🛡 GuardianDigital - 04 junio
CheckPoint Bajo Ataque; Vulnerabilidad en: redes LTE, SkyBridge y Veritas; Brecha de datos en: Google; Regulación de ciberseguridad; Reporte obligatorio de incidentes de ciberseguridad; IA Responsable
🦠Amenazas
Check Point advierte sobre vulnerabilidad crítica en VPN bajo explotación activa
El proveedor de software de ciberseguridad Check Point ha solicitado a sus clientes a actualizar su software debido a una vulnerabilidad de día cero (CVE-2024-24919, CVSS 8.6) que está siendo explotada activamente. Detectaron intentos de inicio de sesión en entornos VPN de algunos clientes, descubriendo que los atacantes utilizaban cuentas VPN locales con autenticación solo por contraseña, un método no recomendado. La vulnerabilidad afecta a varios productos de Check Point, como CloudGuard Network y Quantum Security Gateways. La explotación exitosa puede permitir a los atacantes acceder a información sensible y moverse lateralmente con privilegios de administrador de dominio. Check Point y Mnemonic, una firma de inteligencia de amenazas, han observado que esta vulnerabilidad permite a los actores de amenazas recuperar todos los archivos del sistema de archivos local, incluidas claves SSH y hashes de contraseñas. Los parches están disponibles y se recomienda la implementación de autenticación multifactor (MFA) y la revisión de cuentas VPN innecesarias. (The Register)
🚨Vulnerabilidades
CVE-2023-43551 (CVSS 9.1): Problema criptográfico en redes LTE
Una vulnerabilidad criptográfica en las redes LTE permite que una estación base falsa omita la fase de autenticación y envíe inmediatamente el Comando de Modo de Seguridad. Esta falla, con un puntaje CVSS de 9.1, puede resultar en el acceso no autorizado a información sensible. Security Database.
CVE-2024-32850: Falla crítica en routers SkyBridge
Una grave vulnerabilidad en varios modelos de routers SkyBridge de Seiko Solutions permite a los atacantes ejecutar comandos remotos o ganar acceso administrativo no autorizado. Las versiones afectadas incluyen MB-A100/MB-A110 firmware 4.2.2 y anteriores, y MB-A130 firmware 1.5.5 y anteriores. Se recomiendan actualizaciones inmediatas o deshabilitar la función de monitoreo remoto como medida de mitigación. Security Online.
CVE-2024-35204: Vulnerabilidad en Veritas System Recovery
Una vulnerabilidad de alta severidad en Veritas System Recovery permite a usuarios con bajos privilegios crear archivos en ubicaciones arbitrarias, pudiendo causar denegación de servicio o manipulación de servicios esenciales. Veritas ha lanzado un hotfix (860045) para abordar este problema. Security Online.
