Importancia

La entrada Actualiza o aísla estos productos de Synology para evitar riesgos se publicó primero en LISOT.

1. Sofisticación de las Amenazas: La creciente complejidad y sofisticación de los ciberataques, como el ransomware. Los atacantes están utilizando técnicas más avanzadas y recursos significativos, lo que dificulta la defensa efectiva.
2. Seguridad en la Cadena de Suministro: La ciberseguridad de terceros y proveedores es un área crítica. Las empresas deben garantizar que sus socios comerciales también mantengan altos estándares de seguridad para evitar brechas que puedan afectar a toda la cadena de suministro.
3. Integración de la IA en la Ciberseguridad: Aunque la inteligencia artificial ofrece herramientas poderosas para la defensa cibernética, también presenta nuevos riesgos. Muchas empresas aún no tienen estrategias claras para proteger sus sistemas de IA.
4. Seguridad en la Nube: Con la adopción masiva de soluciones en la nube, asegurar estos entornos se ha vuelto esencial. Las empresas están enfocándose en implementar estrategias de seguridad específicas para la nube, como el modelo Zero Trust.
5. Falta de Talento en Ciberseguridad: La escasez de profesionales cualificados en ciberseguridad es un desafío continuo. Las empresas están luchando por atraer y retener talento especializado para gestionar y mitigar riesgos de manera efectiva.
6. Cumplimiento Normativo: Las regulaciones emergentes, como la Directiva NIS2 y el Reglamento DORA, están imponiendo nuevas obligaciones a las empresas. Adaptarse a estos cambios normativos es crucial para evitar sanciones y mejorar la postura de seguridad.

Estos aspectos no solo representan desafíos técnicos, sino también estratégicos, ya que requieren una alineación estrecha entre la ciberseguridad y los objetivos de negocio.

Desde LISOT, como empresa especializada en ciberseguridad, podemos ayudarles a afrontar estos nuevos retos.

La entrada Principales desafíos en el ámbito de la ciberseguridad se publicó primero en LISOT.

Este verano se ha detectado el incremento de estos envíos fraudulentos que suplantan a la DGT, una campaña que no cesa y sobre la que el organismo de Tráfico sigue recordando que «nunca» envía notificaciones de sanciones por SMS o correo electrónico y que solo lo hace «vía correo postal (con un posterior envío al tablón edictal, en caso de que no hayan logrado localizar al conductor en su domicilio) o a través de la Dirección Electrónica Vial», si el usuario está dado de alta.

La Dirección Electrónica Vial es un buzón electrónico en el que los conductores pueden darse de alta para recibir las comunicaciones y notificaciones de la DGT de manera telemática con los mismos efectos jurídicos que la notificación en papel. Al darse de alta, cuando la DGT tenga que enviar alguna notificación de una multa o sanción, se hará únicamente a través de este canal, no a través de correo ordinario.

Los mensajes que suplantan a la DGT piden el pago con «urgencia»

Desde el INCIBE, el Instituto Nacional de Ciberseguridad, también siguen alertado de lo que llaman «varias oleadas de SMS y correos fraudulentos suplantando a la DGT».

Desde este organismo explican que los ladrones tratan de estafar a los conductores utilizando la urgencia para realizar el pago («a la mayor brevedad posible, en 24 horas»), los posibles aumentos en la cuantía de la sanción de tráfico («tenga en cuenta que de no pagar esta multa resultará un incremento de 55 euros…»), o el recordatorio de que se les agota el plazo para pagar… Son algunos de los argumentos usados para que los usuarios accedan a un enlace proporcionado en el SMS o el texto del mail.

Al pulsar sobre ese enlace, la víctima es redireccionada a un sitio web que suplanta la página real de la DGT, donde «se pide al usuario que complete varios formularios y gradualmente se le van solicitando diferentes tipos de datos personales y, finalmente, datos de la tarjeta bancaria», explican.

¿Qué hacer si recibimos un mensaje similar de la DGT?

