Avisos de seguridad

  1. Fecha de publicación: 17/01/2018

    Importancia: Alta

    Recursos afectados:

    • WordPress 3.7 y posteriores.

    Descripción:

    WordPress ha publicado una actualización de seguridad que soluciona un problema de seguridad así como otros errores de software.

    Solución:

    Se recomienda que actualice su Wordpress a la versión 4.9.2 Para ello descargue la última versión desde la página del gestor de contenidos o dentro del propio gestor de contenidos vaya a "Escritorio", "Actualizaciones" en el área de administración de su sitio y haga clic en "actualiza ahora".

    Instrucciones de actualización

    Para saber si existe una actualización de seguridad de Wordpress debe acceder a la consola de Administración de Wordpress. Automáticamente al entrar aparecerán varios mensajes haciéndonos saber que existe una actualización de seguridad.

    Hacemos clic en el botón superior "Por favor, actualiza ahora" o en el botón “Actualizar a 4.9.2” y comenzará la actualización automática:

    Actualización WordPress

    A continuación se mostrará una ventana en dónde se muestra todas las actualizaciones pendientes como son la versión de WordPress, los plugins y los temas instalados. Seleccionaremos el botón “Actualizar ahora”, el proceso puede tardar varios minutos durante los cuales la página se encontrará en modo mantenimiento.

    Actualiza ahora

    Una vez terminado el proceso visualizaremos una pantalla como la que se muestra en la siguiente imagen, informando que nuestro Wordpress está actualizado a la versión 4.9.2.

    Bienvenido a WordPress 4.9.2

    Nota: recomendamos realizar esta actualización en un entorno de desarrollo o preproducción antes de aplicarla en el entorno de producción. Antes de corregir el problema, haz una copia de seguridad de tu web, tanto de la base de datos como de todos los archivos que componen el sitio.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @incibe Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

    Detalle:

    La actualización soluciona una  vulnerabilidad de tipo XSS (del inglés cross-site scripting) mediante las cuales un atacante podría dirigir a nuestros usuarios a una página diseñada para ejecutar código malicioso en su navegador.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales:

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  2. Fecha de publicación: 04/01/2018

    Importancia: Crítica

    Recursos afectados:

    Se han visto afectados múltiples fabricantes de procesadores y por ende, los sistemas operativos que se ejecutan sobre los mismos. Entre ellos:

    Adicionalmente, todos los servicios en la nube que estén soportados por estas tecnologías también se verán afectados.

    Descripción:

    Se ha hecho pública la existencia de un error en el diseño de los procesadores Intel, AMD y ARM que resulta en una vulnerabilidad que afecta a diferentes sistemas operativos como Windows y Linux entre otros. Este fallo hace que los sistemas operativos no sean capaces de controlar correctamente los permisos de las aplicaciones, lo que implicará que algunas puedan llegar a tener los máximos permisos en el sistema.

    Solución:

    En la actualidad no existe una solución universal que permita resolver el problema por lo que cada fabricante será quien deba implementar un parche que permita corregir el fallo. Algunos fabricantes ya disponen de actualizaciones para solucionar la vulnerabilidad. Ver el apartado de referencias.

    Es importante actualizar previamente los antivirus que tengamos disponibles ya que en caso contrario es probable que no nos dejen instalar los parches.

    Detalle:

    Parte de estos problemas fueron reportados el pasado 1 de junio y ahora investigadores de Google Project Zero y del Instituto de Procesamiento de Información Aplicada y Comunicaciones (IAIK) en la Universidad Tecnológica de Graz (TU Graz) han descubierto varias vulnerabilidades que afectan a procesadores que se incluyen en multitud de dispositivos como portátiles, tablets, smartphones y dispositivos IoT entre otros. Las vulnerabilidades forman parte de una característica de la arquitectura integrada en los microprocesadores que en principio se usa para mejorar el rendimiento del sistema conocida como ejecución especulativa.

    Existen dos tipos de ataques para explotar las vulnerabilidades: el bautizado como “Meltdown” que podría permitir acceder a la memoria del sistema operativo principalmente; y “Spectre”, que facilita el acceso a la memoria entre aplicaciones. Esto significaría, por ejemplo, que si un malware es programado para acceder a la memoria aprovechando esta vulnerabilidad, podría conocer toda la información que en ella se almacena, desde contraseñas hasta los datos de un monedero de criptomonedas.

    Para más detalles técnicos acerca de este aviso, visite el que se ha publicado en la web del CERTSI_.

