Connect with us

La seguridad cibernética

Titulares de seguridad cibernética – 26 de enero de 2021

El reemplazo de cookies de Google funciona bien en las pruebas. publicidad basada en cookies. FLoC es una extensión del navegador Chrome en este momento, que usa ……

Published

on

El reemplazo de cookies de Google funciona bien en las pruebas

En las pruebas, Federated Learning of Cohorts o FLoC API, un reemplazo propuesto para las cookies de terceros, mostró que los anunciantes pueden esperar ver al menos el 95% de las conversiones por dólar gastado en anuncios, en comparación con la publicidad basada en cookies. FLoC es una extensión del navegador Chrome en este momento, que utiliza el aprendizaje automático para agrupar a las personas en cohortes de miles de usuarios similares a los que los anunciantes pueden dirigirse, en lugar de dirigirse a individuos. El esfuerzo de Google "Privacy Sandbox" tiene otras alternativas de cookies de terceros en desarrollo, por lo que es posible que este no sea su reemplazo definitivo de cookies de terceros.

(Axios)

Lanzamiento del piloto de Twitter Birdwatch

Birdwatch fue confirmado previamente por Twitter el año pasado, y es un sistema que permite a los usuarios marcar y discutir tweets que se creen engañosos o falsos. Birdwatch es una sección independiente de Twitter, que inicialmente se extiende a un pequeño grupo de usuarios con cuentas vinculadas a números de teléfono y direcciones de correo electrónico reales. Los tweets se marcan en la interfaz principal de Twitter, luego se pueden agregar notas a la sección Birdwatch para el contexto. Los usuarios también pueden calificar las notas de otros para evitar el uso de mala fe. Twitter dice que eventualmente quiere que aparezcan notas en los propios Tweets para su audiencia global con Birdwatchers actuando como moderadores. Una interfaz de usuario de muestra y una lista de espera están disponibles en birdwatch.twitter.com.

(TechCrunch)

Malware con gusanos de WhatsApp encontrado en Android

Los investigadores de seguridad de ESET descubrieron el malware, que parece una campaña de adware que envía enlaces para descargar una aplicación móvil de Huawei falsa. El enlace lleva a los usuarios a una tienda Google Play similar para estimular una descarga de software adicional. Una vez completado, el malware solicita a los usuarios acceso a notificaciones, lo que le permitirá enviar spam a los contactos de WhatsApp de un usuario con enlaces similares gracias a la función de respuesta rápida de la aplicación que permite responder directamente desde una notificación. El objetivo final es que los usuarios caigan en una estafa de suscripción, pero los investigadores advierten que la aplicación solicita permiso para dibujar sobre otras aplicaciones y ejecutarse en segundo plano, abriendo la puerta a otros tipos de exploits en el futuro. Si bien actualmente se limita a los mensajes de WhatsApp, los investigadores advierten que las actualizaciones podrían abusar del acceso de respuesta rápida para propagarse también a otras aplicaciones.

(Noticias de hackers)

Los vendedores en corto alegan pirateo después de que un subreddit exprime una acción

Los inversores en el subreddit WallStreetBets habían apuntalado las acciones de Gamestop de $ 20 el 11 de enero a $ 73 el 15. Esto se produjo cuando los inversores más tradicionales, como el fundador de Citron Research, Andrew Left, establecieron posiciones cortas, apostando efectivamente a que las acciones volverían a caer por debajo de los 20 dólares en un futuro próximo, con planes de realizar una transmisión en vivo en Twitter que explicara por qué caería la acción. Más adelante en la semana, Left estableció una segunda cuenta de Twitter, alegando que las personas habían intentado piratear su cuenta principal, con el mismo grupo acosando a un menor, pidiendo pizzas en su casa y registrándolo en Tinder en las últimas 48 horas. Los moderadores del subreddit dijeron que no estaban al tanto de estas actividades, "y si lo hicieron, no es algo que aprobemos o promovamos".

