Avisos de seguridad

1. Nueva actualización de Oracle Java SE

   Fecha de publicación: 17/04/2019

   Importancia: Alta

   Recursos afectados:

   • Oracle Java SE, versiones 7u211, 8u202, 11.0.2, 12
   • Oracle Java SE Embedded, versión 8u201

   Descripción:

   Oracle publica periódicamente actualizaciones que solucionan fallos críticos de seguridad de sus productos. El aviso de actualización, de este mes de abril, incluye la solución a cinco fallos de seguridad de JAVA SE, los cuales podrían ser explotados remotamente sin autenticación, es decir, a través de una red sin requerir credenciales de usuario.

   Solución:

   Las actualizaciones están formadas por parches que solucionan los distintos fallos de seguridad detectados. Se recomienda aplicar esta actualización de seguridad lo antes posible.

   NOTA: Para activar Java, configurarlo o realizar la actualización tienes que entrar en el ordenador con un usuario que tenga permisos de administrador.

   Si necesitas activar Java puedes realizarlo de dos formas:

   • Desde el panel de control en Windows y OSx.
   • Desde los navegadores Explorer, Firefox o Safari y Opera (Chrome no soporta Java desde su versión 42).

   También puedes configurar las actualizaciones automáticas en Windows y en OSx.

   

   Si no tienes activadas las actualizaciones automáticas recomendamos:

   1. Comprobar la versión de Java que tienes instalada desde el navegador.

   

   Al aceptar, comprobará la versión que tienes instalada y, si fuera necesario, te recomendará la actualización más conveniente para tu sistema.

   2. También puedes actualizar directamente Java, en tu ordenador, a la última versión.
   3. Para realizar otras acciones de seguridad relativas a Java tales como eliminar versiones antiguas, configurar el nivel de seguridad o rechazar aplicaciones de origen desconocido, consulta estos consejos de seguridad.

   Recuerda que tener actualizados todos los productos que utilizas es una buena práctica para evitar ser objeto de ataques.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Java es un software que es necesario activar en los navegadores para utilizar ciertos programas integrados en los sitios webs. Este tipo de programas se utilizan en las aplicaciones de la Agencia Tributaria (IVA, impuesto sociedades,etc.), Seguridad Social, Registro Mercantil y en algunas webs de banca online.

   Antes de actualizar aquellos equipos que interactúen con estas páginas, revisa previamente los requisitos técnicos, por ejemplo, en estos enlaces de la Agencia Tributaria y la sede de la Seguridad Social.

   Los fallos críticos detectados en los productos afectados podrían permitir a un usuario remoto conseguir privilegios de administrador, acceder y modificar datos del sistema y dejar inactivo o no accesible el servicio. También permitirían a un usuario en local conseguir privilegios de administrador.

   Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE-CERT.

   

   Etiquetas: Actualización, Java, Vulnerabilidad

2. Actualiza Joomla! a la nueva versión

   Fecha de publicación: 10/04/2019

   Importancia: Alta

   Recursos afectados:

   Versiones de Joomla! de la 3.0.0 a la 3.9.4

   Descripción:

   Publicadas nuevas actualizaciones de seguridad del gestor de contenidos Joomla! que dan solución a diferentes vulnerabilidades que afectan a su núcleo (core).

   Solución:

   Si tienes instalada alguna de las versiones citadas anteriormente, te recomendamos que actualices a la última versión 3.9.5, que podrás encontrar en la web oficial de Joomla! o desde el panel de administración del propio gestor de contenidos.

   En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar la actualización de seguridad, a través de los siguientes pasos:

   En primer lugar, accede a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).

   

   Una vez hayas accedido, podrás comprobar cómo el propio gestor avisa, a través de un mensaje situado en la parte superior de la pantalla, sobre la existencia de una nueva versión de Joomla! En este caso, la 3.9.5:

   

   Al hacer clic sobre el botón «Actualizar ahora», irás a una segunda pantalla donde únicamente deberás pulsar el botón «Instalar la actualización». El resto del texto es meramente informativo:

   

   Tras este paso, se arrancará el proceso de instalación:

   

   Por último, una vez haya concluido este proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado correctamente». En este momento, el gestor de contenidos, ya estará actualizado a la última versión disponible.

