Cibercantabria – Asociación Cántabra de Ciberseguridad
Tengo el placer de comunicaros la puesta en marcha de Cibercantabria, la Asociación Cántabra de Ciberseguridad. Una Asociación sin ánimo de lucro donde nos hemos juntado un grupo de expertos en Ciberseguridad, Formación y Tecnología.
Quiénes somos Cibercantabria
Cibercantabria lo formamos personas de diversos ámbitos relacionados con la ciberseguridad, que sabemos que cada día la seguridad es importante y por eso montamos esta asociación concienciar de la importancia de la seguridad.
Tengo el orgullo de ser socio fundador además de ponente, donde podré hacer lo que más me gusta que no es más que ayudar a todos los usuarios a navegar más seguros por internet y contribuir con mi granito de arena a hacer entre todos un mundo internet más seguro.
En la seguridad tú eres el eslabón más débil. Este fue el título de mi ponencia en la WordCamp Irún 2019
Tú eres el eslabón más débil
En este mundo de la ciberseguridad, existen muchos peligros que nos acechan. Los que me conocéis ya sabéis lo que me gusta identificarlos, estudiarlos y difundirlos para que naveguéis más tranquilos.
El fin de semana del 1 y 2 de junio de 2019 estuve en Irún. Tuve la suerte de que mi charla “En la seguridad tú eres el eslabón más débil”, fuera escogida y participé como ponente en la WordCamp Irún donde hablamos, sobre todo, de WordPress y cada ponente aporta información en el campo en el que está más especializado.
En vista que había mucha gente nueva me decidí por una ponencia para “todos los públicos” enfocada en concienciar a todos sobre los malos hábitos que tenemos en internet.
La creación y uso de contraseñas fuertes y fáciles de recordar, consejos de seguridad para todos, los peligros de las tiendas falsas, el phishing y las estafas en internet, uso de gestores de contraseñas, doble factor de autenticación, aplicaciones que nos hacen la vida más segura, etc.
Si te perdiste la charla aquí te dejo el video y la presentación de diapositivas que utilicé. Espero que te ayuden a pensar y a modificar tus hábitos mientras navegas.
Importante fallo de seguridad en WinRAR afecta a más de 500 millones de usuarios de Windows.
Fallo de seguridad en WinRAR
Si eres de los que usa WinRAR lo más seguro es que lo lleves utilizando muchos años y jamás lo hayas actualizado ¿verdad? Como sabrás, WinRAR es un compresor/descompresor de archivos de muchos formatos que está instalado en más de 500 millones de ordenadores de todo el mundo.
El fallo de seguridad
Se ha descubierto un importante fallo de seguridad en la aplicación WinRAR que permite a un atacante instalar y ejecutar código malicioso en nuestro ordenador.
Cómo se explota el fallo
Un fallo presente en una librería permite modificar la ruta de extracción del archivo (aunque el usuario escoja otra) y hacer que esta se a definida de antemano. De esta manera un atacante sólo podría dejar un archivo en una carpeta concreta y donde se tengan permisos. Sin embargo, a través de un exploit se puede extraer en la carpeta que queramos, por ejemplo en la carpeta de arranque de Windows, de manera que si abrimos un archivo comprimido infectado con el exploit, WinRAR extraerá el malware a esta carpeta y se ejecutará cada vez que arranquemos el ordenador.
En el siguiente video de Check Point Software Technologies, puedes ver de manera fácil cómo se explota.
¿Como puedo estar a salvo?
Lo mejor que puedes hacer es… ¡actualizar! si, eso mismo, actualizar Winrar a su última versión. Aunque el fallo de seguridad no está parcheado, han tomado cartas en el asunto.
Ya que la librería vulnerable (UNACEV2.DLL) no fue creada por ellos y no tienen el código fuente para solucionar el error, lo que han hecho ha sido eliminar el soporte de archivos .ACE en la aplicación ya que es el que tiene los problemas en la librería. Una solución burda pero efectiva.
Como consejo y alternativa real a la opción de actualizar, te invito a utilizar aplicaciones similares, y gratuitas, como 7zip, pero eso ya depende de tu opinión.
Laboratorioblesa.es otra web hackeada un nuevo fraude y ejemplo de tienda online falsa
Laboratoriosblesa.es es otro ejemplo de tienda falsa que circula por internet. En este caso se trata de un dominio real que ha sido hackeado y los ciberdelincuentes han modificado los archivos para que aparezca una tienda online falsa.
Son muchos los indicadores que lo confirman.