🧨Brechas de Seguridad
Google confirma fuga de 2,500 documentos internos sobre su algoritmo de búsqueda
Google ha confirmado la filtración de 2,500 documentos internos que revelan información sobre su algoritmo de clasificación de búsquedas. SEO expertos Rand Fishkin y Mike King descubrieron la fuga, que muestra que Google considera el número de clics al clasificar páginas web, contradiciendo sus afirmaciones anteriores. Aunque Google advierte que la información podría estar descontextualizada o desactualizada, el incidente destaca la complejidad de su algoritmo y plantea preocupaciones sobre la seguridad de información sensible. La filtración ocurre en un momento de intenso escrutinio sobre las prácticas de Google, y su respuesta subraya la importancia de la transparencia y la seguridad en el manejo de algoritmos que influyen en el comportamiento en línea. (CySecurity News)
💡Tendencias de Seguridad
Regulación de ciberseguridad del NYDFS: Bloqueo automático de contraseñas comunes
El Departamento de Servicios Financieros de Nueva York (NYDFS) ha actualizado su regulación de ciberseguridad (23 NYCRR Parte 500), introduciendo requisitos más estrictos para grandes licenciatarios conocidos como “Empresas Clase A”. Una medida notable es el bloqueo automático de contraseñas comúnmente usadas, aplicable a todas las cuentas en sistemas de información controlados por estas empresas. Este requisito, que entró en vigor el 29 de abril de 2024, busca prevenir el uso de contraseñas débiles y mejorar la seguridad general. Las empresas deben implementar métodos automatizados para bloquear estas contraseñas y realizar auditorías regulares para asegurar el cumplimiento. (Security Boulevard)
Ejecutivos de firma de datos condenados por ayudar a estafadores a apuntar a personas mayores
Dos ejecutivos de Epsilon Data Management LLC, Robert Reger y David Lytle, fueron condenados por vender datos de millones de estadounidenses a perpetradores de esquemas de fraude postal. Utilizando datos transaccionales de clientes de marketing, los acusados predecían nuevos "compradores receptivos" y vendían estas listas a estafadores. Las listas contenían información personal detallada, utilizada para engañar a individuos con promesas falsas. El esquema duró diez años y resultó en la pérdida de grandes sumas de dinero por parte de cientos de miles de estadounidenses. La condena incluye múltiples cargos de fraude postal y electrónico, con una sentencia máxima de 20 años por cada cargo. (Bleeping Computer)
Reporte obligatorio de incidentes de ciberseguridad: El amanecer de una nueva era para los negocios
A partir de 2024, las organizaciones deberán reportar incidentes de ciberseguridad y pagos de ransomware al gobierno federal según una nueva normativa de la CISA del Departamento de Seguridad Nacional de EE.UU. (DHS). Esta normativa, que se espera entre en vigor a principios de 2026, requiere que las "entidades cubiertas" reporten incidentes dentro de las 72 horas y pagos de ransomware dentro de las 24 horas. Esta iniciativa busca ayudar a CISA a asistir rápidamente a las víctimas, analizar tendencias y compartir información crucial para prevenir futuros ataques. Las empresas deben prepararse revisando sus programas de seguridad y planes de respuesta a incidentes. (JD Supra)
NIST recurre a consultores para despejar acumulación en la Base de Datos Nacional de Vulnerabilidades
NIST ha ampliado un contrato con Analygence para abordar un creciente retraso en su Base de Datos Nacional de Vulnerabilidades (NVD). Desde febrero, la acumulación de CVE ha superado la capacidad de NIST para procesar las presentaciones. Analygence ayudará a NIST a volver a su ritmo de procesamiento anterior, esperando ponerse al día para finales del año fiscal 2024. Esta situación refleja un aumento en el software y, por ende, en las vulnerabilidades. (The Register)
Legisladores solicitan al Pentágono a diversificar proveedores de ciberseguridad
Estadounidenses han expresado su preocupación por los planes del Departamento de Defensa (DoD) de aumentar su inversión en productos de Microsoft, a pesar de varios incidentes de ciberseguridad. Los senadores Ron Wyden y Eric Schmitt enviaron una carta al CIO del DoD, John Sherman, argumentando que la dependencia excesiva de un solo proveedor puede aumentar vulnerabilidades y riesgos para la seguridad nacional. Los legisladores abogan por un enfoque multi-proveedor que fomente la competencia y la innovación. Esta carta sigue a informes que critican las fallas de seguridad de Microsoft después de ataques exitosos por hackers chinos y rusos. BankInfoSecurity.
🤖Inteligencia Artificial
La IA Responsable: Un Futuro Ético y Seguro
La IA se ha vuelto esencial en la vida diaria y, al igual que los humanos, debe seguir principios éticos. La IA Responsable asegura que los sistemas sean justos, seguros y transparentes, protegiendo la privacidad y evitando la discriminación. Empresas como Microsoft e IBM implementan reglas estrictas para garantizar un uso ético de la IA, construyendo confianza y mejorando la eficiencia operativa. (Medium)