(Cableado)

Y ahora nuestro patrocinador Nucleus Security le ofrece "Los 5 principales antipatrones en la gestión de vulnerabilidades":Antipattern # 2: “Priorización CVSS”: las puntuaciones CVSS son útiles, pero necesita mucho más que puntuaciones para determinar qué corregir y cuándo hacerlo; El contexto empresarial y la inteligencia de vulnerabilidades son clave para priorizar las vulnerabilidades en las grandes empresas. Aprender cómo Núcleo puede ayudar con la priorización inteligente de vulnerabilidades en nucleussec.com/demoLa EPA de Escocia no utilizará fondos públicos en ransomware

La agencia ha estado lidiando con las consecuencias de un ataque de ransomware que comenzó el 24 de diciembre de 2020. Desde el ataque, la agencia confirmó que alrededor de 1,2 GB de datos, unos 4000 archivos, se extrajeron en el ataque, incluidos los registros comerciales y de personal. SEPA confirmó que no se involucrará con los atacantes además de retener el pago de rescates con fondos públicos. La investigación aún está en curso, por lo que no se han revelado detalles sobre qué operador de ransomware estaba detrás del ataque.

(Revista de seguridad)

La Comisión Australiana de Valores e Inversiones informa sobre el acceso no autorizado al servidor

El regulador de servicios financieros ASIC se enteró del acceso el 15 de enero y estaba "relacionado con el software Accellion utilizado por ASIC para transferir archivos y adjuntos". El servidor al que se accedió contenía documentos relacionados con las solicitudes de crédito australianas, y el regulador advirtió que el actor de la amenaza puede haber visto información limitada, aunque no hay evidencia actual de que se hayan abierto o descargado archivos. Como medida de precaución, ASIC ha desactivado el servidor y está trabajando en un sistema alternativo para enviar archivos adjuntos de solicitud de crédito. Este es el segundo servidor estatal importante administrado por Accellion al que se accede este mes, y el Banco de la Reserva de Nueva Zelanda informó una infracción en un servicio de intercambio de terceros el 11 de enero. Ambos incidentes parecen ser el resultado de un exploit en un dispositivo de transferencia de archivos de veinte años, y Accellion ya ha emitido un parche.

(El registro)

ADT tech hackeó las cámaras de los clientes

Un ex técnico de la empresa de seguridad para el hogar ADT admitió haber accedido a la cámara de seguridad del hogar de un cliente más de 9,600 veces durante cuatro años, particularmente espiando a mujeres. Como parte de una declaración de culpabilidad por cargos de fraude informático, el técnico dijo que a menudo agregaba su dirección de correo electrónico personal a las cuentas de "ADT Pulse" de los clientes, que proporcionaban acceso en tiempo real a las transmisiones de video desde sus hogares. Esto se hizo sin el conocimiento del cliente o se reveló a los clientes como una prueba temporal a corto plazo del sistema. Los agentes del FBI que investigan el caso recomiendan que cualquier persona con dispositivos conectados compruebe periódicamente quiénes figuran como usuarios autorizados y cambie las contraseñas con regularidad.

(Revista de seguridad)

El caso de los administradores de contraseñas independientes

Brad Chacos, editor senior de PCWorld, sostiene que, si bien los administradores de contraseñas integrados en los navegadores modernos han avanzado mucho, los usuarios estarían mejor y más seguros si usaran una solución de terceros discreta. Señala que las adiciones como la autenticación de dos factores y los generadores de contraseñas seguras han hecho que las soluciones basadas en navegador sean sin duda un mejor administrador de contraseñas que nada, también lo bloquean en un solo navegador. Esto da como resultado bóvedas de contraseñas fragmentadas en múltiples ecosistemas o requiere inicios de sesión engorrosos a diferentes cuentas para acceder a las contraseñas, especialmente kludgy en dispositivos móviles. Los administradores de contraseñas de terceros generalmente tienen herramientas seguras para compartir contraseñas, están diseñados para funcionar en el nivel del sistema operativo en lugar de en una aplicación en particular, y ahora son ampliamente compatibles con iOS y Android.

