del usuario. Además, hay que tener en cuenta que si una organización es infectada de este modo, repercutirá negativamente en su reputación, ya que han podido verse afectados datos de sus clientes o de la propia empresa.
Fuente: Europa Press

RUSIA. Reclama bloqueo de Telegram en el país por impedir a autoridades acceder a mensajes

El Gobierno de la Federación Rusa ha presentado una demanda con el objetivo de bloquear el acceso de la aplicación de mensajería Telegram en el país, después de que la compañía rechazase compartir con los servicios de seguridad rusos el contenido de los mensajes enviados a través de su plataforma.
Roskomnadzor, principal órgano regulador de las comunicaciones de Rusia, ha interpuesto este viernes una demanda ante la Corte del Distrito Tagansky de Moscú contra Telegram, para restringir el acceso de la aplicación de mensajería en el país. En un comunicado, el ente estatal ha explicado que la compañía no ha cumplido con las "obligaciones" del Servicio de Seguridad Federal del país, establecidas por la Ley Federal de Información, Tecnologías de la Información y Protección de la Información.
Estas obligaciones, según ha informado Reuters, instaban a la 'app' a permitir al organismo de seguridad ruso el acceso a algunos de los mensajes enviados a través de su plataforma, para realizar tareas como prevenir ataques terroristas en el país. Telegram encripta sus chats, de modo que no pueden ser leídos por terceros, gobiernos incluidos.
El fundador y CEO de Telegram, Pavel Durov, defendió en marzo a través de su perfil de Twitter que las "amenazas" de "bloqueo" de la aplicación, si no aportaba datos "privados" de sus usuarios, "no darán fruto". Además, aseguró que Telegram "defenderá la libertad y la privacidad".
Threats to block Telegram unless it gives up private data of its users won't bear fruit. Telegram will stand for freedom and privacy.
— Pavel Durov (@durov) 20 de marzo de 2018
Con más de 200 millones de usuarios activos en marzo, Telegram es la novena 'app' móvil de mensajería más popular del mundo. Es especialmente utilizada en Rusia, los países de su entorno y Oriente Medio.
Fuente: Europa Press

BRANCHSCOPE. El fallo similar a Spectre descubierto en procesadores Intel

Un grupo de académicos de cuatro universidades norteamericanas ha descubierto un nuevo canal de ataque que aprovecha la función de ejecución especulativa de los procesadores modernos para recuperar datos de la CPU de los usuarios, y ha bautizado este error como BranchScope. El fallo es similar a Meltdown y Spectre, divulgados este año, ya que usa la ejecución especulativa, aunque utiliza una nueva sección del proceso.
Los investigadores (de las universidades Willian and Mary, California Riverside, Carnegie Mellon en Qatar y Binghamton) han llamado a esta técnica BranchScope porque ataca la operación de predicción de bifurcación ('branch' en inglés), que es la fase en la que una CPU decide qué operación calcular de antemano, en su intento de predecir el resultado de un proceso informático, como parte de la función de optimización de ejecución especulativa.
Como se explica en el documento de investigación titulado 'BranchScope: A New Side-Channel Attack on Directional Branch Predictor', la técnica BranchScope permite a los atacantes tomar esta decisión, en lugar de hacerlo la CPU. De esta manera, los intrusos del sistema pueden ejecutar la función de ejecución especulativa en ciertas áreas de la CPU y extraer información que previamente era inaccesible.
La vulnerabilidad BranchScope funciona idénticamente a como lo hace la segunda variante de Spectre. La diferencia es que Spectre 2 actúa en la 'Branch Target Buffer', un componente del caché de las operaciones de predicción de bifurcación, mientras que BranchScope ataca el predictor de bifurcación direccional, el proceso que determina que operaciones especulativas se deben realizar.
En el documento de investigación se detalla que los académicos han probado que BranchScope funciona contra las CPU de Intel, y recoge también que la técnica puede usarse para recuperar contenido almacenado dentro de los enclaves SGX, áreas seguras de las CPU de Intel y que hasta ahora se consideraban intocables. Además, el equipo añade que el ataque puede lanzarse sin derechos de administrador con una probabilidad de error del 1%.
BranchScope es una vulneración novedosa y aún no existen parches para mitigarla. Según los investigadores, los parches de Spectre no funcionan con BranchScope, aunque no debería ser un problema, ya que existen soluciones a nivel de 'software' y 'hardware' para evitar una infección de este tipo.
Pero en un comunicado, Intel ha explicado que los parches de nivel de software empleados para los ataques anteriores también deberían mitigar BranchScope. Un portavoz de Intel ha declarado que han estado trabajando con los investigadores y han llegado a la conclusión de que el método que describen es "similar a los errores conocidos anteriormente". Además, aseguró que "las mitigaciones de software existentes para errores de este tipo serán igualmente efectivas" contra BranchScope. Por otro lado, desde Intel agradecen el trabajo de estos investigadores.
Fuente: Europa Press

