Novedades | Destacamos | |||
El estándar de software seguro de PCI recibe un nuevo módulo sobre software web en su versión 1.2 El pasado mes de diciembre el Consejo de PCI (PCI Security Standards Council, PCI SSC) publicó la versión 1.2 del PCI Secure Software Standard. El estándar de software seguro de PCI es uno de los dos estándares que forman parte del marco de seguridad de software (SSF) de PCI. Dicho estándar y sus requisitos de seguridad ayudan a garantizar que el software de pago esté diseñado, desarrollado y mantenido de manera que proteja las transacciones y los datos de pago, minimice las vulnerabilidades y defienda contra los potenciales ataques. El Consejo de PCI (PCI SSC) presenta su Centro de Conocimiento Online Apodado como “Biblioteca de contenido global”, a partir del pasado mes de enero está disponible un Centro de Conocimiento Online de PCI SSC que alberga horas de contenido en vídeo de sus eventos, cubriendo temas sobre tendencias en la industria, estrategias sobre mejores prácticas y soluciones para cualquier persona dentro del ecosistema de pagos. Con el objetivo de aprender directamente de los ejecutivos del Consejo y los expertos de la industria.
Más información en el siguiente enlace: Ya tenemos los resultados de las elecciones del Grupo de Interés Especial de 2023 Una vez realizado el proceso de elección anual del Grupo de Interés Especial (GIE), el Consejo de PCI (PCI SSC) ha confirmado el tema GIE ganador para este año 2023. Las organizaciones participantes del Consejo votaron para finalmente seleccionar “Alcance y Segmentación para Arquitecturas de Redes Modernas”.
Más información en el siguiente enlace: | Fuzzing: No todo lo que brilla es oro En este artículo hablaremos sobre el fuzzing, primero con una breve explicación de qué es, sus principales usos y, finalmente, de una serie de problemas que pueden acarrear su uso ya que, como todo, pese a ser una herramienta muy útil y adaptable, no es perfecta y tiene una serie de riesgos y problemas. Regulaciones de ciberseguridad del sector asegurador Una de las prioridades de la Comisión Europea en un mundo cada vez más interconectado digitalmente es garantizar la ciberseguridad. Si bien los ataques en el ciberespacio ya estaban sucediendo con anterioridad, debido a la situación de pandemia global que se ha vivido en los últimos años, no han dejado de aumentar y han llegado a afectar gravemente a instituciones gubernamentales, centros hospitalarios, empresas privadas y por supuesto a usuarios finales de los sistemas de información y comunicación. Diario de una Intrusión con Ransomware. ¿Cómo pudo haberse evitado? Durante los últimos años hemos visto como los incidentes relacionados con intrusiones han ido en aumento, principalmente debido a delincuentes relacionados con el Ransomware. Desentrañando las principales novedades de la Directiva NIS2 Desde el año 2013, la Unión Europea está construyendo y fortificando su estrategia de ciberseguridad a fin de asegurar que redes y sistemas de información, ubicados en los Estados miembros, estén protegidos ante potenciales ciberataques. La Seguridad de la Información en la era de la Computación Cuántica Desde el punto de vista de la seguridad de la información, las capacidades exponenciales que se han explicado frente a la computación tradicional pueden generar que los mecanismos de seguridad que se usan en la actualidad dejen de ser efectivos. Esto alza riesgos potenciales muy elevados en sistemas de información de todo tipo, por ejemplo: sistemas bancarios, sistemas financieros, codificación de misiles balísticos, cifrado de almacenamiento de datos y certificados digitales. PCI DSS v4.0 – Actualización SAQs El estándar PCI DSS v3.2.1 ha sido actualizado a la v4.0 el pasado marzo de 2022 por lo que, actualmente, nos encontramos en un periodo de transición entre ambas versiones. Dicho periodo finalizará el 31 de marzo de 2024, momento en el cual la v3.2.1 será retirada y la v4.0 será la única activa. Dentro de este período de transición, estaba previsto que en el Q1 de 2022 se lanzara oficialmente la v4.0, incluidos sus documentos de validación y, finalmente, en abril 2022 se publicaron dichos documentos. Entre los documentos disponibles en la biblioteca pública del PCI SSC para ser usados tanto por comercios, proveedores y empresas QSAC, es posible filtrar por aquellos relativos a los cuestionarios de autoevaluación o SAQs. Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude. | |||
Análisis de Incidentes | ||||
Hackean datos de 9 millones de clientes de AT&T En el presente mes de marzo se ha producido una brecha de seguridad en uno de los proveedores que la compañía AT&T utiliza para su marketing. Se detectó un acceso no autorizado a información de ciertas cuentas, incluyendo información como cantidades de pagos mensuales, pagos vencidos, nombres planes y tarifas, cargos mensuales y/o la cantidad de minutos utilizados. El material no incluía ninguna información personal confidencial, como detalles de tarjetas de crédito, números de Seguro Social, contraseñas de cuentas o cualquier otra información de ese tipo. Los clientes que se han visto afectados han sido notificados. Según el comunicado de la firma, ninguno de los sistemas directos de AT&T se vio afectado por el evento.. | ||||
El ciberataque al Clínic una semana después: un grupo internacional acusado, 4 terabytes de datos robados y un hospital paralizado El pasado domingo día 5 de marzo, a las 11:17 horas de la mañana saltaban las alarmas en el Hospital Clínic de Barcelona. A las 11:30 horas aproximadamente, los cuerpos de seguridad ya tenían constancia y tarea para trabajar en el asunto, que no era ni más ni menos que un ciberataque mediante ransomware a dicho establecimiento público. | ||||
