#cyberseguridad — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #cyberseguridad, aggregated by home.social.
-
Ojo a esto, que se que bastante gente de por aquí usa JDownloader.
Web comprometida e instaladores con malware. Revisad que versión tenéis.
-
Ojo a esto, que se que bastante gente de por aquí usa JDownloader.
Web comprometida e instaladores con malware. Revisad que versión tenéis.
-
Ojo a esto, que se que bastante gente de por aquí usa JDownloader.
Web comprometida e instaladores con malware. Revisad que versión tenéis.
-
Ojo a esto, que se que bastante gente de por aquí usa JDownloader.
Web comprometida e instaladores con malware. Revisad que versión tenéis.
-
Ojo a esto, que se que bastante gente de por aquí usa JDownloader.
Web comprometida e instaladores con malware. Revisad que versión tenéis.
-
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC #cyber #cyberseguridad www.lavanguardia.com/vida/2026050...
Un ataque a una plataforma edu... -
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC #cyber #cyberseguridad www.lavanguardia.com/vida/2026050...
Un ataque a una plataforma edu... -
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC
-
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC
-
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC
-
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC
-
La Vanguardia: Un #ataque a una plataforma #educativa expone datos de #estudiantes y #profesores de la #UOC
-
Hi folks. It's Andrew with another update on our battle over the "wrong to repair" bill that continues to move through the Colorado legislature, SB26-090.
I am asking anyone, but especially those with a background as a cybersecurity practitioner, to please consider submitting written or live/virtual testimony TODAY to the committee who will be hearing this bill, starting at 1:30pm mountain time.
This afternoon, in a little under four hours, a House committee will be hearing testimony on the bill. If you have been waiting for your moment, this might be the last chance you have this session to weigh in and express your support for this critical right we may lose in the next few days.
Opponents of Colorado's right to repair law, which only came into effect on January 1, include companies like IBM and Cisco Systems. They are making outrageous and counterfactual claims about the right to repair in order to pressure lawmakers into accepting this bill that would exclude any technology classified as "critical infrastructure" as exempt from the right to repair law.
One of the most egregiously wrong claims they have repeatedly made is that a "right to repair" items like a firewall somehow makes the products Cisco and IBM sell less safe from a cybersecurity perspective. After the committee hearing last month, I spoke in the hallway with the government affairs person from Cisco. I asked him to explain it to me, a cybersecurity professional, why being able to fix a broken firewall presents a cybersecurity risk.
He could not explain it, simply repeating that giving people access to internal schematics in order to let them repair parts in a network edge device somehow presents a risk that adversaries would then be able to more easily reverse-engineer the product.
The cybersecurity folks know where this is leading: They are claiming that the obscurity of their documentation about their products is the cybersecurity feature that protects them from attack.
Those of us who are practitioners in this space know that obscurity provides no security whatsoever in the long term, and that giving people the ability to replace broken parts, like power supplies, does not threaten the cybersecurity of a router or firewall any more than replacing a power cord.
After all, data centers have tight security about who is allowed in or out, and engage with cyber- and physical pentesters to routinely check the security of their facilities.
The reality is that the west's biggest adversary, China, already has every model of every firewall on earth in its possession, and has thrown brigades of bodies at them to perform the reverse engineering Cisco claims they want to prevent. That cat is out of the bag. This bill will not provide any cybersecurity protection to any Cisco firewall.
As I said to the Cisco lobbyist, if an adversary already has physical access to the device, it's game over. Adversaries don't swap out broken hard drives or power supplies.
Beyond that specious argument, there is a secondary problem with the bill: It never defines with any necessary level of detail what comprises "critical infrastructure" - which means that, if a regular, commercial TV set you can buy at Costco is being used as a monitor in a SOC, it's possible that those commercial products will end up lumped into the category of "critical infrastructure."
