Radar

EL MAGAZINE DE
CIBERSEGURIDAD DE EVERIS
NÚMERO 54 | MAYO 2021
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
 Asegurando la ciberseguridad
Durante el 2020 los ciberataques sufridos han sido cada vez más sofisticados
y diseñados con un objetivo específico: provocar que las compañías que los
reciben tengan importantes pérdidas económicas, daños reputacionales o fugas
de información confidencial. Como consecuencia de ello, importantes compañías
han puesto de manifiesto la debilidad en sus sistemas de protección digital.

Con la aceleración de la deslocalización de los puestos de trabajo, puesta en

relieve durante pandemia, muchas compañías han tomado un papel activo en
su protección contra amenazas diseñadas para las nuevas características de
esta forma de trabajar, como es usar el equipo fuera del contexto corporativo o
laboral, conectarse a redes que pueden estar comprometidas o no disponer de
las últimas actualizaciones de seguridad.

Existe una gran preocupación sobre las amenazas que provocaron que grandes
organizaciones tuvieran que activar sus planes de contingencia para poder
seguir con su actividad. No se debe bajar la guardia y las compañías deben
seguir invirtiendo en mejorar los procesos y sistemas de protección y mitigación
de riesgos.

Acciones imprescindibles para minimizar estos riesgos van desde disponer de un

programa de concienciación en seguridad para todos los empleados, ampliar el
perímetro de seguridad abarcando a proveedores, agentes externos u oficinas
de atención al cliente; hasta contar con las últimas actualizaciones de antivirus,
firewalls, sistemas operativos; y las herramientas para poder interceptar un posible
ataque, además de disponer de herramientas de monitorización, recuperación y
respuesta ante incidentes; y de un plan de continuidad del negocio testeado y
efectivo de cara a poder actuar ante situaciones de crisis.

Los ataques son cada vez más devastadores, por lo que lograr un alto grado de
resiliencia en materia de infraestructura IT es una de las claves para sobrevivir
con éxito a cualquier incidente de estas características.

Maribel Patón Pérez

Responsable de riesgos de ciberseguridad en everis

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
2
 CIBERCRÓNICA
Abril comenzó con una importante fuga de información, en la que
alrededor de unos 533 millones de usuarios de Facebook vieron sus
datos comprometidos tras la publicación de su perfil en un famoso foro de
ciberdelincuentes.

A través de una vulnerabilidad que presentó la aplicación en 2019,

actualmente resuelta, los ciberdelincuentes recopilaron información de
los perfiles de los usuarios, entre los cuales se encontraba su número
de teléfono, nombre completo, dirección de correo, ciudad, país o ID de
Facebook, entre otros. Entre la información divulgada también aparecieron
expuestos los números de teléfono de Mark Zuckerberg, CEO de la
compañía, y de sus cofundadores.

“GitHub está investigando una

serie de ataques contra su
infraestructura”
Continuando con la fuga de datos, LinkedIn fue víctima de una fuga
masiva de información en la que se filtraron cuatro ficheros que
incluían contenido de más de 500 millones de usuarios de la
aplicación. Estos datos fueron puestos a la venta en un foro, y para
demostrar la veracidad de estos, los ciberdelincuentes colocaron alrededor
de 2 millones de registros en línea. Dentro de la información expuesta se
encontraban los nombres completos, direcciones de correo, lugares de
trabajo y números de teléfono de los usuarios.

En lo referente a malware móvil, investigadores de seguridad han

descubierto uno para Android distribuido a través de la tienda de Google
Play. Se enmascaraba como la aplicación de Netflix bajo el nombre
de “FlixOnline”. Una vez que el usuario otorgaba permisos a la aplicación,
ésta respondía de manera automática a los mensajes recibidos de la
aplicación Whatsapp con el contenido recibido de un servidor remoto C&C
(Command and Control).

Una infección exitosa podría extender el malware a través del envío de

enlaces maliciosos vía Whatsapp, mediante los contactos y grupos de la
víctima, además de obtener información de su cuenta.