Si has recibido un SMS en tu móvil o un mensaje de correo electrónico con las características mencionadas anteriormente, nunca debes pulsar en el enlace. Desde el INCIBE aconsejan «bloquear al remitente y eliminar el mensaje de la bandeja de entrada».

En el caso de haber accedido al enlace y facilitado datos personales o bancarios, desde el INCIBE recomiendan seguir los pasos siguientes:

• Realizar capturas de pantalla y guardar todas las pruebas posibles del mensaje y de los enlaces adjuntos. Para validar dichas evidencias, se pueden utilizar testigos online.
• Ponerse en contacto con la entidad bancaria, donde le indicarán de las medidas necesarias para proteger su cuenta.
• En los próximos meses, recomiendan practicar egosurfing (consiste en navegar por Internet buscando información sobre uno mismo) para verificar que la información personal no se haya visto filtrada en la red.
• Para reportar el fraude, aconsejan hablar con la Línea de Ayuda en Ciberseguridad de INCIBE. De esta manera, se podrá prevenir que otras personas sean víctimas. Por otro lado, también se pueden enviar las pruebas que se hayan recolectado al buzón de reporte de fraude del INCIBE.
• Interponer una denuncia ante las autoridades de las Fuerzas y Cuerpos de Seguridad del Estado, asegurándose de proporcionar todas las evidencias que se hayan logrado recopilar del fraude.

La entrada La estafa que suplanta a la DGT sigue: así debes actuar si te ha llegado el SMS se publicó primero en LISOT.

Importancia

La entrada Actualiza Autodesk Revit y AutoCAD para corregir estas vulnerabilidades se publicó primero en LISOT.

Importancia

La entrada Vulnerabilidades críticas 0day en teléfonos IP Cisco SPA300 y SPA500 se publicó primero en LISOT.

Recursos Afectados

• Azure Data Science Virtual Machines,
• Azure File Sync,
• Azure Monitor,
• Azure SDK,
• Azure Storage Library,
• Dynamics Business Central,
• Microsoft Dynamics,
• Microsoft Office,
• Microsoft Office Outlook,
• Microsoft Office SharePoint,
• Microsoft Office Word,
• Microsoft Streaming Service,
• Microsoft WDAC OLE DB provider for SQL,
• Microsoft Windows Speech,
• Visual Studio,
• Windows Cloud Files Mini Filter Driver,
• Windows Container Manager Service,
• Windows Cryptographic Services,
• Windows DHCP Server,
• Windows Distributed File System (DFS),
• Windows Event Logging Service,
• Windows Kernel,
• Windows Kernel-Mode Drivers,
• Windows Link Layer Topology Discovery Protocol,
• Windows NT OS Kernel,
• Windows Perception Service,
• Windows Remote Access Connection Manager,
• Windows Routing and Remote Access Service (RRAS),
• Windows Server Service,
• Windows Standards-Based Storage Management Service,
• Windows Storage,
• Windows Themes,
• Windows Wi-Fi Driver,
• Windows Win32 Kernel Subsystem,
• Windows Win32K – GRFX,
• Winlogon.

Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de junio, consta de 49 vulnerabilidades (con CVE asignado), calificada 1 como crítica, que afecta a Windows Server Service, y el resto divididas entre severidades importantes, moderadas y bajas.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad crítica publicada se corresponde con el siguiente tipo:

• Ejecución remota de código.

La vulnerabilidad crítica afecta a Windows Server Service y consiste en una ejecución remota de código (CVE-2024-30080).

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Además, ZDI ha publicado un aviso en su web notificando una vulnerabilidad 0day de divulgación de información en la asignación de permisos de Microsoft Windows. Esta vulnerabilidad permite a atacantes locales revelar información confidencial o crear una condición de denegación de servicio en las instalaciones afectadas de Microsoft Windows. El comportamiento vulnerable se produce solo en determinadas configuraciones de hardware.

La entrada Actualizaciones de seguridad de Microsoft de junio de 2024 se publicó primero en LISOT.

Los ciberengaños son cada vez más sofisticados: por ejemplo, ahora están circulando masivamente mensajes SMS de distintas entidades alertando de movimientos en cuentas, intentos de acceso, brechas de seguridad… parecen reales, pero no lo son: es una campaña de smishing, una variante del phishing que recurre a los mensajes de texto (SMS) para hacerte caer.