    Etiquetas: Vulnerabilidad

  3. Fecha de publicación: 14/12/2017

    Importancia: Alta

    Recursos afectados:

    Aquellos usuarios que reciban alguno de los correos electrónicos detallados o de características similares y envíen sus datos para obtener el supuesto reembolso.

    Descripción:

    Desde la cuenta oficial de Soporte Técnico de la Agencia Tributaria en Twitter, han confirmado la existencia una campaña fraudulenta, en la que se suplanta la identidad de la propia Agencia Tributaria. El correo malicioso informa al contribuyente que le corresponde un supuesto reembolso económico, y le proporciona un enlace a una web con un formulario cuyo fin es obtener la información personal y bancaria de la víctima.

    Solución:

    Si has sido víctima de este engaño:

    1. Si has facilitado tus datos personales en la página web maliciosa, vigila periódicamente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin tu consentimiento. Practicar “egosurfing” te permitirá controlar qué información sobre ti hay en la red.
    2. Si tras realizar una búsqueda en Internet de tu información personal encuentras algo que no te gusta o se está ofreciendo indebidamente información sobre ti, tienes a tu disposición los derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.
    3. Del mismo modo, si has facilitado datos bancarios, debes contactar directamente con tu banco para tomar junto a ellos las medidas de seguridad que correspondan, para evitar que te realicen cargos adicionales.
    4. También, si has facilitado tu número de teléfono móvil, contacta lo antes posible con la operadora de telefonía para que bloqueen los números SMS Premium y revisen si se ha realizado algún cargo sin tu consentimiento.
    5. Denuncia la situación ante la Agencia Española de Protección de Datos y/o ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

    Para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA datos personales, bancarios ni el número de teléfono móvil en páginas web de dudosa reputación, que no te inspiren confianza o que te hayan llegado sin ser solicitados, como sería el de este aviso de seguridad.

    En caso de duda, siempre se recomienda consultar directamente con las empresas implicadas a través de los mecanismos que facilitan a los usuarios para tal fin. La mayoría de las empresas tienen cuentas en redes sociales (Facebook o Twitter) a través de las cuales contactar con ellas directamente y consultar dudas.

    Detalle:

    Los mensajes de esta campaña fraudulenta se distribuyen a través de correos electrónicos, en donde se comunica al destinatario que, tras el último cálculo de sus actividades fiscales, le corresponde un reembolso de 384,56 €. A continuación, mostramos un ejemplo de email de los que está circulando.

    Si el usuario hace clic en el enlace incluido al final del correo, es dirigido a una página web diseñada para hacerse pasar por una web legítima de la Agencia Tributaria (fraude de tipo phishing). Esta página utiliza un certificado digital con el fin de que el navegador muestre que la conexión es segura y así inspirar mayor confianza al usuario.

    Dentro de esta web se incluye un formulario en el que se solicita, en primer lugar, un documento de identificación y la fecha de nacimiento.

    A continuación, tras introducir estos datos y seleccionar el botón Enviar, la página muestra un segundo formulario, en el que se solicita información relativa a la tarjeta de crédito de la víctima (número de tarjeta de crédito, tipo, fecha de vencimiento y CSC), así como un número de teléfono.

    Al finalizar de rellenar todos los campos y enviar el informe, el usuario es redirigido automáticamente a la página de inicio de la web oficial de la Agencia Tributaria para dotar de mayor credibilidad al fraude.

    Desde la cuenta de Twitter de Soporte Técnico de la Agencia Tributaria están informando a los usuarios sobre el correo fraudulento. Así mismo, proporcionan un enlace a un aviso de seguridad en su web, que contiene más información sobre este y otros fraudes electrónicos.

    Para prevenir está situación

    Como ya hemos mencionado en el apartado solución de este aviso de seguridad, para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA ni datos personales, ni bancarios, ni el número de teléfono móvil en páginas web online de dudosa reputación, que no te inspiren confianza o que te hayan llegado sin ser solicitados.

    En caso de duda, siempre se recomienda consultar directamente con los organismos implicados, en este caso, contactando directamente con la Agencia Tributaria.

    No es la primera vez que alertamos desde la OSI de este tipo de campañas maliciosas, anteriormente hemos publicado avisos de otras campañas de phishing haciéndose pasar por la Agencia Tributaria para el robo de dinero o secuestrar tu ordenador, entre otras.

    Etiquetas: Fraude, Ingeniería social, Phishing

  4. Fecha de publicación: 30/11/2017

    Importancia: Alta

    Recursos afectados:

    • WordPress 4.9 y versiones anteriores

    Descripción:

    WordPress ha publicado una actualización de seguridad que soluciona cuatro problemas de seguridad así como otros errores de software.

