Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
octubre
(Total:
35
)
- Múltiples vulnerabilidades en los CMS de Joomla y ...
- Tor Messenger Beta, el chat fácil sobre la red Tor
- OnePlus X ya tiene precio y disponibilidad oficial...
- Android permitirá grabar la pantalla a través de G...
- ¿A qué edad debe tener un niño su primer teléfono ...
- Netflix publicará la velocidad real de conexión de...
- Ya es posible la configuración Multi-GPU Nvidia co...
- HTC Dream, el primer móvil con Android cumple 7 años
- Los clientes españoles de Ashley Madison están sie...
- SocialDrive te avisa de radares y controles polici...
- Premios Bitácoras 2015: Mejor Blog de Seguridad In...
- OVH World Tour en Barcelona
- Western Digital compra SanDisk por 19.000 millones...
- Rifle desactiva drones a una distancia de hasta 40...
- BackBox Linux 4.4 para realizar Pentesting
- Analizar APKs con AndroTotal y binarios con Revers...
- 9 de cada 10 ayuntamientos españoles son vulnerabl...
- EMET 5.5 incluye la posibilidad de bloquear la car...
- Adobe confirma importante vulnerabilidad de Flash,...
- El ransomware cifrador Shade de origen ruso
- Ataques de fuerza bruta con amplificación en WordP...
- [NocONName] Congreso No cON Name 2015 en La Salle
- Determinar extensión de un fichero mirando las cab...
- Hoox un teléfono ultraseguro a prueba de espías
- Neural Alfa, el teclado de SwiftKey basado en el a...
- Un gato buscando redes Wifi, haciendo Wardriving
- Google presenta oficialmente Android 6.0 Marshmallow
- Samsung no arreglará el Stagefright 2.0 en algunos...
- Google implementará HTTPS en Blogger
- Espiar el móvil de la pareja: dos años y medio de ...
- Phishing a Google a través de SMS supuestamente en...
- Botnet se aprovecha de sistemas Linux para realiza...
- Stagefright 2.0, nueva y grave vulnerabilidad en A...
- Modificación de mensajes manipulando la base de da...
- Descubre todo lo que Google sabe de ti
- ► septiembre (Total: 47 )
-
▼
octubre
(Total:
35
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
9 de cada 10 ayuntamientos españoles son vulnerables a los ciberataques
viernes, 16 de octubre de 2015
|
Publicado por
el-brujo
|
Editar entrada
Sophos Iberia, junto a Securízame, reputada empresa de proyectos de seguridad informática y formación, y Abanlex,
despacho de abogados especializado en protección de la información, la
privacidad y la innovación jurídica, presentan su segundo estudio anual
“Informe sobre la necesidad legal de cifrar información y datos
personales”, cuya principal conclusión es que 9 de cada 10 ayuntamientos
en España no cuentan con suficientes medidas de seguridad y son
vulnerables frente a posibles ciberataques.
El estudio analiza el estado actual (Julio de 2015) de una muestra de los 77 principales ayuntamientos españoles y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.
La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos. De hecho, en el 96% de los casos se ha detectado la existencia de al menos una vulnerabilidad conocida en los sistemas de intercambio de información con los ciudadanos. A pesar de que en las ciudades de mayor volumen de habitantes, las medidas de seguridad implantadas en los servidores están algo más cuidadas, en los ayuntamientos más pequeños existe una clara necesidad de una mejora en profundidad.
Sin embargo, existen diferentes soluciones que mitigarían estos riesgos existentes para los ciudadanos y para las instituciones. Una posible alternativa, sería actualizar y configurar de forma correcta los diferentes servicios afectados, aunque esto conlleva un complejo estudio previo y realizar operaciones sobre servicios en producción. Una alternativa más sencilla y que no implica modificar o parar la operativa, sería apoyarse en fabricantes de seguridad que ofrezcan un acceso seguro a las aplicaciones que no necesitan ser modificadas o actualizadas. Y una última solución es el cifrado de los ficheros que contengan datos personales, protegiendo la información ante un robo físico de los dispositivos que contienen los datos. “Una política de protección de datos basada en cifrado puede desplegarse en apenas unas horas, permitiendo a las AAPP mejorar la confianza de los ciudadanos y ahorrarse posibles multas de la Unión Europea”, concluye Teijeira.
Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas e instituciones. Muchas de ellas no cifran por miedo o desconocimiento. Cifrar no es complicado, el coste es asequible y los beneficios se muestran desde el inicio. Hoy en día es más sencillo cifrar que lo que era en 2006, cuando la AEPD informaba sobre la facilidad de la aplicación de las medidas de seguridad. Las herramientas de cifrado son cada vez más comunes, así como las empresas que desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los tamaños.
Deben cifrar la información un gran número de instituciones y empresas. Es posible decir que deben hacerlo todos los sujetos que tratan datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Incluyéndose también otro tipo de sujetos en función de las actividades que realizan, como por ejemplo las Administraciones públicas en cumplimiento del Esquema Nacional de Seguridad (Anexos RD 3/2010), la policía, los abogados, etc.
El cifrado siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número elevado de sujetos están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad. En el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales.
