Resumen Semanal Noticias de Ciberseguridad del 21/04/2014

Resumen Semanal Número 10 de Noticias de Ciberseguridad
En este decimo número del boletín de noticias en materia de ciberseguridad, os volvemos a hacer llegar las noticias más relevantes de la semana.
Si deseáis hacernos llegar alguna sugerencia o comentario a fin de que os sea de mayor utilidad, no dudéis en poneros en contacto con nosotros.
Noticias
- OpenSSL pide ayuda para reforzar su organización con algo más que voluntarios
- El fallo Heartbleed se cobra sus primeras víctimas
- Sólo el 1,38% de las webs españolas es vulnerable al “Heartbleed”
- Berlín atribuye a espías extranjeros un 'ciberataque' a su centro aeroespacial
- Una vulnerabilidad en Android facilita la realización de ataques de phishing
- TrueCrypt es seguro y supera con éxito la primera auditoría
- Los servidores de Google están afectados por un problema de seguridad
Publicaciones
- Heartbleed – Una llamada de atención
- Contraseñas: buenas prácticas a seguir y herramientas a utilizar
- Episodios para un Pentesting
OpenSSL pide ayuda para reforzar su organización con algo más que voluntarios
La grave brecha de seguridad que ha puesto entre las cuerdas las contraseñas de millones de usuarios de Internet ha evidenciado la necesidad de profesionalizar la gestión del código abierto, por lo que OpenSSL pide ayuda a gobiernos y empresas para reforzar su organización, insistiendo en que necesitan reforzar su equipo con algo más que voluntarios. Asimismo ha nacido una iniciativa de crowdfunding, para recaudar dinero y pagar a investigadores para que se realice una completa auditoría de seguridad donde se busquen posibles fallos que aún no se conocen y se solucionen.
Más información en: http://tecnologia.elpais.com/tecnologia/2014/04/14/actualidad/1397478178_164700.html
Más información en: http://www.redeszone.net/2014/04/12/nace-una-iniciativa-de-crowdfunding-para-hacer-una-completa-auditoria-openssl/
El fallo Heartbleed se cobra sus primeras víctimas
La agencia de recaudación de impuestos de Canadá es el primer afectado oficial por el fallo, después de anunciar el pasado lunes que piratas informáticos que explotaron el error robaron datos privados de unas 900 personas. Los expertos en seguridad advierten que probablemente los ataques seguirán.
Más información en: http://www.bbc.co.uk/mundo/ultimas_noticias/2014/04/140415_heartbleed_fallo_internet_contrasenas_claves_rg.shtml
Sólo el 1,38% de las webs españolas es vulnerable al “Heartbleed”
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha elaborado una primera investigación en la que cifra la posible vulnerabilidad de los dominios .es.
Más información en: http://www.elmundo.es/tecnologia/2014/04/15/534d72a6e2704eae338b457d.html
Berlín atribuye a espías extranjeros un 'ciberataque' a su centro aeroespacial
El Centro Aeroespacial Alemán (DLR) lleva meses defendiéndose de un ciberataque que las autoridades alemanas, por su entidad y complejidad, atribuyen a un servicio secreto extranjero. El Gobierno alemán considera el caso "extremadamente serio" porque esa agencia pública se dedica, entre otras cuestiones, a la investigación y desarrollo de alta tecnología armamentística, como misiles.
Más información en: http://www.elmundo.es/tecnologia/2014/04/13/534a540e268e3eec6d8b4570.html
Una vulnerabilidad en Android facilita la realización de ataques de phishing
Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.
Más información en: http://unaaldia.hispasec.com/2014/04/vulnerabilidad-en-android-facilita-la.html
TrueCrypt es seguro y supera con éxito la primera auditoría
Cada vez es más complicado encontrar una aplicación que sea 100% segura y no comprometa la seguridad de los usuarios. Muchas aplicaciones, especialmente todas aquellas relacionadas con la seguridad informática y empresarial, se están viendo sometidas a una serie de auditorías de seguridad con el fin de descubrir si las aplicaciones son realmente seguras o, de lo contrario, disponen de alguna vulnerabilidad que pueda comprometer la seguridad. TrueCrypt es una de ellas.
Más información en: http://www.redeszone.net/2014/04/15/truecrypt-es-seguro-y-supera-con-exito-la-primera-auditoria/
Los servidores de Google están afectados por un problema de seguridad
Podría decirse que es la primera vez que el gigante de Internet se ve afectado por un fallo de seguridad tan sumamente importante. Y es que estamos hablando de que con un simple código XML no solo se puede acceder a los archivos, sino que se pueden realizar una gran cantidad de acciones sobre el servidor.
Más información en: http://www.redeszone.net/2014/04/12/los-servidores-de-google-estan-afectados-por-un-problema-de-seguridad/
Heartbleed – Una llamada de atención
La semana pasada la Web descubrió la existencia de la llamada vulnerabilidad "Heartbleed" que afecta a uno de los mecanismos más utilizados para proteger la comunicación con los sitios web: OpenSSL. El problema subyacente es un error de programación con consecuencias fatales. ENISA analiza la formación técnica en esta nueva nota de flash.
Más información en: http://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call
Contraseñas: buenas prácticas a seguir y herramientas a utilizar
Tras la brecha de Heartbleed y la necesidad del cambio de contraseñas, se aprovecha la oportunidad de volver a recomendar buenas prácticas a seguir y herramientas a utilizar en lo que a contraseñas respecta.
Más información en: https://muyseguridad.net/2014/04/10/contrasenas-buenas-practicas-herramientas
Episodios para un Pentesting
Se ha publicado un documento descargable, en el que se realiza una explicación detallada sobre cómo conseguir hacerse con un ordenador remoto aprovechando una vulnerabilidad de Java en navegadores, que permite la ejecución de código malicioso tras aceptar un applet de Java en cualquier navegador y/o sistema operativo.
Más información en: hhttp://www.fluproject.hol.es/descargasDirectas/pdf/Episodio%20de%20Pentesting.pdf
NOTA: INTECO no se hace responsable del contenido de las noticias ("Noticias de seguridad de interés"). Al tratarse de enlaces externos, la información facilitada depende exclusivamente de la fuente de la noticia o de su autor.