(Mundo PC)

Los investigadores de seguridad de ESET descubrieron el malware, que parece una campaña de adware que envía enlaces para descargar una aplicación móvil de Huawei falsa. El enlace lleva a los usuarios a una tienda Google Play similar para estimular una descarga de software adicional. Una vez completado, el malware solicita a los usuarios acceso a notificaciones, lo que le permitirá enviar spam a los contactos de WhatsApp de un usuario con enlaces similares gracias a la función de respuesta rápida de la aplicación que permite responder directamente desde una notificación. El objetivo final es que los usuarios caigan en una estafa de suscripción, pero los investigadores advierten que la aplicación solicita permiso para dibujar sobre otras aplicaciones y ejecutarse en segundo plano, abriendo la puerta a otros tipos de exploits en el futuro. Si bien actualmente se limita a los mensajes de WhatsApp, los investigadores advierten que las actualizaciones podrían abusar del acceso de respuesta rápida para propagarse también a otras aplicaciones.

Source: https://cisoseries.com/cyber-security-headlines-january-26-2021/

La seguridad cibernética

Estados Unidos trabajará con Big Tech, sector financiero en nuevas pautas de ciberseguridad

Noticias del mercado…

Published

on

WASHINGTON, 25 de agosto (Reuters) – El gobierno de Estados Unidos dijo el miércoles que trabajaría con la industria para elaborar nuevas pautas para mejorar la seguridad de la cadena de suministro de tecnología, mientras el presidente Joe Biden hizo un llamamiento a los ejecutivos del sector privado para "elevar el nivel de la ciberseguridad. . "

En las reuniones de la Casa Blanca con Biden y miembros de su gabinete, ejecutivos de Big Tech, la industria financiera y las empresas de infraestructura dijeron que harían más frente a la creciente amenaza de ataques cibernéticos a la economía de Estados Unidos.

"El gobierno federal no puede enfrentar este desafío solo", dijo Biden a los ejecutivos enmascarados en el East Room, diciéndoles: "Ustedes tienen el poder, la capacidad y la responsabilidad, creo, para elevar el nivel de la ciberseguridad".

Después de la reunión, la Casa Blanca dijo que el Instituto Nacional de Estándares y Tecnología (NIST) trabajará con la industria y otros socios en nuevas pautas para construir tecnología segura y evaluar la seguridad de la tecnología, incluido el software de código abierto.

Microsoft (MSFT.O), Google (GOOGL.O), Viajeros (TRV.N)y Coalition, un proveedor de seguros cibernéticos, entre otros, comprometido a participar en la nueva iniciativa liderada por NIST.

La ciberseguridad se ha elevado a la cima de la agenda de la administración de Biden después de una serie de ataques de alto perfil a la empresa de gestión de redes SolarWinds Corp (NADAR), la empresa Colonial Pipeline, empresa procesadora de carne JBS (JBSS3.SA) y la empresa de software Kaseya. Los ataques dañaron a Estados Unidos mucho más allá de las empresas pirateadas, afectando el suministro de combustible y alimentos. Lee mas

"Tenemos mucho trabajo por hacer", dijo Biden, citando tanto los ataques de ransomware como su impulso para que el presidente ruso Vladimir Putin responsabilice a las bandas cibernéticas con sede en Rusia, y la necesidad de cubrir casi medio millón de puestos de trabajo de ciberseguridad públicos y privados. .

La lista de invitados incluyó Amazon.com Inc (AMZN.O) CEO Andy Jassy, ​​Apple Inc (AAPL.O) Tim Cook, director ejecutivo de Microsoft, Satya Nadella, director ejecutivo de Microsoft, Sundar Pichai, director ejecutivo de Alphabet Inc, empresa matriz de Google, e IBM (IBM.N) Director ejecutivo Arvind Krishna.