Siguiendo con la parte móvil, Avast descubrió más de 200 aplicaciones en Google Play y Apple Store de
tipo fleeceware, las cuales han obtenido alrededor de 400 millones de dólares de ganancias. Este
término es bastante nuevo, tuvo su origen en el año 2019 de la mano de la empresa de ciberseguridad Sophos,
definiéndose como un tipo de aplicación móvil con malware que contiene tarifas de suscripción excesivas y
ocultas. La trampa consistía en atraer a los usuarios con pruebas gratuitas de un breve periodo de tiempo,
normalmente menos de una semana, y al finalizar la prueba se les cobra una tarifa de manera recurrente, a pesar
de que hayan desinstalado la aplicación. Para detener esta estafa habría que cancelar la suscripción en la tienda
de aplicaciones del dispositivo.

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
3
 Si el mes pasado el parlamento noruego se vio afectado por un ciberataque, este mes es el turno del parlamento
alemán. El ataque consistió en una campaña de Spear Phishing contra los distintos miembros del
parlamento, gracias a ello pudieron obtener al menos 38 cuentas, de las cuales 7 pertenecían a miembros del
parlamento central y 31 miembros de los parlamentos regionales alemanes. Esta amenaza persistente avanzada
(APT por sus siglas en inglés) atribuida al servicio de inteligencia ruso, destaca especialmente por tener el foco
puesto en los órganos de gobiernos de otras naciones, así como partidos políticos, atribuyéndose a estos varios
casos de ataques contra parlamentos y otros llevados a cabo contra los demócratas estadounidenses.

En otro orden de cosas, un joven de 22 años del estado norteamericano de Kansas ha sido acusado por
acceder sin autorización al sistema informático de una instalación pública de agua, poniendo en peligro
la seguridad y la salud de los residentes de la comunidad. “Al manipular ilegalmente un sistema público de agua
potable, el acusado amenazó la seguridad y la salud de toda una comunidad”, afirmó Lance Ehrig, agente especial
a cargo de la División de Investigación Criminal de la Agencia de Protección Ambiental (EPA) en Kansas.“La EPA y
sus socios encargados de hacer cumplir la ley están comprometidos a respetar las leyes diseñadas para proteger
nuestros sistemas de agua potable de daños o amenazas de daños. La acusación de hoy envía un mensaje claro
de que las personas que violen intencionalmente estas leyes serán procesadas enérgicamente”. La acusación no
especifica si el ataque tuvo éxito o cómo se detectó. Si finalmente es declarado culpable, se enfrenta hasta 25
años en una prisión federal y una multa de 500.000 dólares.

Continuamos la cibercrónica con una noticia acerca de una ejecución de código no deseada, en concreto
realizada en GitHub, el servicio de alojamiento de repositorios de código, que está investigando una
serie de ataques contra su infraestructura que habrían permitido a criminales usar sus servidores para
minado de criptomonedas. Desde finales de 2020 se vienen realizando estos ataques, y se aprovechan de
Github Actions, una característica que permite a los usuarios ejecutar flujos de trabajo de forma automática en
respuesta a un evento generado en un repositorio.

El vector de ataque comienza con la realización de un fork de un repositorio legítimo, y la creación de un flujo de
trabajo malicioso de Github Actions. Finalmente, se crea una solicitud al repositorio original de que acepte los
cambios realizados (Pull Request), momento en el que se desencadena la acción, se procesa el código malicioso
del atacante y se lanza una máquina virtual que descarga y ejecuta software de minado de criptomonedas.
GitHub está al corriente de esta actividad y, a falta de una solución definitiva, está eliminando las cuentas de
usuarios sospechosos.