FACEBOOK. Que son 87 millones y no 50 los usuarios afectados por el caso Cambdrige Analytica

La compañía ha afirmado en un comunicado que la firma de análisis de datos habría utilizado casi 30 millones más de perfiles de esta red social para influir en procesos políticos, como las elecciones presidenciales de EE.UU. en 2016
De 50 millones de personas a 87.
Facebook ha aumentado el número de posibles afectados por el escándalo de Cambridge Analytica, empresa que utilizó los datos que recabó una aplicación con fines, en principio, académicos. Sin embargo, acabaron usándose para influir en procesos electorales como las presidenciales de Estados Unidos en 2016 y que dieron la victoria a Donald Trump (candidato que contrató a Cambridge Analytica para apoyarle en su carrera hacia la Casa Blanca). Ahora, la compañía de Mark Zuckerberg ha hecho público una primera estimación oficial que eleva en 37 millones las primeras cifras, según informa Bloomberg.
Alrededor de 270.000 personas descargaron una aplicación que preguntaba acerca de rasgos de la personalidad, que además accedía a los contactos de los usuarios de esta herramienta. Facebook anunció después de hacerse público el escándalo que avisará a los afectados -que residen en su mayoría en Estados Unidos-, una promesa que se cumplirá a partir del 9 de abril a través de una llamada en la parte superior del «Feed» de noticias, dentro de la red social.
Este comunicado se produce el mismo día en que se ha sabido que el Congreso de los Estados Unidos ha llamado a declarar al propio Zuckerberg el próximo miércoles 11 de abril, donde hablará acerca «del uso y protección de la compañía de los datos de sus usuarios», indicó el Comité de Energía y Comercio de la Cámara de Representantes en un comunicado.
Uno de los interrogantes que dejó la primera comparecencia (y sucesivas) de Mark Zuckerberg y sus directivos fue el número exacto de afectados por el suceso, que no fue calificado de filtración, ya que no se produjo una violación de los servidores, sino que se obtuvieron los datos de forma legal. El problema viene porque el investigador que creó la aplicación, vendió los datos a la compañía Cambridge Analytica en 2015. Ese mismo año, Facebook se enteró por los periodistas del movimiento y, según su versión, obligó a borrar la información y a certificar que esta acción se habría llevado a cabo.
Una situación que desmintió Christopher Wylie, un experto en datos, exempleado de Cambridge Analytica, quien afirmó: «Logramos recolectar millones de perfiles de Facebook para construir modelos que nos permitieran explotar lo que sabíamos acerca de los usuarios para apuntar a sus demonios internos. Esa fue la visión que tuvo la compañía desde su creación». Además, aseguró que solo tuvo que marcar una casilla para acreditar que se habían borrado los datos, pero que existían copias de los mismos.
Fuente: ABC.es

