Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2013 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos
considerado las noticias más importantes de cada mes publicadas en nuestro
boletín diario.
Enero 2013:
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica siete boletines de seguridad, que solucionan 12 vulnerabilidades. Adobe
también corrige cuatro vulnerabilidades Cold Fusion. Oracle,
por su parte, corrige 86 vulnerabilidades en múltiples productos de su gama.
- Microsoft
publica una actualización fuera de ciclo destinada a solucionar una grave vulnerabilidad
0-day dada a conocer en los últimos días de 2012.
- Kaspersky descubre un malware conocido como "Operación octubre rojo" que parece haber pasado desapercibido mucho tiempo y programado con intereses muy concretos.
Febrero 2013:
- Oracle
adelanta la publicación de un boletín de seguridad para Java por la
gravedad de algunas vulnerabilidades corregidas. Tal es la gravedad, que 26 de
las vulnerabilidades tienen una puntuación CVSS de 10 con posibilidad de
elevación de privilegios.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica 12 boletines de seguridad, que solucionan 57 vulnerabilidades. La
Fundación Mozilla publica ocho boletines de seguridad que en total corrigen
14 vulnerabilidades, que afectan al navegador Firefox, al gestor de correo
Thunderbird y la suite SeaMonkey.
- Se publica una
vulnerabilidad que afecta a iOS 6, la última versión del sistema operativo
móvil de Apple y que permitiría realizar llamadas desde un iPhone bloqueado.
- Se detectan y dan a conocer varias
noticias de ataques
relevantes sobre las redes internas de Facebook, Twitter y Apple, con
infecciones por malware en dichas compañías. Como elemento común los fallos de
seguridad en Java.
- Se cumplen 10 años de los ataques de tipo phishing. 10 años después, el phishing sigue funcionando prácticamente igual que cuando comenzó, La sencillez se demuestra como un arma efectiva.
Marzo 2013:
- Hispasec
realiza un estudio sobre el uso de SPF en la banca, una de las medidas que se pueden adoptar para
intentar que el phishing no caiga en los buzones de los usuarios. Comprobando
que en España está más extendido el uso de esta buena práctica.
- Microsoft
publica siete boletines de seguridad que agrupan 20 vulnerabilidades
diferentes. Adobe
publica una nueva actualización para Adobe Flash Player para evitar cuatro
vulnerabilidades.
- Apple implementa por defecto HTTPS en App Store y soluciona así varios problemas de seguridad documentados desde 2012.
Más información:
una-al-dia (08/01/2013) Boletines
de seguridad de Microsoft en enero
una-al-dia (15/01/2013) Microsoft
publica boletín fuera de ciclo para el último 0-day de Internet Explorer
una-al-dia (16/01/2013) Oracle
corrige 86 vulnerabilidades en su actualización de seguridad de enero
una-al-dia (17/01/2013) Operación
octubre rojo: un malware muy "personal" (I)
una-al-dia (18/01/2013) Operación
octubre rojo: un malware muy "personal" (y II)
una-al-dia (19/01/2013) Adobe
corrige varias vulnerabilidades en Cold Fusion 10 y 9
una-al-dia (04/02/2013) Boletín
de seguridad de Oracle soluciona 50 vulnerabilidades en Java
una-al-dia (12/02/2013) Microsoft
corrige 57 vulnerabilidades en 12 boletines de seguridad
una-al-dia (17/02/2013) Salto de
restricciones en Apple iOS 6 (o cómo realizar llamadas desde un iPhone
bloqueado)
una-al-dia (19/02/2013) Java
detrás de los ataques a Apple, Facebook y Twitter
una-al-dia (20/02/2013) Boletines
de seguridad para productos Mozilla
una-al-dia (26/02/2013) 10 años
de phishing: la eficacia de lo simple (I)
una-al-dia (26/02/2013) 10 años
de phishing: la eficacia de lo simple (y II)
una-al-dia (07/03/2013) SPF
contra el phishing: mejor en la banca española que en el mundo
una-al-dia (12/03/2013) Microsoft
corrige 20 vulnerabilidades en 7 boletines de seguridad
una-al-dia (13/03/2013) Nueva
actualización para Adobe Flash Player
una-al-dia (10/03/2013) Apple implementa
por defecto HTTPS en App Store y soluciona así varias vulnerabilidades
Antonio Ropero
Twitter: @aropero