Acabamos la sección comentando otra noticia relacionada con la ejecución de código, en este caso, ha sido
publicada una importante actualización de seguridad para abordar dos vulnerabilidades en el hipervisor
de alto rendimiento Citrix Hypervisor, identificadas como CVE-2021-28038 y CVE-2021-28688. Estas
podrían ser aprovechadas y explotadas por un atacante para ejecutar código privilegiado en una máquina virtual
invitada y desencadenar una denegación de servicio en el host.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
4
 Ransomware, el ataque que
todos temen
By: everis Ciberseguridad

Durante el último año, los ataques de tipo ransomware han ido

incrementándose de forma sustancial. Bien es conocida por todos
una de sus últimas víctimas, los sistemas del Servicio Público de
Empleo Estatal en España (SEPE) aunque de sobra es conocido
internacionalmente, en este artículo haremos un breve repaso por el
estado del arte, los vectores de ataque del ransomware Ryuk y cómo
implementar una solución de detección y respuesta.

Estado del arte

Según el propósito y misión del ataque de un ransomware, existen tres tipos de
modelos de negocio:
1. Ransomware as a Service (RaaS).
2. Ransomware personalizado.
3. Secuestro y filtración.
Se conoce como Ransomware as a Service (RaaS) aquel modelo basado
en la suscripción, permitiendo a los suscriptores utilizar las herramientas de
ransomware ya desarrolladas con la finalidad de ejecutar ataques sin que dichos
subscriptores se vean en la necesidad de desarrollarlo. Este modelo de negocio
tiene como objetivo principal sacar rentabilidad con el pago del rescate.
Por su parte, los ransomware personalizados son aquellos creados para un único
objetivo determinado y por lo general, suelen encriptar los datos (secuestrarlos)
y exigir un pago para el descifrado de los datos (rescate).
Por último, el modelo basado en el secuestro y filtración se basa en conseguir
dinero con la peculiaridad de amenazar a la víctima con llevar a cabo una
revelación de su información.
Vectores de ataque
Se conoce como vector de ataque a todo método basado en una amenaza
cuya finalidad está centrada en atentar un sistema de información, causando un
impacto negativo en la organización. En concreto, las vías de ataques utilizadas
por los diversos tipos de ransomware no se diferencian respecto al resto de
categorías de código dañino. Por lo tanto, hay que considerar que mediante
cualquier método de entrada se puede atacar a una organización.
A continuación, de forma esquemática, describimos algunos de los métodos de
infección más utilizados en la actualidad junto con su finalidad:
Phishing mediante correo electrónico
En el año 2020, el 92 % de los ataques producidos fueron mediante correo
electrónico. Estos ataques son conocidos como phishing e intentan engañar al
usuario mediante un correo electrónico para que ejecute un fichero adjunto con
el uso de ingeniería inversa.
Existe otra variante del phishing que en lugar de provocar que el usuario se
descargue el fichero adjunto, los atacantes le redirigen a una web que mediante
inyecciones, consiguen de manera dinámica modificar el site específico para
realizar el ataque.