   

   Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Esta actualización de seguridad soluciona las siguientes vulnerabilidades:

   • Una vulnerabilidades del tipo Cross-site scripting (XSS), que permitiría a un atacante ejecutar código malicioso y así hacerse con el control del gestor de contenidos.
   • Una vulnerabilidad relacionada con las listas de control de acceso o ACL (por sus siglas en inglés Access Control List), que establecen permisos a la hora acceder a determinados objetos. Esta vulnerabilidad podría permitir el acceso a sitios no autorizados debido a un error en el refresco de la lista de sitios de ayuda.
   • Una vulnerabilidad en el componente Media Manager permitiría el acceso no autorizado a directorios fuera del directorio raíz del administrador de medios.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

   • Mi página web trabajaba en la mina
   • Plantillas originales, en repositorios oficiales
   • Buenas prácticas para navegar seguros por la red
   • Mi página web está suplantando a una web bancaria

   En caso de disponer de soporte tecnológico, el personal puede consultar una información más técnica a través del servicio de avisos de INCIBE-CERT.

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

3. Nuevas versiones de Magento corrigen múltiples vulnerabilidades. ¡Actualiza tu comercio electrónico!

   Fecha de publicación: 27/03/2019

   Importancia: Crítica

   Recursos afectados:

   Versiones de Magento Commerce hasta 1.9.0.0 a 1.14.4.0.

   Versiones de Magento Open Source hasta 1.5.0.0 a 1.9.4.0.

   Versiones de Magento Commerce y Open Source anteriores a 2.3.1, 2.2.8 Y 2.1.17. 
    

   Descripción:

   Publicadas varias actualizaciones de seguridad del gestor de contenidos de tiendas online Magento, que solucionan múltiples vulnerabilidades, entre las cuales destacan la ejecución remota de código (RCE), inyecciones SQL, Cross-site scripting (XSS) o Cross-Site Request Forgery (CSRF o XSRF).

   Solución:

   Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

   Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Esta actualización corrige múltiples vulnerabilidades basadas en la inyección y ejecución de código remoto, como:

   • ejecuciones remotas de código a través de los boletines y las plantillas de correo electrónico que podrían permitir a un atacante comprometer la seguridad del gestor de contenidos y la de sus clientes;
   • inyecciones SQL con las que se podría añadir código maliciosos al gestor de contenidos para robar información confidencial o bancaria, entre otros;
   • vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

   • Mi página web trabajaba en la mina
   • Plantillas originales, en repositorios oficiales
   • Buenas prácticas para navegar seguros por la red
   • Mi página web está suplantando a una web bancaria

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

4. Actualiza a la nueva versión de Drupal

   Fecha de publicación: 21/03/2019

   Importancia: Media

   Recursos afectados:

   Versiones de Drupal 8.6.x, 8.5.x, 7.x y versiones anteriores

   Descripción:

   Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos y que soluciona una vulnerabilidad.

   Solución:

   La solución para estos problemas de seguridad pasa por la instalación de la versión más reciente de Drupal: 

   • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.13
   • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.14
   • Si utiliza Drupal 7.x, actualice a la versión 7.65

   Las versiones de Drupal anteriores a 8.5.x, ya no cuentan con soporte técnico y no recibirán actualizaciones.

   Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. También, comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

   Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

   

   Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

   

   Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

   

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Esta actualización de seguridad corrige el siguiente fallo de seguridad:

   • Vulnerabilidades del tipo Cross-site scripting (XSS), que permitiría a un atacante ejecutar código malicioso y así hacerse con el control del gestor de contenidos.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales:

   • Mi página web trabajaba en la mina
   • Plantillas originales, en repositorios oficiales
   • Buenas prácticas para navegar seguros por la red
   • Mi página web está suplantando a una web bancaria

   Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

5. ¡Cuidado no piques! Campaña de phishing suplantando a ING

   Fecha de publicación: 19/03/2019

   Importancia: Alta

   Recursos afectados:

   Cualquier empleado, autónomo o empresa que sea cliente de ING y que realice habitualmente operaciones de banca electrónica.

   Descripción:

   Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria ING, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

   Solución:

   Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

   Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

   Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

   • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
   • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
   • No contestar en ningún caso a estos correos.
   • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
   • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
   • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

   Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

   • Decálogo antiphishing
   • Busca otro al que engañar, yo no voy a picar
   • ¿Tu empresa ha sido víctima de un incidente? Repórtalo
   • Suplantaron a mi proveedor y a mi empresa estafaron
   • El ciberdelincuente le «pescó» por su falta de formación

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa al usuario que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.

   

   Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.

   

   A continuación indicará que introduzca su clave de seguridad, la contraseña con la que accede a la banca online de ING.

   

   Después deberá introducir su número de teléfono móvil.

   

   E introducir la posición número 48 de su tarjeta de coordenadas.

   

   Por último requiere que el usuario envíe una foto de su tarjeta de coordenadas para poder utilizar su cuenta.

   

   Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING y todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.

   

   

   Etiquetas: Correo electrónico, Fraude, Phishing