Boletín de noticias sobre medios de pago - junio 2023

 Novedades

 Destacamos

El Consejo de Estándares de Seguridad PCI anuncia la Junta Asesora 2023-2025

El PCI Security Standards Council (PCI SSC) anunció la recién elegida Junta de Asesores 2023-2025. La Junta de Asesores representa a las Organizaciones Participantes (OP) del Consejo en todo el mundo para garantizar la participación global de la industria en el desarrollo de estándares y programas PCI. Como socios estratégicos, son representativos del mercado y aportan conocimientos geográficos y técnicos al Consejo.     

El PCI SSC trabaja con organizaciones de todo el mundo para ayudar a proteger los datos de pago, y esta última Junta de Asesores reúne a algunas de las compañías líderes mundiales de todos los sectores en el espacio de pagos. Como novedad en este período, en reconocimiento de las necesidades siempre cambiantes de la industria de pagos, la Junta de Asesores se ha expandido de 31 a 52 partes interesadas para proporcionar una mayor gama de aportes para el Consejo. La Junta de Asesores, que comenzará su mandato el 1 de junio, también tendrá la oportunidad de votar sobre nuevas normas y revisiones importantes de las normas antes de su publicación.      

En el siguiente enlace puede encontrarse más información:      

https://www.pcisecuritystandards.org/about_us/press_releases/pci-security-standards-council-announces-2023-2025-advisory-board/

Bienvenido a las organizaciones participantes asociadas más recientes

Nos complace dar la bienvenida a las organizaciones más recientes que se han unido como Organizaciones Participantes Asociadas del PCI Security Standards Council (PCI SSC). Estas organizaciones desempeñan un papel crucial en el apoyo a la evolución de los estándares y programas de seguridad PCI y en la promoción de la implementación de estándares de seguridad PCI en todo el mundo para proteger los datos de pago. Esperamos con interés su participación en el Consejo mientras ayudamos a asegurar el futuro de los pagos.     

Esperamos que todas las Organizaciones Participantes Asociadas recién incorporadas marquen sus calendarios para las Reuniones de la Comunidad PCI SSC de este año. Como parte de su membresía, cada APO recibe dos pases gratuitos para cada una de las próximas reuniones comunitarias. Las reuniones comunitarias de PCI SSC son eventos anuales en persona que reúnen a las mentes más brillantes en seguridad de pagos.

Más información en el siguiente enlace:      
https://blog.pcisecuritystandards.org/welcome-to-the-newest-associate-participating-organizations

Importante logro histórico para la seguridad del software de pago

El PCI Security Standards Council alcanzó recientemente un hito significativo de 100 productos validados según el Estándar de Software Seguro. Nos sentamos con Jake Marcinko, Gerente Senior de Estándares de Soluciones y Matt O'Connor, Director de Productos y Soluciones para discutir lo que significa este punto de referencia para la seguridad de los pagos.     

En esta ocasión, Jake y Matt nos darán respuesta a las siguientes preguntas:

  • El PCI Security Standards Council alcanzó recientemente un hito significativo de 100 productos validados según el Estándar de Software Seguro. ¿Por qué es este un hito importante para la seguridad de los pagos globales?

  • ¿Cuál es el valor de convertirse en un producto de Software Seguro Validado?

  • ¿Por qué los comerciantes y proveedores de servicios deben utilizar software de pago de validación en sus entornos?

  • ¿Cuál es el proceso para entrar en la lista?

  • El software de pago validado se ha evaluado de acuerdo con el estándar de software seguro PCI. El PCI Secure Software Standard es uno de los dos estándares incluidos en el Secure Software Framework del Consejo. ¿Puede proporcionar algunos antecedentes sobre Secure Software Framework?

  • • Una vez que una organización tiene un producto listado como Software de pago validado, ¿cuál debería ser su próximo paso?

Más información en el siguiente enlace:      
https://blog.pcisecuritystandards.org/significant-milestone-hit-for-payment-software-security

Actualice su SGSI ISO 27001 a la nueva versión 2022

La última versión de la ISO/IEC 27001, publicada el 25 de octubre de 2022, ofrece a las organizaciones un plazo de transición de 3 años para adaptar y certificar sus sistemas al nuevo estándar.     

Esta nueva actualización es fruto de la creciente digitalización de las empresas de diferentes sectores, en las que se ha tomado esta norma como base principal para la seguridad TI, sumado a:

  • Los nuevos riesgos de seguridad.

