Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
#CyberSecurityPulse: Las inyecciones de código y los XSS, entre las vulnerabilidades más detectadas en 2017
5 de diciembre de 2017
El Proyecto abierto de seguridad en aplicaciones web (OWASP, por sus siglas en inglés) acaba de actualizar la lista de las diez
principales vulnerabilidades
web por primera vez desde 2013 pero, tras revisarlo, no ha cambiado demasiado. Según esta lista, las mayores vulnerabilidades son aquellas producidos por cualquier fallo derivado de
inyecciones de código y
cross site scripting (XSS) siguen estando en el top ten a pesar de que estos errores hayan estado plagados en las aplicaciones web desde hace una década y media. En este sentido, el Informe de Investigaciones de brechas de seguridad (DBIR) realizado por Verizon viene a validar desde otro punto de vista estos datos. Durante 2017 se encontraron 1.935 brechas confirmadas y analizadas, y unas 571 implicaron ataques a aplicaciones web.
Por otro lado, otro aspecto también a tener en cuenta es el destacado por el informe realizado por Black Duck relativo al uso de proyectos open source por parte de gran parte de las industrias. En un 96% del software comercial se ha identificado el uso de proyectos open source y se han detectado vulnerabilidades conocidas en dos tercios de estas colecciones de código. La conclusión que se extrae es que al final muchas organizaciones no realizan un seguimiento y una gestión eficaz de los proyectos open source y, como resultado, no son plenamente conscientes de los riesgos que acompañan a su uso.
Los riesgos actuales evolucionan demasiado rápido, por lo que los escaneos realizados de vez en cuando se quedaron atrás. El desarrollo de software actual requiere de pruebas de seguridad continuas con el objetivo de hacer frente al enorme volumen de vulnerabilidades que se encuentran a diario.
Más información en OWASP
Noticias destacadas
Reino Unido lanza Cyber Discovery, un programa para encontrar la próxima generación de talentos en ciberseguridad
El Departamento de Medios Digitales, Cultura, Medios de Comunicación y Deportes (DCMS) de Reino Unido acaba de lanzar su programa de capacitación en ciberseguridd dirigido a jóvenes que se encuentren entre los 10 y 13 años. La iniciativa tiene como objetivo ayudar a cerrar la brecha existente de habilidades en ciberseguridad del Reino Unido aprovechando el talento joven y no descubierto con la ambición de estimular y nutrir el interés por esta rama como una futura carrera profesional. Inicialmente, se invita a los estudiantes a registrarse y trabajar a través de una herramienta de selección llamada CyberStart Assess. Los estudiantes seleccionados pasarán a otras tres etapas que luego finalizarán con expertos de la industria, y tres eventos regionales con retos en vivo donde los padres y líderes pueden ver el progreso realizado por los estudiantes. Cyber Discovery se está probando en el primer año en Inglaterra, pero se espera que se expanda a otras partes del Reino Unido durante los siguientes años.
Más información en Join Cyber Discovery
Alerta de Bitcoin Gold en su wallet para Windows
Bitcoin Gold publicó el pasado domingo 26 de noviembre una alerta de seguridad advirtiendo que cualquiera que haya descargado el fichero que daba acceso al wallet para Windows entre el 21 de noviembre de 2017, las 09:39 UTC y el 25 de noviembre de 2017, a las 22:30 UTC, no debe usarse de ninguna manera. Cualquier usuario que llegara a utilizar dicho fichero debe tener en cuenta que debe usarse con extrema precaución, el archivo debe eliminarse, el equipo debe revisarse minuciosamente en busca de malware y confirmar que todas las criptodivisas se encuentran disponibles. De ser así, deben ser movidas hacia nuevas direcciones de inmediato.
Más información en Bitcoin Gold
Noticias del resto de la semana
Facebook ofrecerá una herramienta para luchar contra la propaganda rusa
Después de luchar contra determinados threat actores rusos para evitar la influencia a través de redes sociales durante las elecciones presidenciales de Estados Unidos, Facebook ha dicho que ofrecerá una herramienta que permitirá a los usuarios ver las páginas y anuncios creados por la Internet Research Agency (IRA) involucrados en operaciones de influencia en nombre de gobierno ruso.Más información en SC Magazine
Firefox notificará a los usuarios que visiten aquellas webs que sufrieron una filtración
Firefox presentará una nueva feature de seguridad para que la experiencia de los usuarios sea más segura. En este sentido, advertirá a los usuarios si visitan sitios web que han sufrido violaciones de datos. La noticia fue hecha pública por el desarrollador de Mozilla Nihanth Subramany y fue confirmada por la presencia de un repositorio de GitHub recientemente publicado titulado "Breach Alerts Prototype". El desarrollador utilizará el proyecto Have I Been Pwned como fuente de información relacionada con brechas de seguridad.Más información en GitHub
Google no permitirá que software de terceros inyecte código en Chrome
Para mejorar el rendimiento y reducir los bloqueos causados por el software de terceros en Windows, Google Chrome, a mediados de 2018, ya no permitirá que las aplicaciones externas ejecuten código dentro de su navegador web. En este sentido, Google ya ha anunciado su plan, pero habrá algunas excepciones con el código firmado por Microsoft, el software de accesibilidad y el software IME para inyectar código en sus navegadores.Más información en The Hacker News