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
5
Dispositivos externos Aunque son ataques enormemente peligrosos, según
las investigaciones que ha realizado Proofpoint, se ha
Aunque son pocos frecuentes, no hay que olvidar que las
determinado que en torno a algo menos del 1% del total de
memorias USB pueden ser un posible vector de ataque
los ataques son sin interacción del usuario.
si el usuario es engañado. Gracias al uso de los archivos
«autorun.inf», un dispositivo infectado puede ejecutar Por medio de otro malware
automáticamente el ransomware e infectar dicho dispositivo.
Es bastante común que la vía de entrada de software
Es cierto que dicho archivo sólo se ejecuta en Windows, sin
malicioso al equipo se produzca mediante otro malware,
embargo dicho sistema operativo es el instalado y utilizado
previamente instalado.
en todos los dispositivos de los usuarios finales.
A su vez, es muy común que los programas destinados al
Web Exploit Kits
pirateo de software comercial estén infectados. En un primer
Cada vez es más frecuente escuchar que mucho de momento, puede parecer que dichos archivos realizan
los navegadores que utilizamos diariamente contienen correctamente su función, pero es en estos casos donde
vulnerabilidades. Tal es el caso que en el año 2020 se podría no detectarse el malware acoplado, pues el software
descubrieron un total de 18.355 vulnerabilidades en estas logra efectivamente funcionar y paralelamente infectar el
plataformas, de las cuales 2.762 se catalogaron como riesgo sistema.
bajo, 11.209 como riesgo medio y 4.384 fueron clasificadas
Por último, también puede producirse la infección por medio
como riesgo alto, suponiendo un fuerte vector de entrada
de un fichero adjunto. Esto suele realizarse cuando la víctima
para el atacante.
abre un archivo corrompido que desencadena la ejecución
Servicios RDP del código dañino, suele darse en correos electrónicos.
Se trata de un protocolo desarrollado por Microsoft que El último actor en escena
permite la comunicación en la ejecución de una aplicación
El ransomware Ryuk ya ha sido protagonista de varios
entre una terminal y un servidor Windows.
ataques a lo largo de estos dos últimos años.
Tras un aumento significativo del teletrabajo durante el último
En 2019, el ayuntamiento de Jerez de la Frontera (España)
año (de 2019 a 2020 se habla de un incremento del 316,79
fue atacado por este tipo de ransomware, dejando el
%), muchas compañías han optado por la integración de los
consistorio bloqueado y paralizando un gran número de
escritorios remotos como medio para poder continuar de
gestiones cotidianas. Se exigía un rescate de los datos para
manera normal con el trabajo del día a día.
poder liberar la información secuestrada.
Con ello, se ha producido también un incremento de
En septiembre de 2020, un hospital universitario en
un 242 % de los ataques a RDP con respecto al pasado
Dusseldorf (Alemania) fue atacado por ransomware, lo que
año, sumando a la aparición de nuevos malware como el
detuvo el sistema de salud del hospital y contribuyó a causar
TrickBot y con meses como en marzo de 2020, con más de
el fallecimiento de un paciente mientras estaba en tránsito.
19 millones de ataques a RDP. Es indudable que estamos
ante una situación en la que debemos de fortificar lo máximo En febrero de 2021 el Servicio Público de Empleo Estatal
posible este tipo de conexiones. (SEPE) fue atacado por Ryuk, al paralizar la operativa diaria
de este organismo, provocando así una gran preocupación
Ataques sin interacción del usuario
en la sociedad al pensar que estarían comprometidas las
Son ataques que se realizan sin que el usuario intervenga prestaciones y datos personales de muchos ciudadanos.
en ningún momento. Estos tipos de ataques son muy
El 30 de marzo de 2021, el Instituto Nacional de
peligrosos porque debido a que la interacción es nula no
Ciberseguridad de España (INCIBE) informaba mediante
suelen mostrar ninguna alerta o ventana, lo que dificulta la
una alerta temprana de un nuevo caso de ransomware en
tarea de determinar cuándo se realizó la infección.
la administración pública, en concreto, un ciberataque por el
Desde finales de 2017 se han empezado a utilizar métodos que parte de los sistemas de tecnologías de la información
en los que la ingeniería social ya no es necesaria, como por del Ayuntamiento de Castellón dejaron de estar en servicio,
ejemplo el uso de exploits (programas que se aprovechan así como su sede electrónica, su portal tributario y la página
de una inseguridad para poder ejecutar código arbitrario) en web municipal. Los atacantes habrían conseguido sustraer
los propios documentos ofimáticos que se ejecutan con la y filtrar finalmente un total de 119 gigabytes de información.
simple apertura de este, sin necesidad de activar macros.
A destacar de otros ransomware, Ryuk, en su ataque,