Motivos para saber si se trata de una tienda falsa
– Uno de los principales motivos es que la web no se sirve y no utiliza el protocolo seguro “https” en su url, lo que indica que NO dispone de un certificado de seguridad.
– No existen datos de la empresa que vende los productos, ni dirección, NIF, teléfono, etc. Sin embargo vemos que la empresa propietaria del dominio sí existe.
– Por norma general hay que desconfiar de tiendas que ofrecen descuentos muy grandes en todos los productos. En esta en particular hay “supuestos” descuentos de 40%, 50% Y 60%.
– El logo de la tienda, se trata de un logo de “Nike” y no corresponde a la marca del dominio.
– La tienda está en castellano sin embargo la política de privacidad y la política de devoluciones están en inglés y además no da datos concretos sobre los pasos a realizar para devolver un producto.
– No existen las redes sociales de la empresa. Los iconos de las redes sociales no dirigen a las redes sino a la propia página.
– La página no tiene coherencia. El dominio habla de un laboratorio y se trata de una “supuesta” tienda tipo almacén de stocks. Al investigar si existe como empresa “Laboratorios Blesa”, vemos que si existe, la propietaria del dominio laboratorioblesa.es es LABORATORIO BLESA SL, lo que nos indica que su web real ha sido hackeada.
Mis recomendaciones si has realizado un pedido en esta tienda:
Si tu pedido no te llega en 3-4 días (en la web indican que te debería de llegar en 24 horas) te aconsejo denunciarlo al grupo de delitos telemáticos de la guardia civil para que tengan constancia de esta tienda. Guarda y proporcionales todos los datos que tengas sobre tu compra.
Bienvenido a la actualidad WordPress y ciberserguridad (3 octubre 2018).
Actualidad WordPress y ciberserguridad (3 octubre 2018)
Muchas gracias por estar preocupado por la seguridad una semana más. A continuación te presento los temas interesantes de esta semana:
Esta semana comienza la WordCamp Barcelona. El viernes será el día para contribuir a WordPress (Contributor Day) y el sábado el día de ponencias. Anímate, aún estás a tiempo.
Por otro lado estamos a la expectativa de nuestros amigos de WPChiclana que el día 5 harán un comunicado sobre un evento que celebrarán próximamente en la localidad andaluza.
Vamos con la actualidad.
Jornadas Hack & Sec 2018 en Santander
Si vives en Santander y alrededores te invito a asistir a un evento gratuito sobre ciberseguridad los días 19 y 20 de octubre. Un evento ideal para familias, profesionales y pymes, donde impartiré el taller “Máxima seguridad en WordPress” de una hora de duración el sábado 20 a pas 12:00. Ver programa.
La semana pasada se celebró SemanaWP con un gran éxito de participación de los usuarios y críticas muy positivas. He tenido la suerte de participar con una charla sobre el mantenimiento en WordPress, en este proyecto donde ponentes expertos en WordPress de toda España, se han unido para realizar videotutoriales sobre todo tipo de temas relacionados con WordPress: desarrollo, seguridad, optimización, diseño, marketing, negocios, blogging, etc. Aún puedes ver todos los videotutoriales online desde tu casa.
Artículos sobre ciberseguridad para toda la familia
Estos son los artículos más interesantes sobre la ciberseguridad en la red para cualquier usuario que navegue por internet:
– **Crítico** Descubren una vulnerabilidad en todos los routers WiFi imposible de arreglar. Ver artículo
– Google Chrome 70 acabará con las extensiones maliciosas con estas nueva medida de seguridad. Ver artículo
– El ransomware será la principal amenaza durante años según Europol. Ver artículo
– Facebook Hackeado. Millones de cuentas de Facebook expuestas. Ver artículo
– Fishing que afecta a todos usuarios con correos imitando a la plataforma online de BBVA. Ver artículo.
Esta semana te recomiendo el podcast de ClubWPress que realiza una fantástica entrevista a Vanesa de exprimeviajes.com la cual nos habla de su tremendo éxito como emprendedora con su web de viajes.
WPnovatos: – “#Podcast 93. Mu plugins de WordPress“.
WordPress desde cero: “#101 Dando un repaso a la Comunidad de WordPress con @DanielArenillas“.
Post Type Podcast: “¿Diseñas o plantillas?“. Hablamos con Roberto Tuñón sobre el proceso de conceptualización y diseño de un sitio web. Así como el por qué saltarte este proceso de diseño que existe hace tantos años puede suponer un gran problema en tu proyecto.
