CCN

CCN aconseja que los password sean más largos

21 diciembre, 2018 por A. Muñoz

Ahora que se ha demostrado que el segundo factor de autenticación es lo más aconsejable a la vulnerabilidad de los sistemas protegidos sólo con clave, el CCN ha sacado una nueva versión de su anexo V de la guía 821 en lo relativo a normativa de seguridad donde nos explica como hacer claves/contraseñas más robustas. Cito a continuación el párrafo donde nos aconseja que las claves sean más largas para que el tiempo de descifrado, en casos de ataques de fuerza bruta, no tengan el efecto deseado por los ‘malos’:

“Utilizar la concatenación de varias palabras para construir contraseñas largas(passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo:“elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido, tales como “blue pigs do not piss”, “los tontos huelen amarillo”, “los de aquí son cortos de nariz”, “azulín, azulado, esta contraseña me la he inventado”. ”

Si deseas verificar la fortaleza de alguna clave Kaspersky tiene una herramienta donde puedes ver cuanto tiempo tardan en averiguarla con las herramientas de actuales de hacking, https://password.kaspersky.com/es/

Como consejo general cambia las contraseñas de vez en cuando.

Y por último si quereis ver si os han pirateado la cuenta leer este artículo de la revista computer hoy.

Aprobada definitivamente la ley de Protección de Datos con la polémica del tratamiento por parte de los partidos

26 noviembre, 2018 por A. Muñoz

NOTICIAS DE SEGURIDAD

Publicado el:
jueves, 22 noviembre 2018

El Pleno del Senado ha aprobado este miércoles definitivamente el Proyecto de Ley Orgánica de protección de datos personales y garantía de los derechos digitales, con el voto en contra de Unidos Podemos, Compromís, Nueva Canarias y Bildu, en medio de la polémica por el artículo ’58 bis’ sobre utilización de medios tecnológicos y datos personales en las actividades electorales de los partidos políticos.

El texto del Proyecto de ley ha salido adelante en la Cámara Alta tal y como se aprobó en el Congreso de los Diputados ya que PSOE y PP han rechazado todas las enmiendas que habían sido presentadas por Compromís, Ciudadanos, PDeCAT y Unidos Podemos – En Comú Podem – En Marea. La iniciativa legislativa comenzó su tramitación con el PP en el Gobierno. De este modo, sale directamente para su publicación en el Boletín Oficial del Estado (BOE) y su aplicación.

La polémica de esta ley ha surgido a raíz del citado artículo ’58 bis’ que establece que “la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Además, el nuevo artículo indica que “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”.

Europa Press (22/11/2018)

CCN-CERT

Ponencia BOCG-12-A-13-3

Abierto el plazo de inscripción de las XII Jornadas CCN-CERT

9 noviembre, 2018 por A. Muñoz

Publicado el:
jueves, 08 noviembre 2018

El evento tendrá lugar los días 12 y 13 de diciembre, en Madrid.
“Ciberseguridad, hacia una respuesta y disuasión efectiva”, lema bajo el que este año, la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, celebra sus duodécimas jornadas en las que se espera congregar a más de 2.000 expertos del mundo de la ciberseguridad.
El plazo de inscripción concluye el próximo 28 de noviembre y entre las principales novedades de esta edición se encuentran: el incremento de tres a cinco salas disponibles para la promoción de la ciberseguridad, la creación del track ATENEA-Rooted, que acogerá diversos talleres y ejercicios prácticos de ciberseguridad, y la internacionalización del evento, con ponentes e invitados de distintos países y continentes.

Madrid, 08 de noviembre de 2018.- Se ha abierto el plazo para inscribirse en las XII Jornadas STIC CCN-CERT, que bajo el lema “Ciberseguridad, hacia una respuesta y disuasión efectiva”, tendrán lugar los días 12 y 13 de diciembre en Kinépolis de Madrid (Ciudad de la Imagen). El evento, en el que se espera congregar a más de 2.000 personas, se ha consolidado como uno de los principales puntos de encuentro para expertos de ciberseguridad del país.

El CERT Gubernamental Nacional, con competencias en la gestión de ciberataques sobre sistemas clasificados y del sector público y de empresas y organizaciones de interés estratégico para el país, desea de este modo contribuir a la mejora de la ciberseguridad española, abordando temas como nuevas amenazas y ataques, ciberespionaje, intercambio de información, ENS, sistemas corporativos y sistemas de control industrial, herramientas de defensa en ciberseguridad, entre otros.

La solicitud de inscripción debe realizarse a través del formulario de la web de las Jornadas antes del 28 de noviembre. El evento es gratuito, aunque el acceso a las Jornadas está sujeto a la validación de la solicitud por parte de la organización. Tendrán preferencia, por este orden, el personal de organizaciones adscritas a alguno de los servicios del CCN-CERT (SAT, INES, LUCIA, REYES, etc.), los usuarios registrados en el portal, personal del Sector público, empresas de interés estratégico y patrocinadores; primando además, la diversificación de organizaciones.

Apoyo de la industria

Otra muestra de la consolidación de estas Jornadas es el apoyo recibido por 43 empresas y ocho entidades líderes en ciberseguridad que han patrocinado y colaborado en la organización de estas Jornadas. Todas ellas estarán presentes en el evento, con un espacio de exposición mayor que el de ediciones anteriores, para presentar sus últimas novedades en servicios y soluciones de seguridad.