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
6
tiene una intención clara de terminar con los servicios Por último, para conseguir pasar el archivo binario y
«Audioendpointbuilder» (Windows Audio Endpoint Builder) propagarse por cada máquina identificada, el ransomware
y «Samss» (Security Accounts Manager), en dicho orden, realiza peticiones SMB intentado acceder de forma iterativa
usando el comando net stop. a las unidades públicas, probando desde la A$ hasta la Z$.
Se desconoce exactamente a qué puede ser debido y el Cómo implementar una solución de detección y respuesta
objeto de querer <<matar>> el primero de los dos procesos
La integridad, como dimensión de la seguridad, es la
(«Audioendpointbuilder»). Se intuye que puede ser debido
propiedad o característica que nos dice que un activo de
a dos posibles razones según la finalidad del ransomware:
información no ha sido alterado de manera no autorizada.
• La primera, se basa en que intenta matar a un
Debido a la frecuencia cada vez más alta con respecto a
servicio para comprobar si el sistema detecta algún
los ataques de tipo ransomware, es crucial implementar
comportamiento extraño, y acto seguido, ejecutar el
mecanismos de detección y respuesta que puedan prevenir
proceso que realmente interesa. Dicho comportamiento
muchos tipos de amenazas contra la integridad de los
es similar a cuando se roba una tarjeta de crédito:
datos. Algunos de estos riesgos se pueden reducir mediante
primero se comprueba la efectividad del robo con una
el uso de una serie de capacidades, como la supervisión
cantidad irrisoria para que no se levante sospecha
de la integridad, la detección de eventos, la gestión de las
alguna y de forma posterior se pasa a ejecutar la acción
vulnerabilidades, las capacidades de generación de informes
que realmente interesa.
y la mitigación y contención.
• La segunda razón, se piensa que en vez de basarse en
Basado en NIST Special Publication 1800-26, la arquitectura
comprobar si el sistema detecta algún comportamiento
de alto nivel se compone de las siguientes capacidades:
sospechoso, se basa en los patrones de texto, ya que
quizás internamente el Ryuk quiere matar todo servicio • Supervisión de la integridad, que proporciona
que contenga «endpoint» con la intención de eliminar capacidades para comparar los estados actuales del
cualquier tipo de antivirus que exista. sistema con las líneas base establecidas.
La segunda peculiaridad que destacar del ransomware • Detección de eventos que otorgan capacidades para
es su función de propagación lateral, a modo de gusano, detectar eventos en curso y se puede componer
sobre los recursos compartidos de las máquinas vecinas. de detección de intrusiones, detección de malware,
Para ello hace uso de la caché ARP, apoyándose en la API detección de anomalías de usuarios y otros, dependiendo
GetIpNetTable y por cada dirección que se encuentre en del modelo de amenaza establecido de la organización.
dicha caché ARP envía paquetes Wake-On-Lan (WOL). El
• Registros que graban y almacenan todos los archivos
motivo de usar estos paquetes no es más que el de intentar
de registro producidos por componentes dentro de la
encender las máquinas que ha encontrado en la caché ARP
empresa.
De forma paralela, intentará identificar las direcciones IP
• Forense/analítica, a través de técnicas que proporcionan
asignadas, teniendo en cuenta los rangos de red privados
la capacidad de sondear y analizar registros y máquinas
(10.X.X.X, 172.16.X.X, 192.168.X.X) y procederá a enviar
dentro de la empresa para aprender de eventos de
paquetes ICMP echo request en busca de respuesta de las
integridad de los datos.
máquinas.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
7
 Tendencias
Añadiendo una capa extra de seguridad a
nuestras cuentas
En nuestro día a día hacemos uso de múltiples servicios que requieren de
credenciales de acceso, por lo que nos vemos altamente expuestos a que atacantes
puedan hacerse con las credenciales de nuestros servicios, ya sea por filtraciones
de credenciales masivas, ataques de phishing o descuidos entre otras. Por muy
segura que creamos que es nuestra contraseña, nunca está de más añadir capas
de seguridad adicionales que nos permitan minimizar el riesgo de que alguien pueda
acceder a nuestras cuentas. Con este propósito se creó la tecnología denominada
“Segundo Factor de Autenticación” o “2FA”.
El 2FA es un paso adicional a la hora de validar la sesión para garantizar que el
usuario que está introduciendo las credenciales de acceso a un servicio, es el
usuario legítimo.
Los primeros 2FA que entraron en funcionamiento se transmitían a través de SMS,
correo electrónico o llamada telefónica. Aunque parezca seguro recibir el doble
factor por estos medios, no es la opción más fiable, ya que simplemente con tener
activas las notificaciones en nuestro dispositivo móvil, cualquier mirada indiscreta
podría ver nuestra contraseña o token de acceso.
Existen diferentes alternativas más seguras que los métodos expuestos
anteriormente:
• Códigos de un solo uso: Constan de contraseñas de un solo uso
previamente generadas. El servicio genera y muestra una docena de
códigos que puedan utilizarse después para autentificar un inicio de sesión.