UE. Facebook compartió datos de 2,7 millones de europeos de forma inapropiada

Facebook confirmó que hay datos de 2,7 millones de ciudadanos de la Unión Europea, de los cuales 137.000 eran españoles, entre los utilizados de manera inapropiada por la consultoría política Cambridge Analytica, dijo el brazo ejecutivo del bloque el viernes.
La Comisión Europea dijo que recibió una carta de Facebook en la noche del jueves y que pedirá más detalles, aumentando la presión sobre la plataforma social, que ha perdido más de 100.000 millones de dólares en valor de mercado en los 10 últimos días.
“Facebook nos confirmó que los datos de un total de hasta 2,7 millones de europeos, o gente en la UE para ser más precisos, podrían haber sido compartidos de forma inapropiada con Cambridge Analytica”, dijo un portavoz de la Comisión.
“La carta explica también los pasos tomados por Facebook desde entonces en respuesta”, agregó.
137.000 eran de españoles
Facebook comunicará en el plazo de cuatro días a hasta 137.000 usuarios españoles que los datos personales que introdujeron para darse de alta en la red social y que han mantenido activos a lo largo de los últimos años han sido captados por Cambridge Analytica, la empresa de márketing político acusada de manipular procesos electorales en Estados Unidos y Reino Unido a lo largo de los dos últimos años.
«A partir del próximo lunes 9 de abril mostraremos a la gente un enlace encima de su muro para que vean qué aplicaciones utilizan y la información que han compartido con esas aplicaciones», explicó Mike Schroepfer, jefe de desarrollo tecnológico de la compañía. El ejercicio forma parte de una renovación de las condiciones de acceso a los datos de más de 2.000 millones de usuarios en todo el mundo a partir del escándalo de Cambridge Analytica. «También le diremos a la gente si su información ha podido ser compartida de forma inapropiada por CA".
Los datos recabados por CA a partir de Facebook fueron obtenidos a través de una aplicación denominada thisisyourdigitallife en la que los usuarios respondían a un cuestionario de personalidad que después se empleaba para perfilar su orientación política, estrato social... Lo instalaron 300.000 usuarios de la red y «dado el modo en que funcionaba nuestra plataforma significa que pudo acceder a los datos de decenas de millones de amigos», según reconoció Mark Zuckerberg el pasado mes de marzo.
Esta cifra se concretó el miércoles -según estimaciones de la propia compañía- en 87 millones de personas. La viralidad en Facebook y la falta de controles sobre el acceso y almacenamiento de información permite esta escala de acceso a los datos por parte de terceros. De hecho desde 2007 cuando se incentivó la apertura de datos e imágenes a todo tipo de aplicaciones con carácter «social» como era el caso de thisisyourdigitallife. En España, admitió ayer Facebook, los datos de hasta 137.000 usuarios fueron captados por CA a partir de sólo 44 personas que se descargaron la aplicación que proponía un test de personalidad «con fines académicos».
Fuente: Reuters y El Mundo.es

ESPAÑA. Mejores ofertas de abril en Fibra óptica de Movistar, Jazztel, Orange y otras compañías

A diferencia del ADSL, la fibra óptica no tiene problemas de estabilidad y la velocidad máxima de descarga que se indica en las tarifas de las compañías suele ser la real. Según datos de la CNMC, en 2017 se rozaron los 6'6 millones de líneas de hogar. 
 Si el uso que se hace de Internet es corriente (acceder a contenido online, descargas estándares o ver televisión por Internet), con 50 Mb es más que suficiente. Analizamos las ofertas más baratas para este mes de abril de las principales compañías.
Fibra óptica de Movistar
Actualmente Movistar dispone de la tarifa Fibra Óptica 50Mb a un precio de 14'90 al mes (IVA incluido) durante un año. El paquete incluye llamadas ilimitadas a fijos y 550 min. al mes de llamadas a móviles. La promoción solo está disponible online.
Fibra óptica de Jazztel
Por su parte, Jazztel también dispone de una promoción de doce meses de contrato exclusivamente online. Se trata de su Fibra 50Mb a un precio de 31'95 € al mes (IVA incluido) que además incorpora la cuota de línea y las llamadas desde el fijo a 0 céntimos el minuto con un coste de 25 céntimos de establecimiento de llamada.
Fibra óptica de Vodafone
La compañía cuenta con el paquete Vodafone Fibra 50Mb por 12'85 € al mes (+ 18'15 de cuota de línea) e incluye para el teléfono fijo llamadas nacionales ilimitadas a fijos y móviles así como una línea móvil adicional con 500MB y Chat Pass. También incorpora Vodafone Tv Total durante tres meses. El precio es exclusivo online.
Fibra óptica de Orange
Mismo precio y similares condiciones son las que ofrece Orange. Su tarifa Fibra 50Mb tiene un coste de 14'90 € mensuales excluyendo la cuota de línea. Todo ello durante doce meses. A la fibra, habría que sumar desde fijo llamadas ilimitadas a otros fijos y 1.000 minutos gratis a móviles (en un horario limitado).
Fibra óptica de Yoigo
La Fibra 50Mb es el nombre del paquete más barato de Yoigo. La tarifa incluye llamadas ilimitadas a fijos nacionales y 60 minutos al mes a móviles nacionales y tiene un precio de 35 € al mes con todo incluido. La oferta incorpora una línea móvil de regalo sin cuota mensual, con 500 Mb al mes y las llamadas a 0 céntimos el minuto.
Fibra óptica de Más Móvil
La fibra simétrica 50Mb de Más Móvil tiene un precio de 13'00 € al mes (con la cuota de línea se quedan en 19'90 €) e incluye llamadas gratis a fijos nacionales y 60 minutos al mes gratis de llamadas a móviles nacionales.
Fuente: El Mundo.es