  • Los cambios en cuanto a la documentación para la protección de datos personales desde el 2013.

  • La actualización del estándar ISO/IEC 27002 a su versión 2022, de la cual ISO 27001 utiliza controles para su Anexo A.

Tips: cómo empezar en el Hacking

En esta ocasión, Héctor Berrocal, del departamento de auditoría de ISECAuditors, nos muestra unos tips para empezar en el mundo del Hacking Ético y una breve descripción del hacking.     

Los hackers éticos suelen trabajar en empresas especializadas en seguridad informática, consultoras, o bien de manera independiente.     

Entre las técnicas que se utilizan, podemos encontrar el escaneo de puertos y servicios, la explotación de vulnerabilidades, el análisis de código fuente, la escalada de privilegios, movimientos laterales, ingeniería inversa, etc. Estas técnicas pueden llevarse a cabo de manera manual o mediante el uso de herramientas automatizadas.

Cambios regulatorios y su impacto en las estructuras de decisión de las empresas

En mayo de 2017, las autoridades que conforman el Sistema Europeo de Supervisores Financieros, Autoridad Bancaria Europea (EBA), Autoridad Europea de Mercados y Valores (ESMA) y Autoridad de Seguros y Pensiones (EIOPA) publicaron una serie de propuestas que refrendaban la necesidad de crear un marco común de cooperación que permitiera un equilibrio entre innovación y garantías para el consumidor, desde el punto de vista de la prestación de servicios digitales.

Escaneos ASV, no son sólo una tarea de cumplimiento

En el año 2006 un grupo de entidades financieras preocupados por el alto índice de fraudes con tarjetas, fundaron un consejo denominado PCI Security Standarsd Council. Este grupo está formado por American Express, Discover Financial Services, JCB International, MasterCard, VISA y otras organizaciones que se han sumado a estos esfuerzos, así nació PCI DSS.     

PCI DSS consiste en 12 requisitos de seguridad agrupados en 6 categorías:

  • Construir y mantener redes seguras.

  • Proteger la información de la tarjeta habiente.

  • Contar con herramientas de vulnerabilidades.

  • Implementar controles de acceso robustos.

  • Monitorear y probar acceso a la red regularmente.

  • Mantener políticas de seguridad de la información.

Para facilitar la vigilancia y apoyo en este cumplimiento del estándar PCI Council se crearon diferentes figuras, de manera que las organizaciones obtengan la ayuda adecuada de expertos en seguridad que les orienten y evalúen el cumplimiento, uno de ellos es ASV (Approved Scanning Vendor).

Vicente Aguilera nuevamente jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

La revista Red Seguridad celebra este año su edición 16 de sus prestigiosos Trofeos de la Seguridad TIC, que además coinciden con su 20 aniversario, lo que promete una convocatoria de especial calado. Estos prestigiosos galardones se entregarán en el marco del 15º Encuentro de la Seguridad Integral (Seg2), que tendrá lugar en junio. La finalidad de estos premios es reconocer públicamente a profesionales, proyectos, programas, operaciones y soluciones más destacados de del año pasado. Un año más, desde Internet Security Auditors, estaremos allí con Vicente Aguilera como miembro del jurado representando a OWASP, papel que desempeña desde la segunda edición de estos trofeos hace 16 años.

Crónica del evento: OSINTomático Conference 2023

Los pasados 12 y 13 de mayo se celebró en el Centro de Convenciones “La Nave”, en la ciudad de Madrid una nueva edición de OSINTomático, unas conferencias que nacieron con el objetivo de formar y concienciar a estudiantes, profesionales, empresas y público en general sobre técnicas de Inteligencia de Fuentes Abiertas e Ingeniería Social por medio de ponencias y talleres brindados por speakers de renombre internacional.

   Análisis de Incidentes

SEGA Europa sufre una filtración de su Base de Datos por una negligencia interna que dejó a la vista información sensible

La empresa de seguridad VPN Overview, tras una exhaustiva investigación, han descubierto que SEGA Europa podría haber sido una víctima de violación de datos. Lo grave de la situación es que este problema se podría haber evitado ya que todo nace de una negligencia interna de la propia empresa nipona. Al parecer, según la investigación de la empresa de seguridad, SEGA habría dejado información sensible almacenada en una Base de Datos de carácter público.     

