 |
||||
 Novedades |
 Destacamos |
|||
|
El PCI SSC actualiza el suplemento de información "Key Blocks" En este suplemento, el PCI SSC proporciona información para ayudar a las entidades adquirientes de PIN a implementar correctamente los bloques clave, de acuerdo con el requerimiento 18-3 presente en el estándar PCI PIN Security Requirements v3.1. Contiene cambios menores, siendo el más relevante, la incorporación de fechas de vigencia revisadas para las implementaciones de bloques clave que se anunciaron previamente en julio de 2020, y que se incorporaron a los requerimientos de PCI PIN Security Requirements v3.1. En el siguiente enlace puede encontrarse más información:
El PCI SSC publica varias actualizaciones relacionadas con el estándar Card Production Estas actualizaciones afectan a los estándares Card Production and Provisioning Logical Security Requirements y Card Production and Provisioning Physical Security Requirements, ya que se publica la versión 3.0.1 de ambos. Esta nueva versión simplemente corrige erratas gramaticales y de formato, e incluye FAQs. Así mismo, también hay novedades por lo que a los documentos AoC y RoC se refiere. Se publican las versiones 3.0 de los documentos siguientes:
Y se publican dos nuevos AoC y RoC específicos:
Finalmente, también se publica una versión actualizada del documento de Technical FAQs para los requerimientos de seguridad de Card Production. Más información en el siguiente enlace: El PCI SSC abrió, entre el 13 de junio y el 15 de julio, el período de Request for Comments (RFC) para el futuro nuevo estándar Mobile Payments on COTS (MPoC) El PCI SSC está desarrollando un nuevo estándar diseñado específicamente para dar soporte a la evolución de los pagos móviles. El objetivo de este es el de facilitar un estándar de seguridad que admita diferentes canales de aceptación de pagos y métodos de verificación de consumidores en dispositivos COTS. Esta es la segunda RFC de este estándar, y se espera que se publique, si todo va bien, a finales del presente año 2022. Más información en el siguiente enlace: |
Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS en sus versiones v3.2.1 y v4.0. A lo largo de estos últimos meses, las marcas de pago han ido modulando su posicionamiento original. Además, el PCI SSC ha publicado la nueva versión de PCI DSS, la 4.0, y también ha actualizado el contenido de varias FAQ utilizadas como referencia. Por todo ello, ha sido necesario crear un nuevo artículo que se adapte a la realidad actual. |
|||
 Análisis de Incidentes |
||||
| LastPass sufre un ciberataque
LastPass es un gestor de contraseñas utilizado por más de 22 millones de usuarios. Recientemente, la empresa informó que sus sistemas habían sido atacados por ciberdelincuentes. Un tercero sin autorización consiguió acceder a algunas partes del entorno de desarrollo haciendo uso de una única cuenta de desarrollador expuesta. Los atacantes consiguieron exfiltrar fragmentos del código fuente e información técnica propiedad de LastPass, pero, por el momento, no han observado que este incidente haya implicado el acceso a datos de clientes ni a bóvedas de contraseñas cifradas. Más información en el siguiente enlace:
|
||||
| Cisco sufre ciberataque contra su red TI
Cisco ha comunicado un incidente de seguridad que sucedió el pasado 24 de mayo. La investigación ha detallado que las credenciales de un empleado de Cisco fueron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google en la que se estaban sincronizando credenciales guardadas en el navegador de la víctima, empleando para ello técnicas de vishing. Una vez la víctima aceptó las notificaciones push de autenticación multifactor enviadas por el atacante, este accedió a la VPN interna. Tras identificar al atacante, se denegó su acceso a dicha red interna. No se ha observado ningún impacto en sus productos, servicios, datos de clientes/empleados ni en la cadena de suministro. El 10 de agosto, los atacantes publicaron una lista de archivos de este incidente de seguridad, y se calcula que en total podrían haberse exfiltrado 2,8 GB de datos. Cisco confirma que los atacantes intentaron exfiltrar datos, pero que únicamente consiguieron exfiltrar una carpeta de Box vinculada a la cuenta del empleado comprometida, e indican que esta no contiene información sensible. Más información en el siguiente enlace:
|
||||
| El CSIC, víctima de un ciberataque similar al sufrido por la NASA o el Max Planck
El Consejo Superior de Investigaciones Científicas sufrió, el 16 y 17 de julio, un ciberataque de tipo ransomware. Las medidas utilizadas con el fin de controlar y resolver el ataque conllevaron un corte de acceso a la red en diversos centros. Los expertos han señalado, de forma preliminar, que el ataque procedió de Rusia. Más información en el siguiente enlace:
