INCIBE-CERT

Contenido INCIBE-CERT

 
Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

ASLR: la protección esencial contra la explotación de memoria

Actualizado el 16/01/2025, por
INCIBE (INCIBE)
Imagen decorativa del blog ASLR
Las vulnerabilidades de corrupción de memoria son fallos críticos en los programas que ocurren cuando el software manipula incorrectamente la memoria. Estos fallos pueden permitir que un programa escriba datos en ubicaciones de memoria no previstas o acceda a áreas de memoria que están fuera del alcance previsto. Un atacante que controla estos datos, podría desencadenar un comportamiento inesperado en el sistema, como hacer que el programa se bloquee o, en el peor de los casos, obtener control total sobre el sistema afectado. En parte, esto es así porque inicialmente los sistemas computacionales no fueron diseñados teniendo en cuenta la seguridad, por lo que las direcciones de memoria utilizadas por los programas y sistemas operativos eran estáticas y predecibles. Esto significaba que cada vez que un programa se ejecutaba, las ubicaciones de la memoria, como la pila, el heap y las bibliotecas compartidas, se situaban siempre en las mismas direcciones. Esta previsibilidad facilitaba a los atacantes la explotación de vulnerabilidades de memoria, como los desbordamientos de búfer y los ataques de retorno a libc, ya que podían anticipar exactamente dónde se encontrarían los datos o el código que deseaban manipular para ejecutar código malicioso. En este artículo veremos cómo la técnica de ASLR ayuda a combatir estas vulnerabilidades.

Buenas prácticas de desarrollo seguro en control industrial

Actualizado el 26/12/2024, por
INCIBE (INCIBE)
Portada del blog Buenas prácticas de desarrollo seguro en control industrial
Hoy en día, uno de los procedimientos más críticos, pero menos conocidos, en materia de ciberseguridad industrial es el de desarrollo seguro. Este artículo recoge todas las buenas prácticas para la creación de aplicaciones y equipos específicos para entornos industriales de manera segura. Aspectos de seguridad que debe tener en cuenta tanto el trabajo realizado durante el diseño (confidencialidad de la empresa y clientes, seguridad de los trabajadores…), como la seguridad que el propio producto diseñado debe presentar durante todo su ciclo de vida (gestión de vulnerabilidades, control de acceso, gestión de inputs/outputs…).El objetivo de este artículo es abordar las buenas prácticas de desarrollo seguro, desde la perspectiva de la ciberseguridad industrial. Aunque las buenas prácticas tradicionales pueden ser aplicables a estos entornos, los aspectos fundamentales de safety y disponibilidad generan diferentes enfoques, fundamentalmente en aspectos relativos a la gestión de memorias y recursos, ciclos de gestión de actualizaciones y parches, etc.

Claves para aplicar las nuevas normativas de ciberseguridad para vehículos R155 y R156

Publicado el 28/11/2024, por
INCIBE (INCIBE)
Claves para aplicar las nuevas normativas de ciberseguridad para vehículos
Este artículo pretende presentar una breve guía de ejemplo para una implantación de la nueva normativa en las instalaciones de un proveedor.Recorriendo los puntos críticos de la norma, se seguirá un caso de uso genérico para ejemplificar cómo un fabricante de vehículos puede adaptar sus procesos para cumplir con la nueva normativa de manera eficiente y eficaz.Presentando una visión global de la norma y los procesos de producción, se pretende aportar una breve guía que sirva como punto de partida y ayude a evitar los fallos habituales en entornos industriales, cuando se tiene que hacer frente a nuevas regulaciones, encontrándose entre estos fallos la redundancia de esfuerzos, la poca eficiencia en la gestión de recursos y las deficiencias en la aplicación de medidas de seguridad.Este artículo pretende presentar una breve guía de ejemplo para una implantación de la nueva normativa en las instalaciones de un proveedor.Recorriendo los puntos críticos de la norma, se seguirá un caso de uso genérico para ejemplificar cómo un fabricante de vehículos puede adaptar sus procesos para cumplir con la nueva normativa de manera eficiente y eficaz.Presentando una visión global de la norma y los procesos de producción, se pretende aportar una breve guía que sirva como punto de partida y ayude a evitar los fallos habituales en entornos industriales, cuando se tiene que hacer frente a nuevas regulaciones, encontrándose entre estos fallos la redundancia de esfuerzos, la poca eficiencia en la gestión de recursos y las deficiencias en la aplicación de medidas de seguridad.

Vulnerabilidades

Información en castellano sobre las últimas vulnerabilidades documentadas y conocidas.

Guías y estudios

Contenido práctico y teórico avanzado sobre ciberseguridad para técnicos.

Servicio para operadores

Conjunto de servicios que ofrecemos para operadores estratégicos.