Estos códigos se pueden imprimir o apuntar y guardar en un lugar seguro,

pero tiene un inconveniente, y es que son finitos y después de agotarlos hay
que volver a generarlos. Suelen utilizarse como método para reestablecer
contraseñas u otros 2FA, no como método único para validar la sesión.

Este método de doble factor ofrece un nivel bajo de seguridad.

• Aplicaciones de autenticación: Para llevar a cabo este tipo de autenticación,
previamente necesitamos instalar y configurar la aplicación para el servicio en el que
vamosautilizarel2FA.Loscódigosvansiendogeneradosenbaseaunaclave(quesolo
conoce la aplicación y el servidor) y la hora actual y van renovándose cada segundo.

Tanto la aplicación como el servidor utilizan los mismos componentes para

generar los códigos, por lo que las claves se generan de forma sincronizada.
Este algoritmo se conoce por sus siglas en inglés “OATH TOTP” (contraseña
de un solo uso basada en el tiempo). Es el método más utilizado actualmente

Este tipo de autenticación de doble factor ofrece un equilibrio entre seguridad

y comodidad, ya que cada vez son más las aplicaciones que admiten este
tipo de validación. El nivel de seguridad ascendería si se complementa con el

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
8
 acceso biométrico a la aplicación. Las aplicaciones de
autenticación más utilizadas actualmente son Google
Authenticator, Microsoft Authenticator y Authy.
• Push 2FA: Al iniciar sesión, se envía una notificación a
los dispositivos de confianza (ya sea móvil o de escritorio)
asociados a la cuenta de usuario. En respuesta a esta
notificación, se le presenta al usuario un simple mensaje de
“aceptar” o “denegar” para permitir o evitar el inicio de sesión.

Junto a esta acción hay información sobre el origen de

la solicitud, como la ubicación, el tipo de navegador o el
tipo de dispositivo. Esta información proporciona mayor
confianza para aceptar una solicitud, o datos útiles al decidir
denegar una solicitud desconocida para el usuario legítimo.

Este método, al igual que las aplicaciones de autentificación,

brindan comodidad y seguridad para el usuario.
• U2F USB: Para los casos en los que se requiera de
un nivel elevado de seguridad en la cuenta del usuario,
se crearon los dispositivos U2F en formato USB, para
lo que es necesario conectarlos al dispositivo físico
para realizar el segundo factor de autentificación a
la hora de iniciar sesión con la cuenta del usuario.

Cuando se registra un token en un servicio, se generan

un par de claves cifradas: privada y pública. La clave
pública se almacena en el servidor y la privada, en un
chip seguro en el USB, que es el núcleo del token U2F.
La clave privada se utiliza para cifrar la confirmación
de un inicio de sesión, que se pasa al servidor y
puede ser descifrada utilizando la clave pública.

La autenticación con este método se basa en unas claves

almacenadas en un dispositivo físico que solo posee
el usuario o está almacenado en un lugar seguro, las
probabilidades de que alguien acceda a nuestra cuenta
con este sistema son extremadamente bajas. Para
hacerlo, necesitarían robar el dispositivo físico y la clave
para acceder a su cuenta, lo cual es muy poco probable.
Las necesidades en la seguridad informática y los
requerimientos de la industria están en constante evolución.
Actualmente se está expandiendo el uso del MFA (autenticación
de múltiples factores) en lugar de 2FA para proteger cuentas
altamente sensibles. El MFA implementa un tercer factor en
la autenticación, lo cual hace más seguro el proceso, aunque
sea más lento y tedioso de utilizar por el usuario final.