We all know that what makes electronic infrastructure critical is not what it is - phones, laptops, desktops, printers, scanners, even desk lamps - but how and where, and for what purpose it is used
What this bill appears to be about, and why Cisco and IBM are fighting to advance it so hard, is that it enables the rent-seeking behavior of companies who want to lock their customers in to expensive annual support contracts, and lock third-party support companies out of the equation. That's literally all this is, a way to defend an ongoing revenue stream. Any arguments other than that make no sense.
If you can, please consider testifying in person: The lobbyists have seemingly infinite time and access to these legislators, and have been steamrolling the entire process through, using ridiculous lies and arguments that make no sense to anyone with background as a practitioner.
we want to focus on three core messages:
This bill is ridiculously broad and would sweep up most IT equipment, limiting repair options for everyone from Fortune 500 companies to small mom-and-pop businesses, schools, hospitals, libraries, universities, local governments, law enforcement agencies and more.
It is a false premise to claim that repair tools are a security risk and limiting those tools to the manufacturer's repairers is safer.
This bill allows manufacturers to lock out repair competition and monopolize repair for their products; that drives up costs, reduces quality, and can undermine the secondary market.
If you can share your personal background and experience and speak to how limiting access to repair tools will not make products safer would be great. You don't need to be a Colorado resident, or even based in the US.
Here's how you do it:
sign up to testify here: https://sites.coleg.gov/public-testimony/sign-up-to-testify/step-1- Search for SB26-090
- Select the bill when it pops up
- Fill in your details including whether you are testifying in-person or remotely. Please select "Oppose" for your position.
- Enter your information
- Show up and, when called, give your two (or three, depending on how many/few sign up) minutes of testimony, and be prepared to answer questions
The people pushing this bill are counting on the fact that this is happening in the middle of a workday, when we're all trying to wreck hackers. But this is a case where we, as a community, need to stand up for what's right. Not doing so will make all of our jobs harder in the future. I hope to see you there.
#COpolitics #RightToRepair #activism #hackers #cybersecurity #cybersicherheit #cyberseguridad
-
📣 Post importante, se agradece compartir.
Para mí final de la materia de Diseño Instruccional tenemos que hacer una planeación de un tema para un curso.Mi equipo decidió retomar lo ya investigado en un trabajo anterior sobre Seguridad informática a nivel usuario doméstico sin embargo la información que tenemos no es la suficiente para un curso y parte del trabajo require el involucramiento de expertos temáticos.
Por ello me gustaría una segunda opinión de parte de expertos en el tema para saber qué temas y conceptos son necesarios tocar.
Los tres temas que decidió el equipo fueron:
- Introducción a la seguirudad en línea
- Seguirudad en redes sociales
- Protección de datos en menores de edad
Me gustaría tener sus aportes para poder ir encaminando la investigación y ya nosotros hacer el guión instruccional con base en la info específica a buscar.
-
Acabo de terminar una presentación para mis empleadores que estoy orgulloso y todo :D
#Cyberseguridad #SiguenBuscandoProyectoPaMi #PeroNoSabenVenderme #AVerSiEstoMasElCVMasLaCartaDeRecomendacionEstelarDeMiAntiguoJefeAyudan
-
Ultimos días de trabajo:
<Supervisor> - Para esto de que no hay evidencias de que se haya resuelto una vulnerabilidad descubierta por el equipo de cyberseguridad, tenemos que hacer una plantilla para procesarlo. Podemos* hacer una?<Yo, tras soltar un largo suspiro> - Mira, lo que tenemos es un procedimiento que estandariza que se tiene que pedir, que incluye la descripción de la acción tomada (con el visto bueno del equipo técnico), los comentarios sobre el cierre y el riesgo residual potencial por parte del técnico que validó dicho workaround, la validación por parte de alguien alto en el escalafón si el riesgo es crítico o alto y en caso de necesitar un retest no se pide, pero todo ha de estar justificado por escrito e integrado en el informe final de seguridad del proyecto.
<Supervisor> - Vale, entonces solo queda definir la acción.
<Yo> - Que acción? Si la acción a tomar depende de cada caso y proyecto?
<Supervisor> - Por acción digo trabajar en una plantilla.
...
Hay un dicho que dice que "cuando un tonto toma una linde, la linde se acaba y el tonto sigue".
