Pasar al contenido principal

Boletín Medios de Pago Marzo 2023

Boletín de noticias sobre Medios de Pago marzo 2023

 Novedades

 Destacamos

El estándar de software seguro de PCI recibe un nuevo módulo sobre software web en su versión 1.2

El pasado mes de diciembre el Consejo de PCI (PCI Security Standards Council, PCI SSC) publicó la versión 1.2 del PCI Secure Software Standard. El estándar de software seguro de PCI es uno de los dos estándares que forman parte del marco de seguridad de software (SSF) de PCI. Dicho estándar y sus requisitos de seguridad ayudan a garantizar que el software de pago esté diseñado, desarrollado y mantenido de manera que proteja las transacciones y los datos de pago, minimice las vulnerabilidades y defienda contra los potenciales ataques.       

La versión 1.2 del estándar presenta el módulo de software web, un conjunto de requisitos de seguridad complementarios a los requisitos básicos del estándar de software seguro para el software de pago que utiliza tecnologías, protocolos e idiomas para apoyar o facilitar las transacciones de pago electrónico. Los requisitos de seguridad proporcionados en el módulo de software web identifican los controles de seguridad de software clave que se implementarán para abordar los problemas de seguridad más comunes relacionados con el uso de tecnologías de pago accesibles por Internet.       


En el siguiente enlace puede encontrarse más información:       

https://blog.pcisecuritystandards.org/new-web-software-module-introduced-in-pci-secure-software-standard-version1-2


El Consejo de PCI (PCI SSC) presenta su Centro de Conocimiento Online

Apodado como “Biblioteca de contenido global”, a partir del pasado mes de enero está disponible un Centro de Conocimiento Online de PCI SSC que alberga horas de contenido en vídeo de sus eventos, cubriendo temas sobre tendencias en la industria, estrategias sobre mejores prácticas y soluciones para cualquier persona dentro del ecosistema de pagos. Con el objetivo de aprender directamente de los ejecutivos del Consejo y los expertos de la industria.      

La “Biblioteca de contenido global” está disponible para cualquier persona, sin embargo, los pases de cortesía están disponibles exclusivamente para las organizaciones participantes del PCI SSC, los asistentes a reuniones comunitarias y los asesores.      

Algunos ejemplos de vídeos incluidos en el Centro son:

  • Resolviendo los desafíos de PCI DSS v4.0 con confianza.

  • Respuestas a las 10 preguntas principales sobre PCI DSS v4.0.

  • La evolución continua del Marco de seguridad de software.

  • Prevención de filtración de datos: perspectivas de casos reales.

Más información en el siguiente enlace:       
https://blog.pcisecuritystandards.org/access-hours-of-payment-security-industry-insights


Ya tenemos los resultados de las elecciones del Grupo de Interés Especial de 2023

Una vez realizado el proceso de elección anual del Grupo de Interés Especial (GIE), el Consejo de PCI (PCI SSC) ha confirmado el tema GIE ganador para este año 2023. Las organizaciones participantes del Consejo votaron para finalmente seleccionar “Alcance y Segmentación para Arquitecturas de Redes Modernas”.      

El objetivo es desarrollar una guía para respaldar las prácticas seguras, consistentes y precisas de alcance y segmentación de PCI DSS para las arquitecturas de red modernas. Las consideraciones GIE incluirán:

  • Determinación del impacto de las redes/arquitectura de confianza cero en el alcance y la segmentación de la red de PCI DSS.

  • Definición de los límites del alcance de PCI DSS en implementaciones de microsegmentación y múltiples nubes.

  • Desarrollar y mantener el inventario de activos PCI DSS para entornos efímeros a corto plazo.

  • Identificación de riesgos asociados con la implementación de arquitecturas de red modernas debido a complejidades de configuración.

  • • Orientación sobre requisitos específicos para verificar el alcance y la segmentación.