Después de la reunión, Amazon dijo que pondría a disposición del público su capacitación en ciberseguridad de forma gratuita y que entregaría dispositivos de autenticación multifactor a algunos clientes de computación en la nube a partir de octubre.

Microsoft dijo que invertirá $ 20 mil millones en cinco años, un aumento de cuatro veces con respecto a las tarifas actuales, para acelerar su trabajo de seguridad cibernética y poner a disposición $ 150 millones en servicios técnicos para ayudar a los gobiernos federal, estatal y local a ayudar a mantener sus sistemas de seguridad. A hoy.

IBM dijo que capacitará a más de 150,000 personas en habilidades de ciberseguridad durante tres años y se asociará con colegios y universidades históricamente negros para crear una fuerza de trabajo cibernética más diversa.

Google dijo que dedicará $ 10 mil millones a la seguridad cibernética durante los próximos cinco años, pero no estaba claro de inmediato si alguna de las cifras representaba un nuevo gasto. También dijo que ayudaría a 100.000 estadounidenses a obtener certificados de habilidades digitales reconocidos por la industria que podrían conducir a trabajos bien remunerados.

Vishaal Hariprasad, director ejecutivo de Resilience Cyber ​​Insurance Solutions, dijo a Reuters que su compañía trabajaría con el gobierno para establecer estándares claros para la ciberseguridad y exigiría que los titulares de pólizas cumplan con esos estándares.

"Entonces, si una empresa está dispuesta a cumplir con los estándares mínimos, tendrá seguro y, si no, tendrá que identificar esas brechas para poder llegar a esa línea de base", dijo.

"No se trata solo de hacer que nuestras empresas sean más seguras, sino también de garantizar que estamos haciendo algo para abordar a los malos".

El Congreso está sopesando la legislación sobre las leyes de notificación de violaciones de datos y la regulación de la industria de seguros de ciberseguridad, históricamente consideradas como dos de las áreas de políticas más importantes dentro del campo.

Ejecutivos de la empresa de servicios de energía Southern Co (HIJO) y JPMorgan Chase & Co (JPM.N) también asistió al evento.

El evento contó con los principales funcionarios de seguridad cibernética de la administración de Biden, incluido el Director Nacional de Seguridad Cibernética Chris Inglis y el Secretario de Seguridad Nacional Alejandro Mayorkas.

Reporte de Andrea Shalal y Christopher Bing; informes adicionales de Jeffrey Dastin y Stephen Nellis en San Francisco; Edición de Lisa Shumaker y Grant McCool

Descargo de responsabilidad: Las opiniones expresadas en este artículo son las del autor y pueden no reflejar las de Kitco Metals Inc. El autor ha hecho todo lo posible para garantizar la exactitud de la información proporcionada; sin embargo, ni Kitco Metals Inc. ni el autor pueden garantizar tal precisión. Este artículo es estrictamente para fines informativos. No es una solicitud para realizar ningún intercambio de materias primas, valores u otros instrumentos financieros. Kitco Metals Inc. y el autor de este artículo no aceptan responsabilidad por pérdidas y / o daños que surjan del uso de esta publicación.

Source: https://www.kitco.com/news/2021-08-26/U-S-to-work-with-Big-Tech-finance-sector-on-new-cybersecurity-guidelines.html

Continue Reading

La seguridad cibernética

HIMSSCast: La ciberseguridad, la experiencia del paciente y la salud pública dominan la conversación de HIMSS

Los editores de HIMSS Media se sentaron en Las Vegas para discutir los puntos clave de HIMSS21….

Published

on

Esta semana, la conferencia global de HIMSS volvió en persona después de que la pandemia de COVID-19 dejara de lado el evento del año pasado. Después de una semana repleta de cientos de sesiones educativas, decenas de demostraciones de proveedores y nuevos encuentros y saludos, los editores de HIMSS Media se sentaron para un informe.

La ciberseguridad, la experiencia del paciente y la salud pública fueron algunos de los temas principales que se desarrollaron a lo largo de la conferencia.

