Etiqueta: Ciberseguridad

Nuevo ataque de suplantación de identidad se hace pasar por sitios web genuinos para los usuarios de iPhone.

Publicado el | por blogcapa8 | Deja un Comentario sobre Nuevo ataque de suplantación de identidad se hace pasar por sitios web genuinos para los usuarios de iPhone.

Los atacantes reproducían las funciones del navegador para hacer que los sitios falsos se vieran genuinos en los dispositivos móviles.

Al igual que la campaña anterior, este ataque de phishing se basó en Facebook para atraer a las víctimas.

¿Como funciona? Los usuarios visitan un sitio web que se parece mucho al sitio original. La investigación reveló un clon del sitio web de Airbnb. Ahora se les presenta un mensaje para abrir desde Facebook para poder acceder al sitio. Aparece un aviso de inicio de sesión falso de iOS pidiéndole al usuario que complete sus credenciales para iniciar sesión en el sitio. Después de ingresar las credenciales, el sitio notifica al usuario que su cuenta ha sido comprometida.

Más información

#HablemosDeSeguridad

Vía @cyware

OIG: La pobre ciberseguridad de la NASA es una amenaza operacional.

Ver más

Publicado el | por blogcapa8 | Deja un Comentario sobre OIG: La pobre ciberseguridad de la NASA es una amenaza operacional.

Los inspectores de seguridad han descubierto graves deficiencias en el programa de seguridad de la información de la NASA que, según ellos, podrían amenazar las operaciones.

Los hallazgos provienen de la última revisión realizada por la Oficina de Inspección General (OIG) de la agencia espacial para el año fiscal 2018, conforme a la Ley Federal de Modernización de la Seguridad de la Información de 2014 (FISMA).

La OIG probó la madurez del programa infosec de la NASA a través de 61 métricas en cinco áreas de funciones de seguridad más un subconjunto de sistemas de TI. Esto implicó probar los sistemas contra la documentación de seguridad correspondiente y entrevistar a los propietarios de sistemas de información y al personal de seguridad.

Desafortunadamente, el informe evaluó el programa de ciberseguridad de la NASA en el Nivel 2 (Definido) por segundo año consecutivo, muy por debajo del Nivel 4 (Administrado y Medible) requerido por la Oficina de Administración y Presupuesto para ser juzgado como efectivo.

Los inspectores también señalaron dos problemas graves: datos faltantes, incompletos e inexactos en los planes de seguridad del sistema y las evaluaciones de control no realizadas de manera oportuna.

«Consideramos que el problema de los datos faltantes, incompletos e inexactos del plan de seguridad de la información es un indicador de una deficiencia de control continua que hemos identificado en las revisiones recientes de la OIG de la NASA», explicó el inspector general adjunto para auditorías, Jim Morrison, en una carta a CIO de la NASA, Renee Wynn.

«Del mismo modo, el desempeño inoportuno de las evaluaciones de control de seguridad de la información podría indicar deficiencias de control y posiblemente amenazas importantes para las operaciones de la NASA, lo que podría afectar la capacidad de la agencia para proteger la confidencialidad, integridad y disponibilidad de sus datos, sistemas y redes».

La noticia es preocupante, dada la disposición de los piratas informáticos de los estados nacionales para perseguir la confidencialidad de la propiedad intelectual del gobierno, lo que podría afectar la seguridad nacional.

Sin embargo, no es la primera vez: la agencia recibió un informe de calificaciones aún peor en 2010 cuando la OIG inspeccionó.

El año pasado, la NASA también reveló que un servidor que contenía números de la Seguridad Social y otros datos de identidad de empleados actuales y anteriores podría haber sido comprometido.

Más información

#HablemosDeSeguridad

Vía @infosecurityMag