Más información en el siguiente enlace:       
https://blog.pcisecuritystandards.org/pci-ssc-announces-2023-special-interest-group-election-results

Fuzzing: No todo lo que brilla es oro

En este artículo hablaremos sobre el fuzzing, primero con una breve explicación de qué es, sus principales usos y, finalmente, de una serie de problemas que pueden acarrear su uso ya que, como todo, pese a ser una herramienta muy útil y adaptable, no es perfecta y tiene una serie de riesgos y problemas.


Regulaciones de ciberseguridad del sector asegurador

Una de las prioridades de la Comisión Europea en un mundo cada vez más interconectado digitalmente es garantizar la ciberseguridad. Si bien los ataques en el ciberespacio ya estaban sucediendo con anterioridad, debido a la situación de pandemia global que se ha vivido en los últimos años, no han dejado de aumentar y han llegado a afectar gravemente a instituciones gubernamentales, centros hospitalarios, empresas privadas y por supuesto a usuarios finales de los sistemas de información y comunicación.


Diario de una Intrusión con Ransomware. ¿Cómo pudo haberse evitado?

Durante los últimos años hemos visto como los incidentes relacionados con intrusiones han ido en aumento, principalmente debido a delincuentes relacionados con el Ransomware.      

En este artículo se pretende ilustrar al lector con ejemplos reales de intrusiones para tomar conciencia sobre las dinámicas, tiempos de los que disponen los defensores y las tácticas y eventos que deben de buscar en su red para detectar este tipo de ataques.


Desentrañando las principales novedades de la Directiva NIS2

Desde el año 2013, la Unión Europea está construyendo y fortificando su estrategia de ciberseguridad a fin de asegurar que redes y sistemas de información, ubicados en los Estados miembros, estén protegidos ante potenciales ciberataques.      

Fue el 19 de julio de 2016 cuando, en vistas de un escenario de amenazas cibernéticas in crescendo, el Parlamento Europeo y el Consejo de la Unión Europea dieron un gran paso a favor de la defensa tecnológica publicando la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, comúnmente conocida como Directiva NIS, por las siglas en inglés “Network and Information Security”.


La Seguridad de la Información en la era de la Computación Cuántica

Desde el punto de vista de la seguridad de la información, las capacidades exponenciales que se han explicado frente a la computación tradicional pueden generar que los mecanismos de seguridad que se usan en la actualidad dejen de ser efectivos. Esto alza riesgos potenciales muy elevados en sistemas de información de todo tipo, por ejemplo: sistemas bancarios, sistemas financieros, codificación de misiles balísticos, cifrado de almacenamiento de datos y certificados digitales.


PCI DSS v4.0 – Actualización SAQs

El estándar PCI DSS v3.2.1 ha sido actualizado a la v4.0 el pasado marzo de 2022 por lo que, actualmente, nos encontramos en un periodo de transición entre ambas versiones. Dicho periodo finalizará el 31 de marzo de 2024, momento en el cual la v3.2.1 será retirada y la v4.0 será la única activa. Dentro de este período de transición, estaba previsto que en el Q1 de 2022 se lanzara oficialmente la v4.0, incluidos sus documentos de validación y, finalmente, en abril 2022 se publicaron dichos documentos. Entre los documentos disponibles en la biblioteca pública del PCI SSC para ser usados tanto por comercios, proveedores y empresas QSAC, es posible filtrar por aquellos relativos a los cuestionarios de autoevaluación o SAQs.


El fraude en los pagos. Parte III – Entrega I: Innovaciones en las tarjetas de pago y los sistemas bancarios en pro de la seguridad

Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.

   Análisis de Incidentes

Hackean datos de 9 millones de clientes de AT&T     

En el presente mes de marzo se ha producido una brecha de seguridad en uno de los proveedores que la compañía AT&T utiliza para su marketing. Se detectó un acceso no autorizado a información de ciertas cuentas, incluyendo información como cantidades de pagos mensuales, pagos vencidos, nombres planes y tarifas, cargos mensuales y/o la cantidad de minutos utilizados. El material no incluía ninguna información personal confidencial, como detalles de tarjetas de crédito, números de Seguro Social, contraseñas de cuentas o cualquier otra información de ese tipo. Los clientes que se han visto afectados han sido notificados. Según el comunicado de la firma, ninguno de los sistemas directos de AT&T se vio afectado por el evento..      