Más información en el siguiente enlace:      
https://cybersecuritynews.es/sega-europa-sufre-una-filtracion-de-su-base-de-datos/      
 

Ciberdelincuentes rusos aprovechan una vulnerabilidad en «MOVEit» para atacar agencias gubernamentales de EE. UU

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha informado que un grupo de ciberdelincuentes rusos ha logrado infiltrarse en varias agencias del Gobierno estadounidense. El grupo, conocido como ‘CL0P’ o ‘TA505’, ha sido identificado como el responsable de este ciberataque. Aunque hasta ahora no hay pruebas de una coordinación con el Gobierno ruso.     

Los atacantes aprovecharon una vulnerabilidad en un software llamado «MOVEit», ampliamente utilizado por el Gobierno federal para encriptar archivos y transferir datos. Los ‘hackers’ infectaron los ordenadores mediante programas maliciosos, robaron datos y exigieron recompensas a las víctimas.     

Más información en el siguiente enlace:      
https://cybersecuritynews.es/ciberdelincuentes-rusos-aprovechan-una-vulnerabilidad-en-moveit-para-atacar-agencias-gubernamentales-de-ee-uu/     
 

Así fue, paso a paso, el ciberataque a Uber

Después de conocerse el ciberataque a Uber y a su infraestructura de TI y el acceso a datos confidenciales de sus clientes, el elemento humano de esta historia está cobrando fuerza, por lo que las miradas se centran en la autenticación multifactor (MFA) y otros problemas de mejores prácticas de la Seguridad de las Identidades.     

En base al análisis y los informes disponibles, CyberArk Red Team ha deconstruido el ciberataque a Uber con un enfoque en las credenciales “hardcodeadas”, el verdadero punto crítico del ataque, ya que supuestamente se usaron para obtener acceso administrativo a la gestión de acceso privilegiado de la organización (PAM), proporcionada por otro proveedor, lo que desbloqueó otros accesos de alto riesgo.      

Más información en el siguiente enlace:      
https://revistabyte.es/ciberseguridad/paso-a-paso-el-ciberataque-a-uber/     
 

La CAV registra 6086 delitos informáticos en el primer trimestre de 2023, un 22 % que el año anterior

De esos delitos, 5364 (un 19 % más) fueron ciberestafas, 279 falsificaciones de identidad (un 37 % más), 204 de revelación de secretos (un 15 % más), 44 amenazas o coacciones (un 4 % menos), 25 delitos sexuales (un 108 % más) y los otros 11 fueron ciberataques (un 83 % más).     

Más información en el siguiente enlace:      
https://www.eitb.eus/es/noticias/sociedad/detalle/9225476/la-cav-registra-6086-delitos-informaticos-en-primer-trimestre-de-2023-22-que-ano-anterior/     
 

   Tendencias

LockBit: El ransomware destructivo que amenaza la seguridad cibernética

El LockBit es un tipo de ransomware el qual se está ganado notoriedad en el mundo de la ciberseguridad debido a su capacidad destructiva y su enfoque altamente lucrativo para los ciberdelincuentes. Hoy nos adentramos en su funcionamiento y las formas de minimizar su impacto.     

Su funcionamiento es igual a muchos ransomwares actuales, basándose en:

  • Infiltración

  • Encriptación

  • Demanda de rescate

  • Amenaza de filtración de datos

España avanza en la construcción de una red de ciberseguridad para proteger los sistemas informáticos

Las autoridades locales y estatales de España, en colaboración con empresas del sector privado, intensifican sus esfuerzos para fortalecer la ciberseguridad y garantizar la protección de los sistemas informáticos en todo el país.     

Y es que, nunca empresas ni ciudadanos han estado tan expuestos. Tanto es así que, según datos registrados a nivel mundial del Informe de Ciberamenazas 2023 de SonicWall, indican que una empresa de promedio recibió 1.014 ataques de ransomware durante los tres primeros trimestres de 2022, y el 91% de los CIO e IT Managers de todo el mundo aseguran que su mayor preocupación actual son los ataques de motivación económica (ransomware en su mayoría).

Apps de VPN, juegos o 'falsas Netflix': el nido perfecto desde el que han infectado miles de dispositivos

Un grupo de expertos en seguridad informática ha descubierto una campaña de software malicioso que está generando anuncios engañosos en dispositivos Android con el fin de obtener beneficios, se estima que esta campaña afecta a más de 60.000 aplicaciones.     