S2 Grupo como patrocinador VIP, Innotec Security, an Entelgy company, como Diamante y Eset, Microsoft y Panda, como patrocinadores estratégicos encabezan la lista, seguida de Check Point, CSA, Fortinet, Grupo Ica, Ingenia, Minsait, Nunsys y Open Cloud Factory como Platinum. Por su parte, Aruba a Hewlett Packard, Autek, Akamai, Eulen Seguridad, Excem-Verint, Kaspersky, Palo Alto, Prosegur, Sidertia, Sophos, Telefónica y Tenable lo hacen en su modalidad Gold. Todas ellas contarán con un stand en el propio evento en el que mostrarán sus últimas novedades en materia de ciberseguridad.

Junto a ellas, y en la modalidad Silver, colaboran Aiuken, Audea, Audisec, Axians, GMV, Instituto CIES, Netskope, Mnemo, MTP, Realsec, Rubrik, S21 Sec-Nextel, SIA, Revista SIC, Smartfense, Sothis y Taisa, a las que se suma el patrocinio especial de Symantec.

Además de los patrocinadores, otras entidades, como asociaciones, fundaciones o medios de comunicación participan como entidades colaboradoras de las Jornadas. Entre estas: AEIciberseguridad, Colegio Oficial de Graduados en Ingeniería Informática e Ingenieros Técnicos de Asturias, Colegio Oficial de Ingenieros en Informática de Asturias, Cuadernos de Seguridad, CyberSecurity News, Fundación Círculo de Tecnologías para la Defensa y la Seguridad, ISACA Madrid Chapter; Planetic, Red Seguridad y Seguritecnia.

Más información:

XII Jornadas CCN-CERT

CCN-CERT (08/11/2018)

Guías prácticas de seguridad en dispositivos móviles: iPhone (iOS 11.x y iOS 12.x)

8 noviembre, 2018 por A. Muñoz

Publicado el:
miércoles, 07 noviembre 2018

Nuevas guías CCN-STIC-455C y CCN-STIC-455D, disponibles en la parte pública del portal del CCN-CERT
Las guías definen una lista de recomendaciones de seguridad para la configuración de dispositivos móviles basados en iPhone iOS 11.x y iPhone iOS 12.x cuyos objetivos son proteger el propio dispositivo, sus comunicaciones, y la información y datos que gestiona y almacena.
Asimismo, el documento revisa la actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, su acceso físico, el cifrado de datos, la gestión de certificados digitales y credenciales, así como la localización geográfica.

El CCN-CERT ha publicado en su portal las Guías Prácticas CCN-STIC-455C, de seguridad en dispositivos móviles: iPhone (iOS 11.x) y CCN-STIC-455D, de seguridad en dispositivos móviles: iPhone (iOS 12.x). En adelante, las guías de seguridad de dispositivos móviles de la serie 400 (Android o iOS) se denominarán guías prácticas.

En ambas versiones se definen una serie de recomendaciones de seguridad para la configuración de dispositivos móviles, basados en el sistema operativo iOS de Apple (empleado en dispositivos iPhone, iPad, y iPod Touch, en sus diferentes variantes) y, en concreto, están centrados en las versiones 11.x y 12.x, con el objetivo de reducir su superficie de exposición frente a ataques de seguridad.

Los documentos analizan, de manera exhaustiva, el procedimiento de actualización del sistema operativo, su modelo y arquitectura de seguridad, la gestión empresarial de estos dispositivos, el cifrado de datos y la localización geográfica, entre otras cuestiones. Además, explican el modo seguro de empleo de los distintos tipos de comunicaciones a través de estos dispositivos: comunicaciones USB, NFC1, Bluetooth, Wi-Fi, mensajes de texto (SMS), voz y datos o TCP/IP2.

Del mismo modo, ambas Guías incluyen un Decálogo Básico de Seguridad de IOS 11 y 12 respectivamente.

CCN-CERT (07/11/2018)

Medidas de seguridad compensatorias en el Esquema Nacional de Seguridad

9 octubre, 2018 por A. Muñoz

Publicado el:
jueves, 04 octubre 2018

Nueva Guía CCN-STIC-819 del Centro Criptológico Nacional.
El objetivo de esta guía es servir de ayuda a las entidades del ámbito de aplicación del ENS en la determinación e implantación de las medidas compensatorias cuando no sea posible la adecuada implantación de las medidas de seguridad contempladas en el Esquema.

El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 819. Medidas compensatorias’, donde se recogen una serie de medidas de seguridad alternativas cuando no sea posible la adecuada implantación de aquellas contempladas en el Anexo II del Esquema Nacional de Seguridad, siempre y cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.

La guía pretende servir de ayuda a las entidades del ámbito de aplicación del ENS que por diversos tipos de razones (técnicas, operativas, presupuestarias o de otro tipo), y debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las medidas de seguridad contempladas en el ENS.

El documento recoge el ámbito de aplicación de estas medidas compensatorias, un cuadro de comprobación de dichas medidas, la evaluación y auditoría, así como las referencias legales y normativas, junto con algunos escenarios a modo de ejemplo.

CCN-CERT (04/10/2018)

Guía CCN-STIC 819. Medidas compensatorias