Más información en el siguiente enlace:       
https://www.cibertip.com/ciberseguridad/hackean-datos-de-9-millones-de-clientes-de-att/       
 

El ciberataque al Clínic una semana después: un grupo internacional acusado, 4 terabytes de datos robados y un hospital paralizado    

El pasado domingo día 5 de marzo, a las 11:17 horas de la mañana saltaban las alarmas en el Hospital Clínic de Barcelona. A las 11:30 horas aproximadamente, los cuerpos de seguridad ya tenían constancia y tarea para trabajar en el asunto, que no era ni más ni menos que un ciberataque mediante ransomware a dicho establecimiento público.      

Más información en el siguiente enlace:       
https://www.20minutos.es/tecnologia/ciberseguridad/el-ciberataque-al-clinic-una-semana-despues-un-grupo-internacional-acusado-4-terabytes-de-datos-robados-y-un-hospital-paralizado-5109043/      
 

Meta recibe una multa de 413 millones de dólares en la UE por incumplir las normas del RGPD    

La Comisión de Protección de Datos de Irlanda (DPC) ha anunciado que multará a Meta con un total de 413 millones de dólares por incumplimiento del RGPD (Reglamento General de Protección de Datos) europeo relacionado con el manejo de información personal por parte de la empresa en Facebook e Instagram.       

Más información en el siguiente enlace:       
https://cso.computerworld.es/empresas/meta-recibe-una-multa-de-413-millones-de-dolares-en-la-ue-por-incumplir-las-normas-del-gdpr      
 

   Tendencias

Servicios públicos seguros y confiables para la ciudadanía: FEMP y CNI-CCN afrontan el reto de la ciberseguridad en los Gobiernos Locales

Prevención y capacidad de reacción ante los ciberataques son las herramientas con las que cuentan tanto los Gobiernos Locales como el resto de las Administraciones a la hora de garantizar la prestación de servicios públicos y confiables para la ciudadanía. Así lo han asegurado el Secretario General de la FEMP, Carlos Daniel Casares, y la Secretaria de Estado Directora del Centro Nacional de Inteligencia, CNI, Esperanza Casteleiro, en sus intervenciones de apertura de la Jornada sobre Ciberseguridad en Entidades Locales, organizada por ambas organizaciones. En el marco de este encuentro se ha presentado la “Guía para para la Gestión de Crisis para Ciberincidentes en las Entidades Locales”.


Once organismos públicos participan en un nuevo proyecto piloto de la Red Nacional de SOC para impulsar el intercambio de información sobre ciberincidentes

El Centro Criptológico Nacional ha puesto en marcha una iniciativa para consolidar el despliegue de la Red Nacional de Centros de Operaciones de Ciberseguridad. En este nuevo proyecto piloto participan once organismos públicos para impulsar el intercambio de información relativa a incidentes. Esta iniciativa tendrá como objetivo mejorar las capacidades de detección y respuesta dentro de la Red Nacional de SOC, integrando nuevas herramientas a la plataforma para la incorporación de información de eventos e incidentes de seguridad, así como de vulnerabilidades obtenidas de las herramientas SIEM y de gestión de vulnerabilidades.


ChatGPT: los ciberdelincuentes pueden usarlo como parte de sus estafas

ChatGPT es un sistema de Inteligencia Artificial capaz de generar escritos que apenas se diferencian de los elaborados por una persona. Por ello, los ciberdelincuentes aplican esta tecnología a los ataques de spear-phishing, estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Escribir mensajes personalizados suponía hasta ahora un gran esfuerzo para los ciberdelincuentes, pero con ChatGPT ya no será así: permite crear correos de phishing persuasivos, personalizados y masivos. De este modo, se prevé que los ataques de éxito basados en este modelo de Inteligencia Artificial crecerán.