Mayoritariamente, el software malicioso detectado ha sido un adware (malware basado en publicidad y ventanas emergentes) que incluye un malware oculto de control y recolección de datos.

Cualquier servidor está expuesto a ataques de fuerza bruta. Brute Fail lo está demostrando en tiempo real

Este hacker, harto de que le ataquen, ha querido mostrar al mundo cómo está el panorama. Sus servidores no paraban de recibir ciberataques de fuerza bruta, así que montó una web llamada Brute.Fail en la que se puede ver en tiempo real todos los intentos de entrar en sus servidores con usuarios y contraseñas diversas.     

En esa web se puede ver cómo los ciberataques tienen orígenes diversos: las IPs no paran de cambiar, algo habitual que los ciberatacantes hacen para esconder las pistas.

¿Es real el poder de ChatGPT en la creación de ciberataques?

Todo y que ChatGPT no está orientado a fines delictivos, los ciberdelincuentes han descubierto en él otra puerta abierta para la creación de correos electrónicos o mensajes de texto fraudulentos para engañar personas desprevenidas.     

Es importante tener en cuenta que cualquier herramienta, incluyendo ChatGPT, puede ser utilizada tanto para fines legítimos como ilegítimos. La responsabilidad recae en los usuarios de la herramienta para utilizarla de manera ética y legal” comenta Marcelo Palazzo, Director Comercial para la región de Europa de Hillstone Networks.

Cómo convertir la IA de ChatGPT en una aliada contra el cibercrimen

La compañía de redes y ciberseguridad Sophos, ha publicado el informe “La aplicación del procesamiento lingüístico a las ciberdefensas”, sobre cómo el sector de la ciberseguridad puede aprovechar GPT-3, el modelo de lenguaje que utiliza ChatGPT, como copiloto para ayudar a derrotar a los ciberatacantes.     

Los investigadores de Sophos X-Ops han estado trabajando en tres proyectos experimentales:

  • Proyecto 1: Interfaz de consulta en lenguaje natural para buscar actividad maliciosa.

  • Proyecto 2: Detector de spam basado en GPT.

  • Proyecto 3: Herramienta para analizar líneas de comandos ejecutados en archivos binarios “living of the land” (LOLBin).

   Webinars

ISecWebinar: API Security Testing ya! antes de que sea muy tarde

A través de este webinar, un equipo de analistas de Internet Security Auditors explicará de forma sencilla y práctica cómo ejecutar una completa auditoría de seguridad a una plataforma API, y es que, para auditar un entorno API (Interfaz de Programación de Aplicaciones), debemos aplicar una adecuada metodología para conseguir los resultados deseados.

  • Introducción

  • Qué es una API

  • Tipos de API

  • OWASP Top 10 API

  • Metodología de trabajo

  • Laboratorio Práctico

  • Recomendaciones finales

Enlace para acceder al video:     
https://youtu.be/kUpDRBQb_BU

ISecWebinar: Viaje a las nuevas versiones para conocer presente y futuro del estándar ISO 27001 

El pasado año 2022 se publicaron las nuevas versiones de los estándares ISO/IEC 27001 e ISO/IEC 27002 pero ¿Qué novedades añaden? ¿Qué implica para las empresas estos cambios? ¿A partir de cuándo se debe cumplir con los nuevos requisitos? Estas y más cuestiones sson las que abordamos en este webinar.         

Durante el webinar se han tratado los siguientes aspectos:

  • Introducción: Cronología de los estándares ISO 27001 e ISO 27002

  • Octubre 2022: La nueva versión ISO 27001 – Cambios

  • Febrero 2022: La nueva versión ISO 27002 – Cambios

  • Nuevos controles

  • Próximos pasos

Enlace para acceder al video:         
https://www.youtube.com/watch?v=HM3WgOrLcYQ

Internet Security Auditors         
C. Santander, 101. Edificio A-2. E-08030 Barcelona (España) | Telf.: +34 93 305 13 18          
C. Arequipa, 1. E-28043 Madrid (España) | Telf.: +34 91 763 40 47         
Transversal 22 # 98-82 Ed. Porta 100 Of. 1003. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88          
 
síguenos en FBsíguenos en LinkedInsíguenos en Instagramsíguenos en YoutubeRSS Blog

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com         

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com