Descubre si tu web es legal en este taller en Flagship de Telefónica
Si tienes un negocio, ya conoces la importancia de tener una página web para dar la máxima difusión de tus productos o servicios vía internet, conseguirás más ventas y notoriedad en redes sociales. Pero te has planteado alguna vez si tu web cumple con la normativa legal. Telefónica te ofrece la oportunidad de asistir gratuitamente a este taller ¿Qué necesita mi web para ser legal? dónde podrás descubrir todos los detalles sobre legalidad. ¿Qué contenidos se imparten? En ella se repasarán todos los aspectos legales y la mejor forma de iniciar una actividad online, desde el comercio electrónico, a la protección de datos, la propiedad intelectual o las posibles sanciones o motivos de cierre de una plataforma. ¿Dónde se imparte el taller? En Gran Vía, nº 28 en Madrid, en la céntrica Flagship Store de Telefónica. ¿Fecha del taller? El próximo día 19 de mayo de 11:30 a 14h. Debes registrarte cuanto antes en este enlace. ¡Te esperamos!¿Sabes cómo proteger la web de tu empresa? Descúbrelo con la solución WAF
Esta semana nos gustaría haceros eco del lanzamiento de un nuevo producto de Telefónica para empresas llamado WAF Gestionado (Web Application Firewall). Se trata de un Firewall de Aplicaciones o sitios Web con funcionalidades enriquecidas orientado a proteger tus sitios Web o negocio online ante ataques habituales que puedan comprometer la disponibilidad y/o la seguridad de la información de tu empresa. Sabemos que abrir tu negocio al mundo online, supone abrir las puertas de tu empresa a Internet y por ello, se debe extremar al máximo la precaución acerca de seguridad. A diferencia de un negocio físico o de oficina, los delincuentes electrónicos son rápidos e invisibles en la búsqueda de información de clientes, especialmente interesados en la información de tarjetas de pago. Pero no sólo los hackers están interesados en conseguir un beneficio económico, sino también en comprometer la disponibilidad y evidenciar la falta de seguridad de tu negocio, generando problemas de confianza a tus clientes o reputación. En definitiva hablamos de problemas como caída de tu servicio o mal funcionamiento, robo o fuga de información corporativa o de clientes, fraude, etc. Sobre esto, existe la falsa creencia bastante extendida de que cualquier empresa que deposite su página web en un proveedor de hosting, tiene garantizada la protección contra este tipo de ataques, y que está en cierto modo cubierta por dicho servicio, pero esto no es así. En la mayoría de la oferta de provisión de servicios de hosting, la funcionalidad de protección ante ataques de Aplicación Web no está incluida. ¿Y qué son los ataques de aplicación Web? Los ataques de aplicación Web son ataques dirigidos que aprovechan agujeros o fallos de seguridad en la programación o código de páginas Web (o hacia los Sistemas Operativos o servicios Web que corren en sus servidores) de tal manera que a través de las peticiones o transacciones Web HTTP o HTTPs (pensemos por ejemplo en una compra en una tienda on-line) los hackers son capaces de generar respuestas de comportamiento anómalo no deseado y provocar perjuicios como los mencionados antes (como por ejemplo acceder a una información de otros clientes en una base de datos que puede estar detrás de tu tienda on-line). El servicio WAF Gestionado de Telefónica actúa como un escudo de filtro de tráfico entre tus clientes y tus sitios Web protegiendo de ataques el tráfico que llega a tus servicios Web. Además es un servicio en la nube, de pago mensual y gestionado por nuestros expertos en Ciberseguridad (desde el Centro de Operaciones de Seguridad de Telefónica) lo que permite proteger cualquier tipo de sitios o aplicaciones Web, tanto si se encuentran en tus instalaciones, como en las de tu proveedor de hosting en la nube (como Telefónica, Amazon Web Services, Microsoft Azure, etc.), y olvidarte de operar este tipo de solución que en muchos casos es difícil de asumir por las propias empresas e incluso por sus departamentos de IT debido a su complejidad técnica. Si estás interesado en este servicio, necesitas asesoramiento o conocer más información sobre el mismo, te invitamos a que contactes con Telefónica a través de tu agente comercial o desde los diferentes servicios de atención de la compañía (web de servicios de Seguridad a Empresas o nuestro servicio de Atención al cliente) y te ayudaremos.Boletín semanal nº 31 Noticias Seguridad en Comunidad Movistar Empresas
* 1 de cada 5 páginas web utiliza certificados vulnerables, según revela Venafi Según la información del último estudio de la compañía de ciberseguridad Venafi, el 21% de todas las páginas web analizadas continúan empleando certificados como el SHA-1, que son vulnerables frente a ataques “man-in-the-middle”, de fuerza bruta o de colisión. Este tipo de ataques pueden implicar el acceso no autorizado a datos sensibles y de carácter personal de los usuarios. Nuevo ataque masivo infecta a servidores de bancos, gobiernos y multinacionales. http://www.ticbeat.com/seguridad/1-de-cada-5-paginas-web-utiliza-certificados-vulnerables-segun-revela-venafi/ * Los nuevos retos en ciberseguridad contados por Chema Alonso Es conocido por todos la importancia de la ciberseguridad para las empresas. Cada vez son más los negocios que sufren ataques informáticos de algún tipo dado el auge de esta tendencia, por lo que muchas empresas han decidido poner