Raúl Alonso 12 ayudas públicas para empezar a exportar Pese a que los fondos públicos siguen de vacas flacas, hay un sector para el que el esfuerzo no se escatima: la exportación. Son muchas las iniciativas públicas encaminadas a...
Jorge Ordovás Cinco tendencias que están cambiando nuestra forma de comprar Poco a poco nuestros hábitos van adaptándose a los tiempos y aprovechando las nuevas tecnologías. Uno de los ejemplos más claros es la forma en que compramos, para lo...
Mario Cantalapiedra Liderazgo innovador en la economía digital El liderazgo puede definirse como la capacidad de influir en un grupo de personas para que trabajen en la consecución de unos objetivos determinados. Se podría decir que es...
Moncho Terol ¿Cómo digitalizar tu negocio y sacar el máximo provecho? El mundo está en constante cambio y las empresas lo saben, por ello han invertido y se están transformando gracias a las nuevas tecnologías. Tú también puedes digitalizar tu...
Servicio CyberThreats (SCC Telefónica) Covid-19. Guía de riesgos y recomendaciones en ciberseguridad Nuestros expertos del Servicio de CyberThreats del SCC te cuentan los riesgos del coronavirus relacionados con la desinformación y con el teletrabajo.
CSAs de ElevenPaths Binary leaks: desde bases de datos de ciudadanos a contraseñas expuestas, los ejecutables de los gobiernos analizados Hemos descubierto desde contraseñas hasta bases de datos que no deberían ser públicas en programas proporcionados por gobiernos de habla hispana.
Julio Marchena ¿Cuáles son las tendencias tecnológicas más punteras? Un informe desde la cuna de la innovación Telefónica Innovation Ventures (Corporate Venture Capital de Telefónica), a través de nuestra oficina de Silicon Valley, trae este informe de tendencias tecnológicas antes del estallido de la crisis del...
Raúl Alonso Cómo tener un ecommerce millonario antes de cumplir los 30 Mientras otros quemaban la noche de Magaluf, él consumía terabits de información en la Red. Jaume Riutord es pionero en esa generación millennial a la que Internet despertó vocación...
Boletín semanal de ciberseguridad 30 enero – 5 febreroElevenPaths 5 febrero, 2021 Chrome rechazará los certificados de Camerfirma Google planea prohibir y eliminar el soporte de Chrome para los certificados digitales emitidos por la autoridad certificadora (CA) Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria. La restricción entrará en vigor con el lanzamiento de Chrome 90, previsto para mediados de abril de este mismo año. Con la nueva versión del navegador, todos los sitios web que utilicen certificados TLS emitidos por Camerfirma para asegurar su tráfico HTTPS, mostrarán un error y no se cargarán en Chrome. La decisión de prohibir los certificados de Camerfirma se anunció después de que la empresa tardara más de seis semanas en explicar una serie de 26 incidentes relacionados con su proceso de emisión de certificados. Por el momento, el resto de los proveedores de navegadores más importantes (Apple, Microsoft y Mozilla) no han indicado la toma de medidas similares pero se espera que lo hagan en las próximas semanas. Más detalles: https://www.zdnet.com/article/google-bans-another-misbehaving-ca-from-chrome/ Google y Qualcomm parchean vulnerabilidades críticas en Android El boletín de seguridad de febrero emitido por Google corrige, entre otras, dos vulnerabilidades consideradas de severidad crítica. Ambos errores, CVE-2021-0325 y CVE-2021-0326, permiten la ejecución remota de código arbitrario (RCE) dentro del contexto de un proceso privilegiado mediante el envío de un paquete o transmisión especialmente diseñada. En el mismo boletín se hace referencia a diversas vulnerabilidades en componentes de Qualcomm, notificados por la compañía en su propio boletín de seguridad. Tres de ellas de severidad crítica: CVE-2020-11272, que afecta al componente WLAN con una puntuación CVSS de 9.8 sobre 10; CVE-2020-11163 y CVE-2020-11170 que afecta a componentes de software propietario presentes en el sistema operativo. Todas ellas han sido corregidas y no se dispone de evidencias de su explotación activa. Más información: https://source.android.com/security/bulletin/2021-02-01 Google corrige un 0-day en Chrome Ayer 4 de febrero Google lanzó la versión 88.0.4324.150 de Chrome para Windows, Mac y Linux, que se irá implementando de manera progresiva en la base de usuarios durante los próximos días. Esta nueva actualización se produce tras la reciente publicación de la versión 88.0.4324.146 que ya corregía otras seis vulnerabilidades en el mismo navegador (CVE-2021-21142/21147). En esta ocasión