|
||||
| Signal reconoce una brecha de datos que afecta a cerca de 2000 usuarios
Signal ha confirmado que unos 1.900 usuarios de su aplicación de mensajería se han visto afectados por la brecha de datos resultante tras el ataque de phishing que ha sufrido el proveedor de servicios de comunicación Twilio, utilizado por Signal para llevar a cabo la verificación de números de teléfono. La compañía dice que datos como el historial de búsqueda, la información de perfil, la lista de contactos o las personas bloqueadas, no se han visto afectados por esta brecha de seguridad. Más información en el siguiente enlace:
|
||||
 Tendencias |
||||
| ISecAuditors seleccionada de nuevo para el GEAR 2022-24 del PCI SSC
El GEAR (Global Executive Assessor Roundtable) se creó el año 2018 y es un grupo internacional de asesores. El fin de este es el de obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa permite, a los altos ejecutivos de las empresas asesoras en normas PCI, proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan. Internet Security Auditors es una de las 14 empresas que forman parte del GEAR desde su creación, y ha ido renovando su participación hasta la actualidad. Esta renovada participación demuestra el posicionamiento y relevancia de la compañía en el entorno de normas PCI. Los tokens de Visa superan a las tarjetas físicas en circulación Visa ha anunciado que ha emitido el token número 4.000 millones a través del servicio Visa Token Service (VTS). Este servicio sustituye los números de tarjeta de Visa de 16 dígitos por un token digital que solamente la propia Visa puede desbloquear. Un estudio de la marca de pago calcula que, gracias a ello, se ha ayudado a reducir un 28% la tasa de fraude. El hito de los 4.000 millones de tokens supera al número de tarjetas físicas Visa en circulación a nivel mundial. Las nuevas ciberestafas bancarias combinan SMS y llamadas falsas Algunas entidades presentes en el Estado Español han detectado estafas que combinan mensajes y llamadas para engañar a los usuarios. El método empieza con un mensaje móvil haciéndose pasar por el banco, en el que se alerta de una operación efectuada con una cantidad de cientos de euros, en el que se indica que si no se reconoce la actividad, se verifique con el enlace escrito en el propio mensaje. El enlace lleva a una página web muy parecida a la del banco (pero, obviamente, se trata de una página falsa) donde se pide la clave de acceso, la firma electrónica y el DNI. Pasadas unas horas, el usuario recibe una llamada de los ciberdelincuentes, en la que piden un código que hacen llegar al buzón de mensajes, para comprometer la cuenta. Variante de Emotet roba datos de tarjetas de pago en Google Chrome Emotet es un malware que se distribuye por campañas de correo electrónico. El 6 de junio, Proofpoint descubrió que los cibercriminales habían puesto en funcionamiento un nuevo módulo con el fin de robar datos de tarjetas de pago almacenados en el navegador Google Chrome. Dicho módulo tiene la capacidad de exfiltrar los datos recopilados a diferentes servidores de comando y control (comúnmente conocidos como C&C o C2). El pago con tarjeta se impone al efectivo: sube un 68% frente a 2019 pero solo se retira del cajero un 1% más, según BBVA Los datos de BBVA Research, que analizan la evolución del consumo, reflejan que el gasto con tarjeta se impulsó un 68% en mayo, en comparación con el mismo mes de 2019, es decir, antes de la pandemia. Además, cabe destacar que las operaciones no presenciales con tarjetas españolas se multiplicaron por 3,4 desde mayo de 2019 hasta el mes pasado. En cambio, en el mismo período temporal, las retiradas de dinero en efectivo de los cajeros han tenido otra evolución, ya que se encuentran estancadas y han avanzado solamente un 1%. La Fed lanzará el sistema instantáneo de pagos 'FedNow' entre mayo y julio de 2023 La Reserva Federal de Estados Unidos pondrá en marcha el servicio FedNow entre mayo y julio de 2023, una solución de pago instantáneo que estará a disposición de las instituciones financieras de todo el país americano. El objetivo es fomentar una infraestructura de pagos segura, eficiente y ampliamente accesible. Esta solución permitirá que los hogares y las empresas puedan enviar pagos instantáneos en cualquier momento o día, y que los fondos estén disponibles de inmediato. |
||||
| Internet Security Auditors C. Santander, 101. Edificio A, 2º. E-08030 Barcelona (Spain) | Telf.: +34 93 305 13 18 C. Arequipa, 1. E-28043 Madrid (Spain) | Telf.: +34 91 763 40 47 Transversal 22 # 98-82 Ed. Porta 100 Of. 1003. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88 |
||||
     |
||||
|
Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com |
||||