No se por qué me ha venido a la cabeza...
*[interesante uso del plural, porque lo tendré que hacer solo]
#Cyberseguridad #Anecdotas #NoSeSiReirOLlorarOLlorarFuerte #YouAreSoStupidPuntoGIF
-
Ultimos días de trabajo:
<Supervisor> - Para esto de que no hay evidencias de que se haya resuelto una vulnerabilidad descubierta por el equipo de cyberseguridad, tenemos que hacer una plantilla para procesarlo. Podemos* hacer una?<Yo, tras soltar un largo suspiro> - Mira, lo que tenemos es un procedimiento que estandariza que se tiene que pedir, que incluye la descripción de la acción tomada (con el visto bueno del equipo técnico), los comentarios sobre el cierre y el riesgo residual potencial por parte del técnico que validó dicho workaround, la validación por parte de alguien alto en el escalafón si el riesgo es crítico o alto y en caso de necesitar un retest no se pide, pero todo ha de estar justificado por escrito e integrado en el informe final de seguridad del proyecto.
<Supervisor> - Vale, entonces solo queda definir la acción.
<Yo> - Que acción? Si la acción a tomar depende de cada caso y proyecto?
<Supervisor> - Por acción digo trabajar en una plantilla.
...
Hay un dicho que dice que "cuando un tonto toma una linde, la linde se acaba y el tonto sigue".
No se por qué me ha venido a la cabeza...
*[interesante uso del plural, porque lo tendré que hacer solo]
#Cyberseguridad #Anecdotas #NoSeSiReirOLlorarOLlorarFuerte #YouAreSoStupidPuntoGIF
-
Ultimos días de trabajo:
<Supervisor> - Para esto de que no hay evidencias de que se haya resuelto una vulnerabilidad descubierta por el equipo de cyberseguridad, tenemos que hacer una plantilla para procesarlo. Podemos* hacer una?<Yo, tras soltar un largo suspiro> - Mira, lo que tenemos es un procedimiento que estandariza que se tiene que pedir, que incluye la descripción de la acción tomada (con el visto bueno del equipo técnico), los comentarios sobre el cierre y el riesgo residual potencial por parte del técnico que validó dicho workaround, la validación por parte de alguien alto en el escalafón si el riesgo es crítico o alto y en caso de necesitar un retest no se pide, pero todo ha de estar justificado por escrito e integrado en el informe final de seguridad del proyecto.
<Supervisor> - Vale, entonces solo queda definir la acción.
<Yo> - Que acción? Si la acción a tomar depende de cada caso y proyecto?
<Supervisor> - Por acción digo trabajar en una plantilla.
...
Hay un dicho que dice que "cuando un tonto toma una linde, la linde se acaba y el tonto sigue".
No se por qué me ha venido a la cabeza...
*[interesante uso del plural, porque lo tendré que hacer solo]
#Cyberseguridad #Anecdotas #NoSeSiReirOLlorarOLlorarFuerte #YouAreSoStupidPuntoGIF
-
Ultimos días de trabajo:
<Supervisor> - Para esto de que no hay evidencias de que se haya resuelto una vulnerabilidad descubierta por el equipo de cyberseguridad, tenemos que hacer una plantilla para procesarlo. Podemos* hacer una?<Yo, tras soltar un largo suspiro> - Mira, lo que tenemos es un procedimiento que estandariza que se tiene que pedir, que incluye la descripción de la acción tomada (con el visto bueno del equipo técnico), los comentarios sobre el cierre y el riesgo residual potencial por parte del técnico que validó dicho workaround, la validación por parte de alguien alto en el escalafón si el riesgo es crítico o alto y en caso de necesitar un retest no se pide, pero todo ha de estar justificado por escrito e integrado en el informe final de seguridad del proyecto.
<Supervisor> - Vale, entonces solo queda definir la acción.
<Yo> - Que acción? Si la acción a tomar depende de cada caso y proyecto?
<Supervisor> - Por acción digo trabajar en una plantilla.
