En Seguridad Sistemas Blockchain 24H, diseñamos y hacemos realidad tus proyectos de última generación

🚀 Tecnologías que son el futuro para otros, son nuestro presente. 🚀

En Seguridad Sistemas Blockchain 24H, diseñamos y hacemos realidad tus proyectos de última generación en:

🌐 Informática Avanzada
🔒 Ciberseguridad
🤖 Inteligencia Artificial
📡 IoT (Internet de las Cosas)
🛠️ Redes y Telecomunicaciones
🤖 Robótica

Nos anticipamos al futuro y te brindamos soluciones innovadoras y seguras, adaptadas a tus necesidades.

¡Confía en nuestro equipo para llevar tu proyecto al siguiente nivel!

📩 Contáctanos hoy mismo en soporte@seguridadsistemasblockchain24h.org
🌐 Visita nuestra web: https://seguridadsistemasblockchain24h.org

Seguridad Sistemas Blockchain 24H - Innovación y protección para tu mundo digital.

Fuente: Linkedin

50 libros de programación GRATIS en PDF! (de Menrera Legal)

50 libros de programación GRATIS en PDF!
(y de manera legal)

→ Python, JavaScript, React, SQL, Git, MongoDB, Java...
→ Seleccionas el que quieras y lo descargas, sin registros.

📚 https://lnkd.in/dSk8pecz

Fuente: Linkedin

VMware actualiza vCenter Server para solucionar la vulnerabilidad crítica de RCE

 

VMware ha lanzado actualizaciones de software para abordar una falla de seguridad en vCenter Server que podría allanar el camino para la ejecución remota de código (RCE).

La vulnerabilidad, rastreada como CVE-2024-38812 (9,8), se refiere a un caso de vulnerabilidad de desbordamiento de montón en la implementación del protocolo DCE/RPC y corresponde a un bug que los parches de vCenter lanzados el 17 de septiembre de 2024 no abordaron completamente en el CVE-2024-38812.

"Un actor malicioso con acceso a la red de vCenter Server puede desencadenar esta vulnerabilidad enviando un paquete de red especialmente diseñado que potencialmente conduzca a la ejecución remota de código", dijo el proveedor de servicios de virtualización.

La falla fue reportada originalmente por zbl y srs del equipo TZL en la competencia de ciberseguridad Matrix Cup celebrada en China en junio de este año.

Los parches para la falla están disponibles en las siguientes versiones de vCenter Server: 8.0 U3d, 8.0 U2e, y 7.0 U3t. También está disponible como parche asincrónico para las versiones 5.x, 5.1.x y 4.x de VMware Cloud Foundation. No se conocen mitigaciones.

Si bien no hay evidencia de que la vulnerabilidad haya sido explotada alguna vez, se recomienda a los usuarios que actualicen a las últimas versiones para protegerse contra posibles amenazas.

En julio de 2021, China aprobó una ley que exige que las vulnerabilidades descubiertas por investigadores en el país se revelen de inmediato al gobierno y al fabricante del producto, lo que genera preocupaciones de que podría ayudar a los adversarios de los estados-nación a almacenar Zero-Days y convertirlos en armas para su beneficio.

Fuente: BC

IA y OSINT

 

🕵️♂️ ¿Listo para potenciar tus investigaciones con la ayuda de la IA? Las herramientas de OSINT (Open Source Intelligence) basadas en inteligencia artificial han revolucionado la forma en que recolectamos y analizamos datos.

 En este post, te compartimos 9 herramientas esenciales de IA para mejorar tus investigaciones, con enlaces directos para que puedas probarlas. 

1️⃣ Scite_ ➡ https://scite.ai/ 

2️⃣ Research Rabbit ➡ https://lnkd.in/ee2M6fsm 

3️⃣ Consensus ➡ https://consensus.app/ 

4️⃣ Litmaps ➡ https://www.litmaps.com/ 

5️⃣ Beloga ➡ https://www.beloga.xyz/ 

6️⃣ Elicit ➡ https://elicit.com/ 

7️⃣ IRIS.AI ➡ https://iris.ai/ 

8️⃣ SciSpace ➡ https://typeset.io/ 

9️⃣ Fastpedia ➡ https://fastpedia.io/

🔍 ¿Quieres saber más sobre cómo proteger tu organización con tecnología de vanguardia? Visita nuestra web y descubre nuestros servicios corporativos en ciberseguridad 👉 https://lnkd.in/e6HmSgWV

Fuente: Linkedin

Nuevas reglas de NIST para el uso de contraseñas (al fin un poco de sentido común!)

 

El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto prohibir algunos de los requisitos de contraseña más molestos y sin sentido. Los principales: reinicios obligatorios, uso obligatorio o restringido de ciertos personajes y el uso de preguntas de seguridad.

Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes más desafiantes de un buen régimen de ciberseguridad. Aún resulta más difícil cumplir con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. A menudo, las reglas (aparentemente para mejorar la higiene de la seguridad) en realidad la socavan. Y, sin embargo, los legisladores anónimos imponen los requisitos de todos modos.

La semana pasada, NIST publicó su segundo borrador público de SP 800-63-4, la última versión de sus Directrices de identidad digital. Una sección dedicada a las contraseñas agrega una gran cantidad de prácticas de sentido común muy necesarias que desafían las políticas comunes. Un ejemplo: las nuevas reglas prohíben el requisito de que los usuarios finales cambien periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando no se entendía bien la seguridad de las contraseñas y era común que las personas eligieran nombres comunes, palabras del diccionario y otros secretos que se adivinaban fácilmente.