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
9
 Vulnerabilidades
Reciba nuestro boletín completo de parches y vulnerabilidades suscribiéndose aquí.

Cisco
CVE-2021-1451
Fecha: 07/04/2021

Descripción. Se ha publicado una nueva vulnerabilidad que

afectaría a un modelo concreto de routers pertenecientes a Cisco. La
vulnerabilidad se encontraría en la interfaz de administración y estaría
referida a una validación incorrecta de las entradas proporcionadas
por el usuario. La explotación de esta vulnerabilidad permitiría a un
atacante la ejecución de código arbitrario con permisos elevados en
el sistema operativo del dispositivo. Un atacante podría aprovechar
esta vulnerabilidad de forma remota y sin necesidad de autenticación
previa por lo que se trata de un fallo de seguridad crítico. Es importante
destacar que los dispositivos afectados se encuentran actualmente
fuera de soporte, por lo que la compañía no tiene intención de
solucionar esta vulnerabilidad.
Enlace: https://tools.cisco.com/security/center/content/
CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm
Productos afectados.
Cisco Small Business RV110W, RV130, RV130W y RV215W
Solución: La única solución a esta vulnerabilidad es la sustitución de
los routers afectados por otros modelos.

Node.js
CVE-2021-28918 y CVE-2021-29418.
Fecha: 06/04/2021

Descripción. Se han publicado dos nuevas vulnerabilidades en Node.

js que podrían permitir la realización de ataques SSRF, RFI y LFI. Un
atacante podría utilizar estas vulnerabilidades, debidas a una validación
incorrecta en los strings de la máscara de red, para filtrar IPs y conseguir
llegar a VPNs o dispositivos críticos.
Enlace: https://support.f5.com/csp/article/K25521404
Productos afectados.
Versiones del paquete netmask anteriores a la 2.0.1
Solución: Actualizar el paquete a su última versión.

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
10
 Parches
VMware
Fecha: 01-04-2021
Descripción. VMware ha publicado una nueva actualización de
seguridad con el objetivo de solucionar una vulnerabilidad crítica que
permitiría la omisión de autenticación por parte de un atacante. De
esta forma, se podría manipular una URL de la interfaz administrativa y
conseguir tokens de autenticación válidos. Con estos tokens se podría
acceder a la API de administración y modificar las configuraciones
pertinentes.
Enlace: https://www.vmware.com/security/advisories/VMSA-2021-
0005.html

Productos afectados.
Versiones anteriores a VMware Carbon Black Cloud 1.0.2

Solución: Instalar la última versión del software.

Solarwinds
Fecha: 25-03-2021

Descripción. Solarwinds ha publicado una actualización de

seguridad que soluciona un total de cuatro vulnerabilidades críticas
relacionadas con su plataforma de monitorización Orion. Estarían
relacionadas con la ejecución de código arbitrario y problemas que
permitirían ataques de direccionamiento y tabnabbing inverso.

Enlace: https://documentation.solarwinds.com/en/
success_center/orionplatform/content/release_notes/orion_
platform_2020-2-5_release_notes.htm

Productos afectados: Versiones anteriores a Orion Platform

2020.2.5

Solución: Instalar la última versión del software.