solución frente a estos posibles ataques a fin de evitar estas acciones. Uno de los principales inconvenientes, es la falta de personal capacitado para proteger la información, aunque cada vez son más los profesionales especializados en seguridad. Para más información os dejamos este vídeo de Chema Alonso. http://cincodias.com/cincodias/2017/03/22/tecnologia/1490194082_115020.html * Es Posible hackear teléfonos mediante ondas sonoras Un grupo de investigadores de seguridad en ordenadores de la Universidad de Michigan, en Carolina del Sur, ha descubierto una vulnerabilidad en los smartphones que permite que éstos sean hackeados haciendo uso de ondas sonoras. En una prueba realizada por los mismos investigadores, éstos fueron capaces de hacerse con el control del acelerómetro, un componente utilizado tanto en teléfonos móviles, como en pulseras de deporte o automóviles, mediante unos determinados archivos de audio que hicieron sonar. http://blog.elhacker.net/2017/03/es-posible-hackear-telefonos-mediante-ondas-sonoras.html * Telegram vs WhatsApp Web Telegram afirma que no es vulnerable al ataque que sí afecta a WhatsApp Web. Quizás recuerdes nuestra noticia asegurando que las cuentas de WhatsApp y Telegram podrían estar en peligro, gracias al envío de una imagen maliciosa transmitida hacia la versión web de tu cuenta en las dos apps de mensajería más usadas en el mundo. https://voltaico.lavozdegalicia.es/2017/03/telegram-no-vulnerable-ataque-whatsapp-web-confusion/ * NoSQL INSecurity: Preview and Basic Attacks Cuando hablamos de bases de datos NoSQL, lo primero que pensamos es en rendimiento, flexibilidad y escalabilidad, las características propias y necesarias de las bases de datos utilizadas por los gigantes de Internet como Adobe, Amazon, Ebay, Twitter, Google, Netflix. Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos. Ahora, ¿Cómo hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)? http://www.hacking4badpentesters.com/2017/03/nosql-insecurity-attacks-and-protection.html * Pwn2Own 2017 con exploits para Adobe, Apple, Microsoft, Mozilla, Ubuntu y VMware El concurso anual de hackers patrocinado por Zero Day Initiative (ZDI) y Trend Micro, ha establecido un récord de exploits exitosos, registrando 17 intentos con 11 exitosos. El récord se produjo en el segundo día del evento, que este año celebra su décimo aniversario. En total, los concursantes recibieron U$S340.000 y 97 puntos de Master of Pwn por la investigación del día. Según el blog de Trend Micro, Track A se centró en los productos de Adobe y Microsoft y dio como resultado el lanzamiento de exploits exitosos sobre Adobe Flash, Microsoft Edge y Microsoft Windows. ZDI otorgó U$S220.000 y 60 puntos de Master of Pwn a los concursantes de Track A. En el día 1, los concursantes recibieron U$S 233.000 y 45 puntos, con cinco intentos exitosos (y 20 errores), un éxito parcial, dos fracasos y dos entradas retiradas. https://www.infosecurity-magazine.com/news/pwn2own-2017-sets-record-on-day-2 * 0-Day para más de 300 modelos de Switch Cisco IOS/IOS XE (Desactiva Telnet) La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. La falla identificada como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo. https://arstechnica.com/security/2017/03/a-simple-command-allows-the-cia-to-commandeer-318-models-of-cisco-switches/ * Security Awareness según la ISO/IEC 27001:2013 Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie. http://blog.smartfense.com/2017/02/security-awareness-segun-iso-27001.html * EE UU acusa a espías rusos del robo masivo de datos sufrido por Yahoo El Departamento de Justicia de Estados Unidos tiene ya montada la batería de cargos penales contra los responsables del asalto masivo informático que hace tres años puso al descubierto los datos personales de más de 500 millones de usuarios de Yahoo. Washington confirma que detrás de uno de los robos de datos más graves de la historia hay cuatro hackers, de los que dos pertenecen a los servicios de espionaje de Rusia. Actuaron para enriquecerse con esa información. Los cuatro acusados son Dmitry Aleksandrovich Dokuchaev, Igor Anatolyevich Sushchin, Alexsey Alexseyevich Belan y Karim Baratov. Los dos primeros son funcionarios de la FSB, el sucesor de la temida KGB. Los investigadores estadounidenses aseguran que actuaban en nombre de la agencia y explican que trabajan en la unidad de información conocida como Centro 18, que hace de enlace con el FBI en asuntos relacionados con la cibercriminalidad. http://internacional.elpais.com/internacional/2017/03/15/actualidad/1489590898_242085.html * Wikileaks desclasifica el programa de hackeo global de la CIA Wikileaks acaba de realizar una acusación bastante grave en la cual acusa a la CIA (Agencia Central de Inteligencia) de llevar a cabo un proyecto de hackeo a nivel global en el cual productos triviales como celulares y televisores se utilizaban como micrófonos ocultos. La situación es llamada Year Zero por parte de Wikileaks y en el comunicado de prensa indican que "la CIA perdió el control de la mayoría de su arsenal de hackeo que incluye malware, virus, troyanos, exploits tipo 'dia cero' convertidos en armas y la documentación asociada". Con "Year Zero", Wikileaks espera dar a conocer "el alcance y la dirección del programa de hackeo global de la CIA". https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/tty.git/commit/?h=tty-linus&id=82f2341c94d270421f383641b7cd670e474db56b