Desde entonces, la mayoría de los servicios requieren el uso de contraseñas más seguras compuestas por caracteres o frases generadas aleatoriamente. Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas periódicamente, generalmente cada uno a tres meses, en realidad puede disminuir la seguridad porque la carga adicional incentiva contraseñas más débiles que son más fáciles de configurar y recordar para las personas.

Otro requisito que a menudo hace más daño que bien es el uso obligatorio de ciertos caracteres, como al menos un número, un carácter especial y una letra mayúscula y minúscula. Cuando las contraseñas son lo suficientemente largas y aleatorias, no resulta beneficioso exigir o restringir el uso de ciertos caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a que las personas elijan códigos de acceso más débiles.

Las últimas directrices del NIST ahora establecen que:

• Los verificadores NO DEBEN imponer reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para contraseñas y;
• Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.

Entre las nuevas directrices las reglas utilizan las palabras "DEBERÍA" (should), lo que significa que se recomienda como mejor práctica y "DEBEN" (must),que, por el contrario, significa que debe prohibirse en la práctica. El último documento contiene varias otras prácticas de sentido común, que incluyen:

• Los verificadores DEBEN exigir que las contraseñas tengan una longitud mínima de ocho caracteres aunque DEBERÍAN exigir que las contraseñas tengan una longitud mínima de 15 caracteres.
• Los verificadores DEBERÍAN permitir una longitud máxima de contraseña de al menos 64 caracteres.
• Los verificadores DEBERÍAN aceptar todos los caracteres ASCII [RFC20] impresos y el carácter de espacio en las contraseñas.
• Los verificadores DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada código Unicode DEBE contarse como un solo carácter al evaluar la longitud de la contraseña.
• Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas. Esta disposición puede ser discutible y dependerá de la forma en que se almacenen y se realice hashing de las contraseñas tratadas.
• Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.
• Los verificadores NO permitirán que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado.
• Los verificadores NO DEBEN solicitar a los suscriptores que utilicen autenticación basada en conocimientos (KBA) (por ejemplo, "¿Cómo se llamaba su primera mascota?") ni preguntas de seguridad al elegir contraseñas.
• Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no truncarla).

Durante años, los críticos han denunciado la locura y el daño que resultan de muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos, los servicios en línea y las agencias gubernamentales se han aferrado en gran medida a ellos de todos modos.

Las nuevas directrices, en caso de que sean definitivas, no son universalmente vinculantes, pero podrían proporcionar puntos de conversación persuasivos a favor de acabar con las tonterías.

Fuente: Segu-Info

OWASP Guía de Seguridad en Aplicaciones para CISOs

 Muy interesante documento de consulta y de mucha ayuda  a los CISOS  Descargalo

Noticias de ciberseguridad De Esta Semana

 En las últimas semanas, se han producido varios incidentes y tendencias en el ámbito de la ciberseguridad que merecen ser destacados. A continuación, se presentan algunos de los temas más relevantes:

• Implementación de marcas de cuentas verificadas en Gmail: Google ha comenzado a implementar una marca de cuentas verificadas en Gmail, que busca ayudar a evitar correos electrónicos fraudulentos y mejorar la seguridad de las cuentas.
• 
  
• Ataques informáticos a cuentas de Windows: Se han reportado ataques informáticos que cambian la cuenta de Windows por otra a la que no se tiene acceso, bloqueando el ordenador. Es importante ser cauto al recibir correos electrónicos sospechosos y verificar la autenticidad de las notificaciones.
• 
  
• Doxing en línea: El ecosistema del doxing en línea sigue siendo un problema, con expertos en ciberseguridad advirtiendo sobre la creciente extremidad de los ataques. Los doxers buscan obtener y publicar información personal y privada de víctimas, lo que puede tener graves consecuencias.
• 
  
• IA y ciberseguridad: La llegada de la inteligencia artificial (IA) plantea nuevos retos para la industria tecnológica, según expertos en ciberseguridad que participaron en el WIRED Summit 2024.
• 
  
• Seguridad en el trabajo remoto: La pandemia ha llevado a muchos a trabajar de forma remota, lo que ha aumentado la exposición a riesgos cibernéticos. Es importante que las empresas implementen medidas de seguridad adecuadas para proteger la información y los datos de los empleados.
• 
  
• Ciberataques a empresas y organizaciones: Se han reportado ciberataques a varias empresas y organizaciones, incluyendo oleoductos y servicios financieros. Es importante que las empresas tengan planes de respuesta a incidentes de seguridad y realicen pruebas periódicas para evaluar su capacidad de respuesta.
• 
  

En resumen, la ciberseguridad es un tema cada vez más importante y complejo, con nuevos riesgos y desafíos emergentes. Es fundamental que las empresas y particulares tomen medidas para proteger sus datos y sistemas, y que se mantengan informados sobre las últimas tendencias y amenazas en el ámbito de la ciberseguridad.

Relacionado

• ¿Qué son las vulnerabilidades de seguridad más comunes en aplicaciones web y cómo se mitigan?
• ¿Cuáles son las mejores prácticas para implementar una respuesta a incidentes de seguridad en pequeñas y medianas empresas?
• ¿Cómo afecta la introducción de la inteligencia artificial en la ciberseguridad la detección y prevención de ataques cibernéticos?