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
11
 Eventos
ISMG Virtual Cybersecurity TACTICAL EDGE 2021
Summit
12 - 13 de mayo | online
4 - 5 de mayo | Online
El evento será presentado por expertos que abordarán
La Serie de Cumbres Globales de ISMG tendrá tendencias importantes de ciberseguridad, desde
lugar en varios continentes y se centrará en temas la importancia de concienciación de ciberseguridad
de seguridad global, como la prevención de fraude y hasta nuevas soluciones tecnológicas utilizando
violaciones, seguridad de confianza cero, dispositivos Inteligencia Artificial y Machine Learning.
conectados y en muchas verticales clave de la
industria como la banca, ámbito gubernamentales, el Enlace: https://tacticaledge.co/registro_mayo.
comercio minorista, la energía y la salud. html

Enlace: https://events.ismg.io/event/ Dallas Virtual Cyber Security

cybersecurity-summit-pacific-northwest- Summit
2021/?ref=infosec-conferences.com
13 de mayo | Online
ASIS Europe 2021
La sexta Cumbre Anual de Ciberseguridad de
6 de mayo | Online Dallas se vuelve virtual, y conecta a los ejecutivos
senior y C-Suite responsables de proteger
las infraestructuras críticas de sus empresas,
ASIS Europe 2021 ofrecerá múltiples pistas de con proveedores de soluciones innovadoras
valiosas oportunidades de aprendizaje, así como y reconocidos expertos en seguridad de la
sesiones de networking. Con más de 50 sesiones información.
planificadas, más de 60 ponentes expertos en
varios formatos, y 8 horas dedicado a la creación de Enlace: https://www.engagez.net/node/626582?
redes, ASIS Europa 2021 es uno de los eventos de
referencia para los profesionales de la seguridad.

Enlace: https://asiseurope.org/?ref=infosec-
conferences.com

Oh My H@ck International 2021

16 de mayo | Online

La conferencia Oh My H@ck es una versión

mejorada del What The H@ck. Las conferencias
que habrá serán impartidas por los mejores
especialistas de blueteam y redteam. Este evento
de origen polaco se realizará está vez en inglés
para poder llegar a un público más internacional.

Enlace: https://omhconf.pl/omh-
international/?ref=infosec-conferences.com

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
12
 Recursos
Ciberseguridad en línea
La ciberseguridad es uno de los campos con mayor crecimiento y demanda
en la industria de las tecnologías de la información (TI). Según Cisco Systems,
se estima que para el año 2022 habrá un déficit de cerca de 2 millones de
profesionales de ciberseguridad a nivel global, debido a la falta de personal
capacitado para cumplir con la gran demanda prevista en el área.

Enlace: https://www.udemy.com/course/ciberseguridadenlinea/

Ciberseguridad y Privacidad 101

Este curso pretende ser un punto de partida e introducción para todas las
personas que quieran iniciarse en la ciberseguridad y privacidad en internet.

Enlace: https://www.udemy.com/course/ciberseguridad-y-privacidad-101/

Introducción a la Seguridad Informática

El objetivo principal es que el participante adquiera los conocimientos necesarios
básicos para ser capaz de identificar riesgos potenciales; así como, la necesidad
de poder cuidarse y proteger su privacidad en todo momento. enfocándose
en lo siguiente: definiciones de seguridad de la información, ciberseguridad,
amenazas y sus tipos, riesgos y sus tratamientos, ataques y sus tipos, elementos
de control, y roles y funciones vinculados a la seguridad de la información.

Enlace: https://www.udemy.com/course/introduccion-a-la-seguridad-
informatica/

Ciberseguridad. Entender los ataques para

desplegar contramedidas
Este curso realiza un primer acercamiento completo, profundo, actual, práctico
y ameno a la ciberseguridad; garantizado por un profesorado multidisciplinar,
con gran experiencia y prestigio en el sector.

Enlace: https://miriadax.net/web/ciberseguridad-entender-los-ataques-para-
desplegar-contramedidas-2-edicion-/inicio

Ciberseguridad para micropymes y autónomos

Este curso gratuito ofrece un enfoque adaptado a las necesidades de
microempresas y autónomos, analizando los riesgos más habituales y las
pautas recomendadas para el día a día.

Enlace: https://www.incibe.es/formacion/ciberseguridad-para-micropymes-y-
autonomos

© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
13
powered by the
cybersecurity everis team

everis.com