La Oficina de Seguridad del Internauta, organismo que depende directamente del Instituto Nacional de ciberseguridad, alerta de que se han detectado múltiples campañas, a través de smishing, que suplantan la identidad de diversas entidades bancarias. A través de un SMS fraudulento se le comunica a la víctima que ha habido un movimiento inusual en su cuenta como, por ejemplo, que se ha registrado un nuevo dispositivo o que su cuenta va a ser suspendida. Para poder resolver estas situaciones, se le comunica al usuario que tiene que hacer clic en el enlace proporcionado en el SMS. Este enlace le redireccionará a una web fraudulenta con la intención de obtener las credenciales de acceso a la banca online.

¿Quién son los afectados? Cualquier usuario que sea cliente de la entidad bancaria y que haya recibido un SMS en el cual le indican que ha habido un movimiento extraño en su cuenta y para solucionarlo tiene que hacer clic en el enlace adjunto.

Solución en caso de smishing

Si has recibido un mensaje de texto con características similares a las mencionadas, pero no has facilitado tus datos, bloquea el número y elimina el SMS.

Si has intentado acceder mediante el enlace fraudulento, notifica de inmediato a tu banco la situación.

Las siguientes acciones a seguir también son importantes:

• Puedes reportar el fraude mediante los canales de INCIBE o incluso si lo necesitas, solicita ayuda mediante la Línea de Ayuda en Ciberseguridad.
• Confirma que has modificado tus datos de acceso bancario y emplea contraseñas únicas y robustas para cada una de tus cuentas.
• Realiza comprobaciones regularmente de las transacciones de tu cuenta para identificar posibles cargos no autorizados. En caso de que ocurran, informa al banco inmediatamente.
• Almacena las evidencias que hayas realizado del incidente, como capturas o enlaces, para usarlas como prueba al interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes hacer uso de testigos online para reunir estas evidencias. No olvides conseguir una copia de la denuncia para entregarla en tu entidad bancaria.
• Durante los próximos meses, se recomienda practicar el egosurfing para rastrear cualquier información personal que pueda haberse expuesto a raíz del incidente. Para ello, puedes emplear métodos de Google Dorks.
• Emplea los medios de contacto oficiales, como el correo electrónico que te proporcionó el banco, el número de servicio al cliente o la propia aplicación bancaria. Adicionalmente, puedes visitar el sitio web de tu banco orientado para informarte sobre fraudes:
• En el caso de que tu entidad sea ING, disponen de una sección donde se discuten temas relacionados con fraudes en línea.
• En el caso de que tu entidad bancaria sea ABANCA, disponen de una sección donde se muestran diferentes aspectos relacionados con fraudes en línea.
• En el caso de que tu entidad bancaria sea el Banco Sabadell, tiene un apartado de apuntes importantes sobre seguridad, donde se puede acudir si la seguridad de la cuenta se ha podido ver comprometida.
• En el caso de que tu entidad bancaria sea Bankinter, puedes visitar el blog donde se comentan aspectos relacionados con estos fraudes.
• En el caso de Laboral Kutxa, tiene un portal de seguridad, donde ofrecen consejos generales de seguridad, protección de dispositivos y, además, compras online.
• En el caso de que tu entidad bancaria sea BBVA, dispones de un apartado de atención al cliente y otra conocida como Última hora, donde se comentan aspectos orientados a fraudes online.
• En el caso de que tu entidad bancaria sea Banco Santander, disponen de un apartado de seguridad online donde se tratan aspectos relacionados con fraudes online y recomendaciones para no ser víctima de smishing.
• En el caso de que tu entidad bancaria sea Caja Sur, tienen un apartado de seguridad online que cubre aspectos relacionados con ciberseguridad en general.
• En el caso de que tu entidad bancaria sea CaixaBank, tienen un apartado de SMS y llamadas fraudulentas donde se puede dirigir en caso de haber tenido un incidente de seguridad relacionado con tu cuenta bancaria online.
• En el caso de que tu entidad bancaria sea Deutsche Bank, dispones del apartado «Seguridad Banca Internet» con recomendaciones de seguridad.