Con el aumento de las violaciones de datos y los ataques de ransomware, los sistemas de salud están buscando formas de proteger sus datos desde el principio.

"Es necesario incorporarlo. No puede ser una ocurrencia tardía, porque hay mucho en juego. Ya no es solo una cuestión de filtraciones de datos. No es solo una cuestión de mala prensa. Es una cuestión de seguridad del paciente , de verdad ", dijo Mike Milliard, editor ejecutivo de Healthcare IT News.

Los oradores también discutieron la importancia de escuchar a los pacientes cuando se trata de innovar nuevas herramientas.

"Lo que escuché una y otra vez es que el cuidado de la salud quiere saber lo que quiere el paciente", dijo Sue Morse, editora gerente de Healthcare Finance News. "No quieren darles algo que no quieren, y están tratando de averiguar lo que quieren a través de la tecnología y llegar a ellos cómo quieren que se les llegue".

Las discusiones sobre la pandemia de COVID-19 se extendieron a lo largo del programa. Hubo varias discusiones sobre el papel de lo digital en la salud pública.

"La pandemia nos ha mostrado cuán enormemente importantes son las redes sociales, los mensajes de texto y WhatsApp para cómo los gobiernos se comunican con las personas, cómo las personas se comunican entre sí", dijo Jonah Comstock, editor y jefe de HIMSS Media.

Puntos de conversación:

  • El estado de ánimo y la sensación en HIMSS21.
  • Los nuevos ciberataques requieren innovaciones en ciberseguridad.
  • Se prestó más atención a la voz del paciente.
  • Brechas de infraestructura de salud pública expuestas por la pandemia.
  • Aún se necesita más trabajo en interoperabilidad.
  • Incorporar la equidad en salud y la diversidad de ensayos clínicos en la conversación.
  • AI / ML en un papel discreto, pero fundamental.
  • Star Trek y los Supersónicos: modelos para el cuidado de la salud
  • Algunos aspectos destacados de las notas clave
  • Lecciones de COVID, positivas y negativas
  • La explosión de la telesalud y sus secuelas

Mostrar notas:

ONC, CDC quieren reparar el fragmentado sistema de salud pública COVID-19 expuesto

Noticias tecnológicas de HIMSS21: desarrollos en la nube, analítica e interoperabilidad

Actualizaciones y lecciones aprendidas de AstraZeneca, la plataforma AMAZE de MGH

Govs. Chris Christie y Terry McAuliffe intercambian golpes en HIMSS21

COVID-19 arrojó luz sobre nuevas oportunidades para la salud pública en las redes sociales

La IA es el nuevo paradigma para pronosticar el riesgo de enfermedades infecciosas

Rucker, ex director de ONC: las API "potenciarán modelos de negocio totalmente nuevos"

Rainn Wilson nos hace agradecidos por ser el número dos

Director de DHA: La información y la tecnología impulsan una respuesta eficaz a una pandemia

Los oradores también discutieron la importancia de escuchar a los pacientes cuando se trata de innovar nuevas herramientas.

Source: https://www.healthcareitnews.com/news/himsscast-cybersecurity-patient-experience-and-public-health-dominate-himss-conversation

Continue Reading

La seguridad cibernética

COVID no es el único virus que los empleados podrían traer de regreso a la oficina

Por inofensivo que parezca una computadora, las empresas deberían esforzarse tanto en proteger la salud de su red como la de sus trabajadores….

Published

on

Un virus puede ser la mayor amenaza para reaperturas de oficinas en persona, En más de un sentido.

Después de más de un año de trabajo remoto desde oficinas en casa improvisadas, los empleados finalmente regresan físicamente a sus escritorios, junto con los dispositivos personales de los que han estado dependiendo en ausencia de sus computadoras de escritorio y portátiles. Y por más inofensiva que pueda parecer una computadora, las empresas deben hacer el mismo esfuerzo para proteger la salud de su red que la de sus trabajadores.