Meta recibe una multa de 413 millones de dólares en la UE por incumplir las normas del RGPD La Comisión de Protección de Datos de Irlanda (DPC) ha anunciado que multará a Meta con un total de 413 millones de dólares por incumplimiento del RGPD (Reglamento General de Protección de Datos) europeo relacionado con el manejo de información personal por parte de la empresa en Facebook e Instagram. | ||||
Tendencias | ||||
Prevención y capacidad de reacción ante los ciberataques son las herramientas con las que cuentan tanto los Gobiernos Locales como el resto de las Administraciones a la hora de garantizar la prestación de servicios públicos y confiables para la ciudadanía. Así lo han asegurado el Secretario General de la FEMP, Carlos Daniel Casares, y la Secretaria de Estado Directora del Centro Nacional de Inteligencia, CNI, Esperanza Casteleiro, en sus intervenciones de apertura de la Jornada sobre Ciberseguridad en Entidades Locales, organizada por ambas organizaciones. En el marco de este encuentro se ha presentado la “Guía para para la Gestión de Crisis para Ciberincidentes en las Entidades Locales”. El Centro Criptológico Nacional ha puesto en marcha una iniciativa para consolidar el despliegue de la Red Nacional de Centros de Operaciones de Ciberseguridad. En este nuevo proyecto piloto participan once organismos públicos para impulsar el intercambio de información relativa a incidentes. Esta iniciativa tendrá como objetivo mejorar las capacidades de detección y respuesta dentro de la Red Nacional de SOC, integrando nuevas herramientas a la plataforma para la incorporación de información de eventos e incidentes de seguridad, así como de vulnerabilidades obtenidas de las herramientas SIEM y de gestión de vulnerabilidades. ChatGPT: los ciberdelincuentes pueden usarlo como parte de sus estafas ChatGPT es un sistema de Inteligencia Artificial capaz de generar escritos que apenas se diferencian de los elaborados por una persona. Por ello, los ciberdelincuentes aplican esta tecnología a los ataques de spear-phishing, estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Escribir mensajes personalizados suponía hasta ahora un gran esfuerzo para los ciberdelincuentes, pero con ChatGPT ya no será así: permite crear correos de phishing persuasivos, personalizados y masivos. De este modo, se prevé que los ataques de éxito basados en este modelo de Inteligencia Artificial crecerán. El Centro de Ciberseguridad de Google en Málaga abrirá en 2023 Google anunciaba en 2021 la instalación de un centro de excelencia de ciberseguridad en el edificio del Gobierno Militar de Málaga. A día de hoy, la multinacional sigue avanzando en los trabajos de adecuación del edificio situado en el Paseo de la Farola, con previsión de su abertura en los primeros meses de 2023. El Parlamento Europeo prohíbe el uso de TikTok en los móviles oficiales para evitar ciberataques Otras instituciones, como la Comisión Europea y el Consejo de la UE, ya recurrieron a esta medida de prevención a finales de febrero. El motivo que ha empujado Bruselas a tomar una iniciativa tan radical es la necesidad de reforzar la ciberseguridad, según ha explicado la portavoz Sonya Gospodinova. «La medida está en línea con nuestras estrictas políticas internas de ciberseguridad para el uso de dispositivos móviles en comunicaciones relacionadas con el trabajo», ha destacado la portavoz de la Comisión Europea. Empieza a ser un tema recurrente el hablar de los peligros que se esconden tras los deepfakes de audio generados por IA que son capaces de imitar voces de seres queridos para cometer ciberdelitos. Un ejemplo es el de de Ruth Card (73 años) que recibió una llamada supuestamente de su nieto Brandon que le comentaba que estaba en la cárcel sin teléfono ni tarjeta. "Necesito dinero para la fianza", decía una voz que sonaba exactamente igual que la del familiar. | ||||
Webinars | ||||
ISecWebinar: Proactividad anticipada en el entorno empresarial mediante un SOC de Ciberinteligencia Durante el webinar se abordamos cómo utilizar las herramientas y técnicas de Seguridad de Operaciones de Seguridad (SOC, por sus siglas en inglés) para anticipar y prevenir problemas de seguridad en un entorno empresarial. También mostramos cómo identificar diferentes puntos sobre los que un SOC de Ciberinteligencia puede ayudar a contrarrestar las técnicas utilizadas por los cibercriminales sobre nuestras organizaciones, monitorizando y analizando la actividad en una red empresarial, detectando patrones y tendencias que indiquen posibles amenazas, y así poder tomar medidas proactivas para mitigar esos riesgos antes de que causen daño.
Enlace para acceder al video: | ISecWebinar: Viaje a las nuevas versiones para conocer presente y futuro del estándar ISO 27001 El pasado año 2022 se publicaron las nuevas versiones de los estándares ISO/IEC 27001 e ISO/IEC 27002 pero ¿Qué novedades añaden? ¿Qué implica para las empresas estos cambios? ¿A partir de cuándo se debe cumplir con los nuevos requisitos? Estas y más cuestiones sson las que abordamos en este webinar.
Enlace para acceder al video: | |||
Internet Security Auditors C. Santander, 101. Edificio A-2. E-08030 Barcelona (España) | Telf.: +34 93 305 13 18 C. Arequipa, 1. E-28043 Madrid (España) | Telf.: +34 91 763 40 47 Transversal 22 # 98-82 Ed. Porta 100 Of. 1003. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88 | ||||
Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com |