CISCO. Múltiples vulnerabilidades en IOS e IOS XE

Se han detectado múltiples vulnerabilidades de severidad crítica en dispositivos Cisco que empleen IOS o IOS XE. La explotación de estas vulnerabilidades podrían permitir a un atacante remoto, sin autenticación causar una condición de denegación de servicio o la ejecución de código arbitrario con elevación de privilegios, catalogadas de  Importancia: 5 - Crítica
También se han detectado múltiples vulnerabilidades de criticidad alta que afectan a los mismos productos, más detalles desde https://tools.cisco.com/security/center/publicationListing.x
Recursos afectados:
1.    Cisco IOS.
2.    Cisco IOS XE.
Recomendación
Cisco ha publicado una actualización gratuita que soluciona las vulnerabilidades. Para determinar si el dispositivo es vulnerable Cisco ha publicado una herramienta en línea.
Cisco IOS Software Checker.
Los usuarios que posean un contrato de servicio en vigor, podrán descargar una actualización que solucione la vulnerabilidad de su producto en https://software.cisco.com/download/navigator.html
Si no se posee un contrato de servicio, por favor consultar con su Cisco TAC: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Detalle de vulnerabilidades
Las vunerabilidades de criticidad alta son:
Una vulnerabilidad en Smart Install de Cisco IOS e IOS XE debida a una validación incorrecta datos al enviar un paquete malformado al puerto TCP 4786 del dispositivo podría permitir a un atacante remoto sin autenticación generar una situación de denegación de servicio o la ejecución arbitraria de código. Se ha reservado el identificador CVE-2018-0171 para esta vulnerabilidad.
Una vulnerabilidad en Cisco IOS podría permitir a un atacante remoto sin autenticar acceder al dispositivo afectado empleando el usuario y contraseña que se utiliza en el primer inicio del dispositivo. Esta vulnerabilidad podría permitir acceder al dispositivo con una cuenta con privilegios de nivel 15. Se ha reservado el identificador CVE-2018-0150 para esta vulnerabilidad.
Una vulnerabilidad en el subsistema Quality of Service (QoS) de los dispositivos Cisco IOS e IOS XE debida a una mala comprobación en los límites de algunos paquetes UDP destinados al puerto 18999 podría permitir a un atacante remoto provocar un desbordamiento de búfer que genere una condición de denegación de servicio o la ejecución arbitraria de código con elevación de privilegios.
Más información
Fuente: INCIBE

VULNERABILIDADES. Códigos de operación inseguros en productos basados en Intel SPI