“En el reciente Caso Facebook, Europa ha declarado que alojar datos en Estados Unidos supone la aceptación de que el gobierno de aquel país pueda acceder a ellos, copiarlos, almacenarlos indefinidamente y analizarlos, sin informar a las empresas europeas afectadas. ¿Y si los datos estuvieran perfectamente cifrados? Cuando nos acogemos a alguna excepción que nos permita sacar información de Europa, si ciframos el contenido obtenemos una seguridad de inviolabilidad, de la que otras empresas carecen. Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa”, apunta Pablo Fernández Burgueño, Abogado y Socio de Abanlex.
http://sophosiberia.es/9-de-cada-10-ayuntamientos-espanoles-son-vulnerables-a-los-ciberataques/
El estudio analiza el estado actual (Julio de 2015) de una muestra de los 77 principales ayuntamientos españoles y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.
La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos. De hecho, en el 96% de los casos se ha detectado la existencia de al menos una vulnerabilidad conocida en los sistemas de intercambio de información con los ciudadanos. A pesar de que en las ciudades de mayor volumen de habitantes, las medidas de seguridad implantadas en los servidores están algo más cuidadas, en los ayuntamientos más pequeños existe una clara necesidad de una mejora en profundidad.
Las principales vulnerabilidades online de los consistorios españoles
- 4 de cada 10 ayuntamientos analizados soporta SSLv2. Esta versión se considera muy insegura desde hace varios años, por sus numerosas vulnerabilidades. Un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web. Asimismo es vulnerable a que disminuya la seguridad del cifrado de la información o se use un algoritmo de cifrado poco seguro y fácil de romper, como DES, lo que permitiría espiar la comunicación de las víctimas para obtener datos confidenciales.
- 4 de cada 10 consistorios son vulnerables a un ciberataque POODLE. La existencia de esta vulnerabilidad podría permitir a un atacante suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos, perfil, información, etc. Si en vez de suplantar a un usuario, consigue suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.
- El 34% de los ayuntamientos (3,4 de cada 10) es vulnerable un ciberataque FREAK. Esto significa que si los ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.
- El 23% admite parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack), mientras que 2 de cada 10 utilizan información números primos comunes, al venir proporcionados, como ejemplo, por el servidor web. Esto tiene como consecuencia que se abra la posibilidad de que se pueda descifrar la comunicación y por tanto espiarla y modificarla al antojo del atacante. También que se recopilen datos para luego proceder al robo de información mediante la suplantación del usuario.
- El 19% de los consistorios analizados obtiene la nota T, que quiere decir que el certificado no es confiable (Trustable). Es decir, que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no pueden verificar. Esto hace saltar la “típica” alerta de conexión no segura, lo que no solo produce desconfianza del usuario, sino que favorece que un atacante pueda aprovechar esta cierta “costumbre” del usuario con este error, para introducir uno falso (por supuesto, desconocido) que aceptará, sin ni siquiera percatarse.
Sin embargo, existen diferentes soluciones que mitigarían estos riesgos existentes para los ciudadanos y para las instituciones. Una posible alternativa, sería actualizar y configurar de forma correcta los diferentes servicios afectados, aunque esto conlleva un complejo estudio previo y realizar operaciones sobre servicios en producción. Una alternativa más sencilla y que no implica modificar o parar la operativa, sería apoyarse en fabricantes de seguridad que ofrezcan un acceso seguro a las aplicaciones que no necesitan ser modificadas o actualizadas. Y una última solución es el cifrado de los ficheros que contengan datos personales, protegiendo la información ante un robo físico de los dispositivos que contienen los datos. “Una política de protección de datos basada en cifrado puede desplegarse en apenas unas horas, permitiendo a las AAPP mejorar la confianza de los ciudadanos y ahorrarse posibles multas de la Unión Europea”, concluye Teijeira.
Necesidad legal del cifrado en España
Además de analizar la seguridad de los Ayuntamientos, el informe tiene como objetivo desmitificar el proceso de cifrado de datos, aclarar las obligaciones legales y requisitos que esto conlleva en España, así como abordar las necesidades y beneficios para instituciones y empresas de contar con políticas de cifrado legales, accesibles y fáciles de implementar.Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas e instituciones. Muchas de ellas no cifran por miedo o desconocimiento. Cifrar no es complicado, el coste es asequible y los beneficios se muestran desde el inicio. Hoy en día es más sencillo cifrar que lo que era en 2006, cuando la AEPD informaba sobre la facilidad de la aplicación de las medidas de seguridad. Las herramientas de cifrado son cada vez más comunes, así como las empresas que desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los tamaños.
Deben cifrar la información un gran número de instituciones y empresas. Es posible decir que deben hacerlo todos los sujetos que tratan datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Incluyéndose también otro tipo de sujetos en función de las actividades que realizan, como por ejemplo las Administraciones públicas en cumplimiento del Esquema Nacional de Seguridad (Anexos RD 3/2010), la policía, los abogados, etc.
El cifrado siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número elevado de sujetos están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad. En el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales.
“En el reciente Caso Facebook, Europa ha declarado que alojar datos en Estados Unidos supone la aceptación de que el gobierno de aquel país pueda acceder a ellos, copiarlos, almacenarlos indefinidamente y analizarlos, sin informar a las empresas europeas afectadas. ¿Y si los datos estuvieran perfectamente cifrados? Cuando nos acogemos a alguna excepción que nos permita sacar información de Europa, si ciframos el contenido obtenemos una seguridad de inviolabilidad, de la que otras empresas carecen. Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa”, apunta Pablo Fernández Burgueño, Abogado y Socio de Abanlex.
Recursos adicionales
Fuente:http://sophosiberia.es/9-de-cada-10-ayuntamientos-espanoles-son-vulnerables-a-los-ciberataques/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.