Se han identificado diversos casos de intentos de suplantación de identidad a diferentes entidades bancarias, como son ING, ABANCA, Banco Sabadell, Bankinter, Laboral Kutxa, BBVA, Banco Santander, Caja Sur, CaixaBank y Deutsche Bank.

Estos SMS contienen enlaces fraudulentos, que redirigen a un sitio web de la supuesta entidad bancaria, pero en realidad es una web fraudulenta que pretende robar las credenciales de acceso de la persona que los introduzca.

Los mensajes intentan dar sensación de alerta para que la víctima sienta esa necesidad de responder de inmediato, y los motivos de estos mensajes tan alarmantes suelen ser de varios tipos, entre los cuales podemos encontrar mensajes que incluyen, bloqueo de cuentas, tramitación de préstamos y cargos no autorizados.

La entrada Aviso urgente de la Policía: este sms puede dejar tu cuenta bancaria a cero se publicó primero en LISOT.

Desde que internet hiciese acto de presencia en nuestras vidas, las posibilidades con las que contamos en todos los ámbitos son prácticamente interminables. No obstante, de la mano de este infinito abanico de posibilidades, llegaron también una serie de amenazas externas capaces de poner en peligro todo tipo de datos personales en la red.

Ya hemos hablado de muchas de las distintas formas de estafa online, entre las que destacan el phising, el vishing o el smishing. Tácticas mediante los cuales los ciberdelincuentes tratan de obtener acceso a todo tipo de información a través de distintas vías, siendo cada una de estas vías lo que establecía la diferencia entre uno y otro modelo de estafa. Sin embargo, en los últimos tiempos, ha aparecido un término que los engloba a todos: Spoofing.

Spoofing, el término global más empleado por los ciberdelincuentes

Más allá de hacer referencia a la vía a través de la cual los ciberdelincuentes tratan de acceder a una información concreta, el spoofing hace referencia a la técnica que estos delincuentes emplean para que el usuario caiga en su trampa. Como bien indica su traducción al castellano, suplantación de identidad, es una técnica en la que el delincuente se hace pasar por otra persona o entidad.

Entre los casos más comunes, destacan la práctica de hacerse pasar por una entidad bancaria o una empresa global, con el objetivo de hacer creer a la víctima potencial de la estafa que forma parte de dicha compañía. Esto puede hacer referencia a una persona que se hace pasar por un empleado de tu banco, por un operador del servicio técnico de una compañía…

El quid de la cuestión en este tipo de estafas es la minuciosa preparación de la estafa por parte de los ciberdelincuentes, que no solo conocen a la perfección la jerga que deben utilizar, sino también cuál es la vía más directa para hacer que la víctima caiga. Y el principal problema que hace que cientos de personas caigan cada día en una de estas estafas son las múltiples vías por las que pueden llegar a los usuarios: a través de un correo electrónico, de una llamada telefónica, o de un enlace a un sitio web.

Como es habitual en este tipo de estafas, el principal objetivo de los estafadores es obtener acceso a información confidencial, principalmente para tener acceso a los datos bancarios de la víctima, por lo que las estafas desde el ámbito bancario son las más habituales. Sin embargo, la divulgación de malware también es otro de los principales objetivos de este tipo de acciones, buscando que las víctimas den acceso a este malware en cualquiera de sus dispositivos.

A pesar de ser un concepto más global que los otros ya vistos, la suplantación de identidad es una de las tónicas habituales en lo relativo a las ciberestafas. Por ello, el principal consejo a la hora de evitar esta práctica es desconfiar de las fuentes desconocidas, ya sean por vía telefónica o correos. Por otro lado, y más allá de denunciar estas prácticas, la conservación de la información personal y financiera también es fundamental, un usuario nunca debe compartir estos datos en internet si no quiere ser víctima de una de estas estafas.