Intel ha publicado una vulnerabilidad de severidad alta que podría permitir que un atacante causara una denegación de servicio en los productos afectados, catalogado de Importancia: 4 - Alta
Recursos afectados:
  1. Generaciones 5ª, 6ª, 7ª y 8ª de procesadores Intel® Core™
  2. Procesadores Intel® Pentium® y Celeron® N3520, N2920 y N28XX
  3. Familia de procesadores Intel® Atom™ x7-Z8XXX, x5-8XXX
  4. Procesadores Intel® Pentium™ J3710, N37XX, J4205 y N4200
  5. Procesadore Intel® Celeron™ J3XXX
  6. Procesadores Intel® Atom™ x5-E8000 y x7-E39XX
  7. Procesadores Intel® Celeron® J3455, J3355, N3350, y N3450
  8. Procesadores Intel® Xeon® Scalable
  9. Familia de procesadores Intel® Xeon® E3 v6, E3 v5, E7 v4, E7 v3 y E7 v2
  10. Procesadores Intel® Xeon® Phi™ x200
  11. Familia de procesadores Intel® Xeon® D
  12. Serie de procesadores Intel® Atom™ C
Recomendación
Intel recomienda verificar los sitios de soporte de los fabricantes de los sistemas afectados para comprobar que se tienen instaladas las últimas actualizaciones de seguridad.
Para más información y descarga de actualizaciones y parches, visite http://www.intel.com/support/
Detalle de vulnerabilidades
La configuración del bus SPI Flash podría permitir a un atacante local modificar su comportamiento y causar una denegación de servicio. Se ha reservado el identificador CVE-2017-5703 para esta vulnerabilidad.
Más información
Unsafe Opcodes exposed in Intel SPI based products
Fuente: INCIBE

AUDITORIAS. Publicada en el BOE la instrucción técnica sobre auditorías de seguridad ENS

Nos hacemos eco, vía el CCN-CERT, de la publicación en el BOE de la tercera instrucción técnica acerca de las auditorías de seguridad obligatorias, la cual, establece las condiciones en las que deberán realizarse las auditorías de seguridad obligatorias para los sistemas clasificados con categoría MEDIA o ALTA, dentro del ámbito del Esquema Nacional de Seguridad (en adelante, ENS).
¿Qué es una instrucción técnica?
En las propias palabras del CCN-CERT:
Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.
¿Ha de auditarse un sistema de información de categoría BÁSICA?
No es obligatorio, pero de forma voluntaria es recomendable. Un sistema de información con dicha categoría sólo está obligado a una autoevaluación por los administradores o en quien estos deleguen. Básicamente, un documento donde se expone que las medidas de seguridad exigidas están implementadas y son revisadas con regularidad.
¿Cuándo debo auditar los sistemas de información con categoría MEDIA o ALTA?
Las auditorías son necesarias, al menos una cada dos años, para obtener la certificación de adecuación al ENS. Además, se deberán realizar auditorías extraordinarias cada vez que el sistema reciba modificaciones cuyo alcance modifique los requerimientos de seguridad. 
Independencia del auditor
Un punto interesante y a tener en cuenta es la circunscripción explícita de las tareas de auditorías al cometido o ámbito para la que están encomendadas. Esto, impide que dentro del proceso de auditoría entren funciones de consultoría, labores de implantación o la modificación lógica de las aplicaciones del propio sistema de información auditado. Incluso cierra la puerta a la realización de la documentación exigida por el ENS o los procedimientos de actuación.
Es decir, el auditor viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra (algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que implemente las modificaciones y medidas propuestas por él en su informe. Es más, se hace explícito algo que siempre hemos defendido desde HISPASEC: no recomendar ningún producto o servicio concreto. Independencia absoluta y sin intereses.
¿Cómo se clasifican los hallazgos?
En dos. "No conformidad menor" y "No conformidad mayor". Las primeras indican fallos o controles de seguridad ausentes en uno o más requisitos del ENS. Pero ojo, dan cabida a la "duda significativa". Es decir, cuando mediante una evidencia objetiva, el auditor plantee la posibilidad de existencia de una no conformidad en los requisitos, entonces pasa a considerarse una no conformidad de lleno.
Para que nos hagamos una idea, una no conformidad podría ser no usar criptografía en dispositivos removibles (un USB) si el sistema de información posee categoría MEDIA o ALTA; siendo necesario en ésta el uso de algoritmos aprobados por el Centro Criptológico Nacional (CCN).
Resultados de la auditoría
La auditoría posee tres finales posibles: "FAVORABLE", en el cual el sistema no poseerá ninguna "no conformidad". "FAVORABLE CON NO CONFORMIDADES", en la que existen deficiencias, tanto mayores como menores. En este caso, se deberá presentar en el plazo de un mes un Plan de Acciones Correctivas sobre dichos hallazgos a la entidad certificadora. Por último, tenemos el resultado "DESFAVORABLE". En este caso, se deberá realizar una nueva auditoría extraordinaria, en el plazo de seis meses, para comprobar que se han solucionado los hallazgos encontrados por el auditor.
La instrucción técnica se encuentra publicada aquí y entra en vigor hoy mismo, 4 de abril de 2018, http://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-4573
Más información:
Fuente: Hispasec