El Centro de Ciberseguridad de Google en Málaga abrirá en 2023

Google anunciaba en 2021 la instalación de un centro de excelencia de ciberseguridad en el edificio del Gobierno Militar de Málaga. A día de hoy, la multinacional sigue avanzando en los trabajos de adecuación del edificio situado en el Paseo de la Farola, con previsión de su abertura en los primeros meses de 2023.


El Parlamento Europeo prohíbe el uso de TikTok en los móviles oficiales para evitar ciberataques

Otras instituciones, como la Comisión Europea y el Consejo de la UE, ya recurrieron a esta medida de prevención a finales de febrero. El motivo que ha empujado Bruselas a tomar una iniciativa tan radical es la necesidad de reforzar la ciberseguridad, según ha explicado la portavoz Sonya Gospodinova. «La medida está en línea con nuestras estrictas políticas internas de ciberseguridad para el uso de dispositivos móviles en comunicaciones relacionadas con el trabajo», ha destacado la portavoz de la Comisión Europea.


Lo último en estafas es usar deepfakes de audio que imitan la voz de seres queridos para pedir dinero urgente

Empieza a ser un tema recurrente el hablar de los peligros que se esconden tras los deepfakes de audio generados por IA que son capaces de imitar voces de seres queridos para cometer ciberdelitos. Un ejemplo es el de de Ruth Card (73 años) que recibió una llamada supuestamente de su nieto Brandon que le comentaba que estaba en la cárcel sin teléfono ni tarjeta. "Necesito dinero para la fianza", decía una voz que sonaba exactamente igual que la del familiar.

   Webinars

ISecWebinar: Proactividad anticipada en el entorno empresarial mediante un SOC de Ciberinteligencia 

Durante el webinar se abordamos cómo utilizar las herramientas y técnicas de Seguridad de Operaciones de Seguridad (SOC, por sus siglas en inglés) para anticipar y prevenir problemas de seguridad en un entorno empresarial. También mostramos cómo identificar diferentes puntos sobre los que un SOC de Ciberinteligencia puede ayudar a contrarrestar las técnicas utilizadas por los cibercriminales sobre nuestras organizaciones, monitorizando y analizando la actividad en una red empresarial, detectando patrones y tendencias que indiquen posibles amenazas, y así poder tomar medidas proactivas para mitigar esos riesgos antes de que causen daño.      
Durante el webinar se ha habla sobre:

  • Introducción

  • Riesgos Globales

  • Situación actual

  • SOC Ciberinteligencia

Enlace para acceder al video:      
https://www.youtube.com/watch?v=Sco96iklSgM

ISecWebinar: Viaje a las nuevas versiones para conocer presente y futuro del estándar ISO 27001 

El pasado año 2022 se publicaron las nuevas versiones de los estándares ISO/IEC 27001 e ISO/IEC 27002 pero ¿Qué novedades añaden? ¿Qué implica para las empresas estos cambios? ¿A partir de cuándo se debe cumplir con los nuevos requisitos? Estas y más cuestiones sson las que abordamos en este webinar.      

Durante el webinar se han tratado los siguientes aspectos:

  • Introducción: Cronología de los estándares ISO 27001 e ISO 27002

  • Octubre 2022: La nueva versión ISO 27001 – Cambios

  • Febrero 2022: La nueva versión ISO 27002 – Cambios

  • Nuevos controles

  • Próximos pasos

Enlace para acceder al video:      
https://www.youtube.com/watch?v=HM3WgOrLcYQ

Internet Security Auditors      
C. Santander, 101. Edificio A-2. E-08030 Barcelona (España) | Telf.: +34 93 305 13 18       
C. Arequipa, 1. E-28043 Madrid (España) | Telf.: +34 91 763 40 47      
Transversal 22 # 98-82 Ed. Porta 100 Of. 1003. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88       
 
síguenos en FBsíguenos en LinkedInsíguenos en Instagramsíguenos en YoutubeRSS Blog

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com      

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com