La entrada Spoofing: las tácticas que utilizan los hackers para suplantar identidades se publicó primero en LISOT.

Recursos Afectados

La entrada Múltiples vulnerabilidades en productos de Cisco se publicó primero en LISOT.

Este miércoles se inicia la campaña para la declaración de la Renta 2023 que finalizará el próximo 1 de Julio. Durante estos tres meses se multiplicarán las estafas que utilizan la campaña de la Renta como gancho para engañar a sus víctimas. Habitualmente, mediante envíos de comunicaciones masivas por correo electrónico y SMS en las que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria y se hace referencia a supuestos reembolsos y devoluciones de impuestos, pero que tienen como objetivo hacerse con datos personales y bancarios de la víctima. Son tácticas de suplantación de identidad que se conocen como phishing si el medio es el correo electrónico y smishing si el contacto se realiza a través de un SMS.

La Agencia Tributaria alerta en su página web del peligro que suponen y ofrece una serie de consejos para que los contribuyentes no caigan en este tipo de engaños. También clarifica un punto muy importante como son las direcciones web que utiliza, 11 en total, y que son las únicas en las que se pueden realizar trámites con ella que impliquen pagos. Las técnicas de suplantación de identidad habitualmente dirigen a la víctima a páginas web fraudulentas con direcciones web similares a las que emplea la entidad que quieren suplantar, pero no iguales. En otros casos, puede consistir en engañar a la víctima para que se descargue un fichero infectado con un virus.

El organismo también ofrece una relación de los intentos de fraude que detecta clasificados por años. Por ejemplo, puedes ver los de 2024, 2023 y otros años.

Detectar el phishing: lo que nunca hace la Agencia Tributaria

El ente administrativo tiene unos procesos muy reglados para comunicarse con los contribuyentes que facilitan la detección de los intentos de fraude. Así, la Agencia Tributaria recuerda una serie de supuestos trámites o gestiones que se suelen requerir por los ciberdelincuentes, pero que no coinciden con su forma de proceder en las comunicaciones. Estos son:

• La Agencia Tributaria nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta.
• Nunca adjunta anexos con información de facturas u otros tipos de datos.
• Nunca realiza devoluciones a tarjetas de crédito o débito.
• Nunca cobra importe alguno por los servicios que presta. La persona que los utiliza solo asumirá el coste compartido de las llamadas a teléfonos 901

Las recomendaciones de la Agencia Tributaria para evitar caer en engaños

Ante la recepción de un correo electrónico o un SMS fraudulento, el organismo público recomienda:

• No abrir mensajes de usuarios desconocidos o que no hayas solicitado.
• No contestar en ningún caso a estos mensajes.
• Precaución al seguir enlaces en correos electrónicos, aunque sean de contactos conocidos. Lo mismo aplica a los SMS.
• Precaución al descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.

Estas son las direcciones web que utiliza la Agencia Tributaria

Los ciberdelincuentes utilizan webs fraudulentas con nombres similares a agenciatributaria.es, por lo que es importante conocer cuáles son las direcciones web que utiliza el organismo y ser consciente de que si un correo o SMS fraudulentos te remite a una supuesta URL de la Agencia Tributaria que no coincide exactamente con ninguna de ellas, entonces es una estafa.

El ente no utiliza solo la dirección web mencionada, que corresponde al Portal de la Agencia Tributaria, sino también otros 10 dominios que usa su Sede electrónica. La lista completa de los dominios de la Agencia Tributaria que corresponden a webs en las que se pueden realizar pagos es la siguiente:

• www.agenciatributaria.es
• sede.agenciatributaria.gob.es
• www.agenciatributaria.gob.es
• www1.agenciatributaria.gob.es
• www2.agenciatributaria.gob.es
• www3.agenciatributaria.gob.es
• www6.agenciatributaria.gob.es
• www8.ia.agenciatributaria.gob.es
• www9.agenciatributaria.gob.es
• www10.agenciatributaria.gob.es
• www12.agenciatributaria.gob.es

La entrada Renta 2023: cuidado con las webs que suplantan a la Agencia Tributaria se publicó primero en LISOT.