RAROG. El malware que realiza ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.
Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.
Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.
El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima... Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.
A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.
Como decíamos, el troyano se puede adquirir en foros 'underground' por unos 6000 rublos, que al cambio equivalen a unos 85€.
Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
  • /2.0/method/checkConnection - Comprueba el estado de la comunicación con el malware.
  • /2.0/method/config - Devuelve los parámetros de configuración del malware.
  • /2.0/method/delay - Devuelve el tiempo de espera después de ejecutar el software de minado.
  • /2.0/method/error - Devuelve información sobre los mensajes de error mostrados a la víctima.
  • /2.0/method/get - Devuelve información sobre la ruta del software de minado.
  • /2.0/method/info  - Devuelve el nombre del ejecutable.
  • /2.0/method/setOnline - Actualiza las estadísticas en el C&C.
  • /2.0/method/update - Actualiza el malware.
  • /4.0/method/blacklist - Procesos que pararían las operaciones de minado cuando están en ejecución.
  • /4.0/method/check - Query remote C2 server to determine if ID exists.
  • /4.0/method/cores - Devuelve el porcentaje de CPU usado.
  • /4.0/method/installSuccess - Pide instrucciones al C&C.
  • /4.0/method/modules - Para cargar módulos adicionales en la víctima.
  • /4.0/method/threads - Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.
Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.
Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad.
Más información:
Fuente: Hispasec

Importante vulnerabilidad en Microsoft Malware Protection Engine

Microsoft ha publicado un parche de seguridad fuera de ciclo para Microsoft Malware Protection Engine, catalogado de Importancia: 5 – Crítica
Detalle de vulnerabilidades
El motor antimalware de Microsoft sufre de una vulnerabilidad de corrupción de memoria, que permite la ejecución de código con privilegios SYSTEM cuando un archivo manipulado es escaneado en busca de malware. Este análisis es efectuado de forma automática cuando la Protección en tiempo real está activada. Se ha reservado el código CVE-2018-0986 para esta vulnerabilidad.
Recursos afectados:
1.    Microsoft Exchange Server 2013
2.    Microsoft Exchange Server 2016
3.    Microsoft Forefront Endpoint Protection 2010
4.    Microsoft Security Essentials
5.    Windows Defender
6.    Windows Intune Endpoint Protection
Recomendación
Actualizar el sistema afectado a través de los parches automáticos distribuidos por Microsoft.
Más información
·        CVE-2018-0986 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986
·        mpengine contains unrar code forked from unrar prior to 5.0, introduces new bug while fixing others https://bugs.chromium.org/p/project-zero/issues/detail?id=1543&desc=2
·        Critical flaw in MS Malware Protection Engine (CVE-2018-0986) https://borncity.com/win/2018/04/04/critical-flaw-in-ms-malware-protection-engine-cve-2018-0986/
Fuente: INCIBE

IBM. Múltiples vulnerabilidades en GSKit que afectan a SPSS Statistics

Se han detectado múltiples vulnerabilidades, una de ellas de criticidad alta, la cual podría permitir a un atacante remoto y sin autenticación obtener información importante en los productos afectados, catalogada de Importancia: 4 - Alta
Recursos afectados:
IBM SPSS Statistics versiones:
·        21.0.0.2
·        22.0.0.2
·        23.0.0.3
·        24.0.0.2
·        25.0.0.1
Recomendación
IBM ha publicado una serie de actualizaciones que solucionan las vulnerabilidades. Las actualizaciones dependen de la versión el producto afectado:
1.    SPSS Statistics versión 21.0.0.2: aplicar la actualización Statistics 21 FP002 IF016
2.    SPSS Statistics versión 22.0.0.2: aplicar la actualización Statistics 22 FP002 IF017
3.    SPSS Statistics versión 23.0.0.3: aplicar la actualización Statistics 23 FP003 IF013
4.    SPSS Statistics versión 24.0.0.2: aplicar la actualización Statistics 24 FP002 IF010
5.    SPSS Statistics versión 25.0.01: aplicar la actualización Statistics 25 FP001 IF006
Para poder acceder a estas actualizaciones es necesario tener cuenta de usuario en IBM.
Detalle de vulnerabilidades
La vulnerabilidad de criticidad alta podría permitir que un atacante comprometiera el GSKit de IBM, pudiéndose duplicar el estado PRNG a lo largo de sucesivas llamadas de sistema (fork) cuando se cargan múltiples instancias ICC. Esto podría resultar en IDs de sesión duplicados y en el riesgo de que se duplicara material clave. Se ha reservado el identificador CVE-2018-1426 para esta vulnerabilidad.
Más información
Fuente: INCIBE