la nueva versión se lanza para corregir un 0-day, identificado como CVE-2021-21148, reportado el pasado 24 de enero por el investigador Mattias Buelens. El fallo implica un desbordamiento de pila en el motor JavaScript v8, y puede ser aprovechado por los atacantes para ejecutar código arbitrario en sistemas que ejecuten versiones previas de Chrome. Dentro de su publicación, desde Google confirman la existencia de exploits funcionales para esta vulnerabilidad. Desde el medio Zdnet, apuntan a la coincidencia entre el reporte el 24 de enero de la vulnerabilidad, y la publicación, días después de los hallazgos por parte de Google el día 25 y de Microsoft el día 28 de una campaña de ataques contra investigadores de seguridad. Dentro de sendos artículos, las firmas mencionan la explotación de vulnerabilidades de 0-day en navegadores para ejecutar malware en los sistemas de los investigadores. Desde Google no han confirmado estas especulaciones, al no confirmar que la vulnerabilidad corregida en esta nueva versión (CVE-2021-21148) sea la que se empleó en los ataques. Toda la información: https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html SonicWall corrige una vulnerabilidad 0-day activamente explotada SonicWall ha publicado una actualización que corrige una vulnerabilidad 0-day en el Firmware SMA 100 series. El pasado 22 de enero la compañía informó que estaba siendo víctima de un ataque coordinado contra sus sistemas internos mediante la posible explotación de vulnerabilidades 0-day. La investigación interna situó el fallo en el producto Secure Mobile Access (SMA), en sus versiones 10x, recomendando preventivamente a los clientes habilitar la autenticación de factor múltiple en los dispositivos afectados como medida de mitigación. El día 31 de enero, NCC Group informó a SonicWall de detalles de la vulnerabilidad identificada, catalogada como CVE-2021-20016, la cual podría permitir a un atacante no autenticado la explotación remota mediante una consulta SQL que proporcionaría la contraseña del nombre de usuario y otros datos relacionados con la sesión. Por el momento, no se ha identificado todavía detalles sobre el actor detrás de los ataques contra SonicWall. Más detalles: https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/ CacheFlow – Extensiones maliciosas de Chrome y Edge roban y manipulan datos de los usuarios Investigadores de seguridad de Avast han publicado una nueva entrada en su blog con más detalles de la amenaza conocida como CacheFlow, que daban a conocer el pasado mes de diciembre de 2020 investigadores de CZ.NIC y que llevaría activo al menos desde el pasado octubre de 2017. En el nuevo artículo, desde Avast describen una campaña en la que estarían implicadas una amplia red de extensiones maliciosas para los navegadores Chrome y Edge, que contarían con más de tres millones de instalaciones en total. El ataque de CacheFlow se lleva a cabo en varios pasos, y comienza cuando un usuario descarga una de las extensiones. Unos días después de ser instalada, se descargaba desde un canal encubierto una nueva carga intermedia, que finalmente, descargaba el payload CacheFlow. Llegados a este punto, cada vez que se ejecutaba el navegador, CacheFlow trataba de robar información de la cuenta de Google del usuario, inyectaba código malicioso en todas las nuevas pestañas abiertas y secuestraba los clics de los usuarios para modificar los resultados de las búsquedas. Según la investigación de Avast, los países más afectados por el ataque serían Brasil, Ucrania y Francia, si bien también se han detectado descargas de estas extensiones desde España. Más información: https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/ #MujeresHacker: érase una vez una princesa ingenieraCriptografía funcional: la alternativa al cifrado homomórfico para realizar cálculos sobre datos cifrados
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 16 — 22 de julio Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y...
Telefónica Tech España necesita 83.000 profesionales en ciberseguridad en los próximos dos años Universidad Loyola y Telefónica Tech han puesto en marcha el nuevo Máster en Ciberseguridad para CISO
Roberto García Esteban Cloud computing: abierto por vacaciones Llegan las vacaciones de verano y con ellas el merecido descanso para casi todos nosotros. La actividad de la mayoría de las empresas se reduce drásticamente, aunque también hay...
Diego Samuel Espitia Qué son los “Martes de parches” de seguridad para tecnología operativa (OT) En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o «parches» de...