...
Hay un dicho que dice que "cuando un tonto toma una linde, la linde se acaba y el tonto sigue".
No se por qué me ha venido a la cabeza...
*[interesante uso del plural, porque lo tendré que hacer solo]
#Cyberseguridad #Anecdotas #NoSeSiReirOLlorarOLlorarFuerte #YouAreSoStupidPuntoGIF
-
Ultimos días de trabajo:
<Supervisor> - Para esto de que no hay evidencias de que se haya resuelto una vulnerabilidad descubierta por el equipo de cyberseguridad, tenemos que hacer una plantilla para procesarlo. Podemos* hacer una?<Yo, tras soltar un largo suspiro> - Mira, lo que tenemos es un procedimiento que estandariza que se tiene que pedir, que incluye la descripción de la acción tomada (con el visto bueno del equipo técnico), los comentarios sobre el cierre y el riesgo residual potencial por parte del técnico que validó dicho workaround, la validación por parte de alguien alto en el escalafón si el riesgo es crítico o alto y en caso de necesitar un retest no se pide, pero todo ha de estar justificado por escrito e integrado en el informe final de seguridad del proyecto.
<Supervisor> - Vale, entonces solo queda definir la acción.
<Yo> - Que acción? Si la acción a tomar depende de cada caso y proyecto?
<Supervisor> - Por acción digo trabajar en una plantilla.
...
Hay un dicho que dice que "cuando un tonto toma una linde, la linde se acaba y el tonto sigue".
No se por qué me ha venido a la cabeza...
*[interesante uso del plural, porque lo tendré que hacer solo]
#Cyberseguridad #Anecdotas #NoSeSiReirOLlorarOLlorarFuerte #YouAreSoStupidPuntoGIF
-
Tirando del hilo he encontrado:
- El código CVE de marras es de una vulnerabilidad detectada en Enero de 2022.
- Y parcheada en FEBRERO DE 2022.
- No cuadra PARA NADA que 3500 equipos estén sin actualizar desde hace más de 3 años y medio.
- Así que hago lo único que una persona sensata haría: me puse en contacto con el encargado de las actualizaciones.
- Este compañero tiene acceso a cierta herramienta con la que puede verificar en que estado de actualización están los equipos, que vulnerabilidades les afectan y tal... creo que ya sabéis por donde van los tiros...
#UnCuento #Cyberseguridad -
Si yo no se cual es la vulnerabilidad tengo que fiarme de lo que me dicen... y eso, amics, no es algo que se tercie en cyber.
Un jefe mío me decía que a uno de cyberseguridad le pagan por ser paranoico... y a mi estas cosas me saltan las alarmas.
En fin, que he estado 3 semanas dando la vara para que los pentesters me dieran el código de marras para comprobarlo...
Y al final no me lo han dado, me han dado un enlace a GitHub con el código para explotar dicha vulnerabilidad. Es raro, pero al menos tengo esto.
(no da idea de que sepan que hacen, cosa que muchas empresas que hacen pentest terminan haciendo: ellos pagan una licencia carísima de un software que analiza, sacan un informe automático sin leerlo ni entenderlo y ya allá tú te las compongas... pero al menos tienen la decencia de decirtelo!!)
-
Un código CVE es un estandar que las empresas suelen emplear para mostrar sus vulnerabilidades al mundo y que la gente encargada de mantener sus sistemas tengan en cuenta.
Es una cosa muy básica el que si tienes una vulnerabilidad esta es medida por lo gorda que es, lo facil que es de atacar y demás... y que sea publicado en las paginas del ramo (NIST, por ejemplo) para que se pueda consultar.
No había código CVE para este riesgo en este informe.
Es más, A NADIE LE PARECIÓ RARO QUE NO HUBIERA NI UN CVE EN TODO EL INFORME.
-
Yo estaba a otras cosas y me enteré de esto después.
Y casi me da algo, porque es el equivalente a lo del chiste de 'si te duele la cabeza córtatela. no hay cabeza, no hay dolor'.