    Solución:

    Se recomienda que actualice su Wordpress a la versión 4.9.1 Para ello descargue la última versión desde la página del gestor de contenidos o dentro del propio gestor de contenidos vaya a "Escritorio", "Actualizaciones" en el área de administración de su sitio y haga clic en "actualiza ahora".

    Instrucciones de actualización

    Para saber si existe una actualización de seguridad de Wordpress debe acceder a la consola de Administración de Wordpress. Automáticamente al entrar aparecerán varios mensajes haciéndonos saber que existe una actualización de seguridad:

    Instalación de Wordpress 4.9.1

     

    Hacemos clic en el botón de "Actualizar ahora" y comenzará la actualización automática:

    Actualizando WordPress

     

    Finalmente visualizaremos una pantalla como la que se muestra en la siguiente imagen, corroborando que nuestro Wordpress está actualizado a la versión 4.9.1

    4.9.1 actualizado

    Nota: recomendamos realizar esta actualización en un entorno de desarrollo o preproducción antes de aplicarla en el entorno de producción. Antes de corregir el problema, haz una copia de seguridad de tu web, tanto de la base de datos como de todos los archivos que componen el sitio.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @incibe Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

    Detalle:

    La actualización soluciona ciertos problemas de seguridad que podrían permitir a un ciberdelincuente realizar un ataque por diferentes vías.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales:

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  5. Fecha de publicación: 29/11/2017

    Importancia: Crítica

    Recursos afectados:

    • Ordenadores Apple con sistema operativo OS X High Sierra 10.13.0, 10.13.1 y MacOS High Sierra 10.13.2 beta.

    Descripción:

    Se ha detectado un importante fallo de seguridad que afecta a la última versión del sistema operativo de Apple, MacOS High Sierra. Esta vulnerabilidad permite a una persona con acceso a un equipo Mac afectado acceder a la cuenta de administrador (root) sin necesidad de contraseña, obteniendo los privilegios para un control total del equipo.

    Solución:

    La compañía Apple ha publicado un comunicado en el que se indica que están trabajando en una actualización del sistema que solucione la vulnerabilidad, por lo que recomendamos seguir las actualizaciones de este aviso.

    A falta de una solución definitiva Apple aconseja a los usuarios habilitar la cuenta de root y asignarle una contraseña para prevenir el acceso no autorizado. Los pasos a seguir para la configuración de la cuenta son los siguientes:

    • 1. Selecciona el menú Apple > Preferencias del Sistema y haz clic en Usuarios y grupos (o Cuentas).
    • 2. Haz clic en  y, a continuación, introduce el nombre y la contraseña de administrador.
    • 3. Haz clic en Opciones inicio sesión.
    • 4. Haz clic en Acceder (o Editar).
    • 5. Haz clic en Abrir Utilidad de Directorios.
    • 6. Haz clic en el candado de la ventana Utilidad de Directorios y, a continuación, introduce el nombre y la contraseña de administrador.
    • 7. En la barra de menús de Utilidad de Directorios:
      • a. Selecciona Editar > Activar usuario root y, a continuación, escribe la contraseña que quieres usar para el usuario root.
      • b. bien, elige Editar > Desactivar usuario root.

    Es importante no deshabilitar la cuenta de root hasta que se solucione la vulnerabilidad, ya que en caso de hacerlo, el dispositivo continuaría siendo vulnerable.

    Actualizacion 30/11/2017:

    Apple ha publicado una actualizción que soluciona dicha vulnerabilidad. Puedes ver como aplicarla en esta dirección web.

    ¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete al boletín de avisos, o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

    Detalle:

    El desarrollador Lemi Orhan Ergin ha identificado un fallo de seguridad en equipos Apple que ejecutan el sistema operativo High Sierra. El problema detectado permite el acceso como usuario root a cualquier usuario del sistema, incluido usuarios con privilegios de invitado, o usuarios que accedan en remoto a través de las funciones de escritorio compartido. El fallo se ha producido, porque la cuenta root que debería estar deshabilitada no lo está, y además carece de contraseña. Cuando un usuario introduce la cuenta root sin escribir la contraseña, tras varios intentos obtiene acceso a la cuenta de administrador.

    Esta vulnerabilidad puede permitir una escala de privilegios en el sistema afectado, lo que también podría permitir que el malware que se intente ejecutar en el sistema, pueda saltarse los controles de privilegios.

    Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.

    Etiquetas: Actualización, Vulnerabilidad