"Las organizaciones necesitan saber qué tipos de [dispositivos] acceden a sus aplicaciones principales y asegurarse de que sean lo que sean, sean realmente seguros", dice Bert Kashyap, cofundador y director ejecutivo de la empresa de ciberseguridad SecureW2. "Las aplicaciones no discriminan: cuando ingresa a su cuenta de Gmail desde su computadora portátil del trabajo en comparación con su computadora personal, todavía lo deja entrar".

Lee mas: Cómo proteger a su organización de amenazas internas y externas a la ciberseguridad

Más de la mitad de los líderes de TI creen que los empleados han recuperado malos hábitos de ciberseguridad sobre la pandemia, según una encuesta realizada por la compañía de software Tessian, y con el 40% de los empleados planeando llevar sus computadoras personales a la oficina, los tomadores de decisiones de TI están cada vez más preocupados por que los trabajadores remotos también traigan dispositivos infectados y malware.

A diferencia de las computadoras emitidas por la empresa, que normalmente vienen completamente equipadas con software de primera línea para la prevención y detección de intrusiones y pérdida de datos, así como con varios tipos de sistemas de detección de malware según la política corporativa, los dispositivos personales no siempre tienen la misma red de seguridad. .

El desafío para las empresas será implementar el tipo correcto de controles y contrapesos para dispositivos personales, según Kashyap. Eso debe suceder antes de que los empleados se conecten a la red y se les otorgue acceso a información confidencial.

“Idealmente, un empleado [podría usar] su dispositivo personal”, dice Kashyap. "Pero la corporación tendría la oportunidad de determinar cuál es su nivel de amenaza y establecer algunas políticas de manera centralizada y asegurarse de que esas políticas se cumplan".

Lee mas: La tecnología cotidiana, incluso las impresoras, necesita protección de ciberseguridad

Sin estas precauciones, las empresas quedarán vulnerables a las brechas de seguridad cibernética que pueden, y se extenderán, a otros sistemas una vez que el dispositivo comprometido se conecte a la red compartida, advierte Kashyap.

La mayoría de los líderes de TI creen que los ataques de ransomware, que son virus que exigen un pago para volver a liberar la información que fue pirateada, y los correos electrónicos de phishing dirigidos serán una mayor preocupación en un lugar de trabajo híbrido, según Tessian. Eso se debe, en parte, al hecho de que uno de cada tres trabajadores cree que puede salirse con la suya con comportamientos de seguridad más riesgosos desde sus dispositivos personales y el 27% de los trabajadores tiene miedo de decirle a TI cuando ha cometido un error de seguridad.

Las infracciones de ciberseguridad no solo son caras de reparar (el costo promedio de un ataque de malware para una empresa es de más de $ 2.5 millones, según la empresa de plataforma de pruebas de ciberseguridad Cobalt), su daño es expansivo y se extiende a información crítica sobre beneficios para los empleados, como las aplicaciones HIPAA.

Lee mas: Las filtraciones de datos están poniendo en riesgo los datos de los clientes. Esto es lo que pueden hacer los asesores

Abordar la protección de la ciberseguridad se realiza mejor en un enfoque en capas, según Kashyap. En primer lugar, las empresas deben decidir a qué información pueden acceder los dispositivos personales y a qué información solo se debe acceder mediante un dispositivo controlado y emitido por el trabajo. Luego, las empresas pueden comenzar a implementar otros niveles de precauciones, como los fideicomisos de identidad del usuario, que se refiere a los medios para que los empleados se identifiquen cuando inician sesión en un servidor, y los fideicomisos de dispositivos, que son un medio para que el dispositivo en sí se considere confiable y seguro.

“Hemos visto un gran crecimiento sustancial en el espacio de la ciberseguridad”, dice Kashyap. "Las grandes empresas ya están haciendo cantidades sustanciales de [prevención], organizaciones que nunca hubiera pensado que hubieran implementado estas cosas hace apenas tres años".

Source: https://www.benefitnews.com/news/cybersecurity-protection-should-be-critical-to-office-reopening-strategies-post-covid

Continue Reading

Trending