CIBERSEGURIDAD. Las organizaciones globales no invierten lo necesario en seguridad antes llegada GDPR

Según un estudio de Trend Micro, más de un 20% de las empresas no cumple con la notificación de incumplimiento de los requisitos
Menos de dos tercios (63%) de las multinacionales tienen un proceso de notificación de brechas de seguridad para sus clientes, mientras que solo la mitad ha aumentado la inversión de seguridad en TI antes de la entrada en vigor del GDPR, a pesar de las quejas del personal técnico, según un informe de Trend Micro.
El líder mundial en ciberseguridad ha encuestado a más de 1.000 responsables de la toma de decisiones de empresas con más de 500 empleados en todo el mundo: en Reino Unido, EE.UU., Francia, Italia, España, Países Bajos, Alemania, Polonia, Suecia, Austria y Suiza.
La investigación de Trend Micro revela que solo el 51% de los encuestados ha aumentado las inversiones en seguridad para facilitar el cumplimiento de la normativa, a pesar de que una cuarta parte se queja de la “falta de suficiente protección en seguridad TI” (25%) y de una “falta de seguridad de datos eficiente” (24%), como los mayores desafíos para los esfuerzos de cumplimiento.
Menos de un tercio (31%) de los encuestados asegura haber invertido en cifrado, a pesar de ser una de las pocas tecnologías nombradas en el GDPR. Al mismo tiempo, algunas organizaciones han destinado partidas presupuestarias a la Prevención de Pérdida de Datos (33%) o a tecnologías avanzadas diseñadas para detectar intrusos en la red (34%).
Por otro lado, un 25% de las empresas afirma que los recursos limitados son el mayor desafío para el cumplimiento y explican las razones que hay detrás de esta falta de inversión.
“El GDPR es claro en cuanto a que las organizaciones deben encontrar tecnologías de última generación para ayudar a repeler las ciberamenazas y mantener seguros los datos y sistemas clave. Es preocupante que los responsables de IT no tengan los fondos o no puedan encontrar las herramientas adecuadas para abordar el cumplimiento”, explica José de la Cruz, director técnico de Trend Micro Iberia. “Las organizaciones necesitan una defensa en profundidad que combine la unión intergeneracional de herramientas y técnicas, desde el endpoint a la red y el entorno de cloud híbrida”.
Además de la falta de inversión en seguridad, el informe también revela que solo el 37% de las organizaciones mundiales han invertido en programas de concienciación y educación del personal.
La ventana de 72 horas
El informe también revela que muchas empresas no están preparadas para manejar los nuevos requisitos a la hora de notificar una infracción dentro del plazo de 72 horas establecido por la ley.
El 21% de los encuestados asegura tener un proceso formal para notificar solo a la autoridad de protección de datos. Sin embargo, el artículo 34 del GDPR establece que las personas también deben ser notificadas si una infracción supone un alto riesgo para sus derechos y libertades
Alrededor del 6% asegura no tener ningún proceso implementado, mientras que un 11% no sabe si lo tiene o no.
Otra de las preocupaciones de los encuestados se centra en los preparativos para apoyar el llamado “derecho al olvido”, una parte clave del GDPR.
Aunque el 77% de los participantes en el estudio a nivel mundial asegura tener los procesos adecuados para atender las solicitudes de los clientes sobre los datos personales gestionados por la organización, el tratamiento de los datos manejados por terceros es otra cosa diferente.
Alrededor de un tercio (36%) de las organizaciones asegura no conocer o no tener procesos/tecnologías implementados para manejar solicitudes olvidadas de datos recogidos por agencias de terceros, proveedores cloud (32%) y partners (32%).
Fuente: diarioti.com