Literalmente.Aparte, no dejaban de salir dudas:
- Cómo es que no todos los ordenadores de un entorno están afectados y solo unos pocos?
- Por qué esta recomendación tan drástica.Y mi favorita de todas y que os hará ser un poco mejores en cyber: Donde está el CVE de este riesgo?
-
En este año nos avisan de que hay una vulnerabilidad MU GORDA relacionada con el servicio de impresión de Windows; y que afecta a más de 3500 equipos.
Entre ordenadores, servidores e impresoras.
Esto per se, no llama mucho, porque Windows tiene muchas vulnerabilidades relacionadas con ese servicio. Es una de sus bestias negras... pero precisamente por eso tienden a sacar parches.
Esto no es lo grave.
Esto es lo sospechoso, porque precisamente en mi empresa no vamos muy retrasados con las actualizaciones en los equipos.Lo raro es que mis superiores se ponen a aplicar como locos la recomendación que es: desactivar el servicio de impresión y borrar los servidores de impresión.
-
En mi empresica, que es tirando a grande, se hace cada año de un departamento distinto... pero con la misma empresa que hace estos tests.
El cosito es que este año nos han venido con un informe más raro de lo normal.
Normalmente cuando te dan un informe la empresa a priori te dice cual va a ser la metodología a utilizar y que tipo de test va a ser (caja blanca, gris o negra) dependiendo de si saben completamente como es la red a atacar por dentro, si solo saben que hay ciertas cosas a las que tienen que intentar llegar o si no tienen ni idea de lo que se van a encontrar).
Ah, también te dicen cuales son las vulnerabilidades encontradas, donde las han encontrado, como las han encontrado, en que consisten y como remediarlas.
-
Enga, antes de dormir os cuento un cuento de cyber seguridad
<hace gestos de fantasía con las manos>
-
Prepárate para la primera edición de RHEDCon0, un evento que celebra la diversidad, el talento latino y el hacking en todas sus formas.
📍 Museo de la Ciudad, Querétaro, México
📅 18 y 19 de octubre de 2025RHEDCon0 es mucho más que una conferencia: es una comunidad para aprender, conectar y compartir.
🌐 Más info: https://rhed.lat
📣 CFP abierto hasta el 16 de septiembre: https://sessionize.com/rhedcon0#RHEDCon0 #SeguridadLatina #CulturaHacker #Querétaro #Cyberseguridad
-
JUAS.
Me acaba de llamar una empresa con la que tuve un proceso de selección hace casi 3 años para ofrecerme puesto en cliente final (seguros)con 60% teletrabajo y cobrando menos que ahora para Arquitecto de Seguridad y Team Leader.
Les he dicho que prefiero estresarme solo pero en mi casa xD
Sinceramente, mi primer pensamiento ha ido a Loki:
#Desesperado #PuestoAlAlzaSueldoALaBaja #MasResponsabilidadesYMasLatigazos #QuienPara #Cyberseguridad
-
🚀 Estamos empolgados em anunciar que o site da Tella agora está em português! 🇧🇷
Explore guias, recursos, histórias de usuários e explicações técnicas sobre a Tella.
Agradecimentos especiais aos nossos amigos da Localization Lab por tornarem isso possível!
tella-app.org/pt-BR/
#português #Privacy #cyberseguridad #privacidade #SegurançaDigital
-
Hace un año, un adolescente hackeó Nvidia. Fue detenido, pero salió bajo fianza.
Bajo supervisión, sin su portátil u otro PC hackeó Rockstar para robar contenido inédito de GTA 6.
¿Cómo lo hizo sin un PC?
Con la TV de un hotel, un Fire Stick y su móvil.
-
Directo conferencia Navaja Negra:
https://www.twitch.tv/navajanegra -
No todo está cifrado de un extremo a otro en las aplicaciones cifradas de un extremo a otro.
Aquí hay una hoja de trucos 😃 sobre qué información está cifrada en cinco aplicaciones de chat, cuál no y por qué son importantes los matices.
| #privacidad #encriptación #cyberseguridad
https://www.washingtonpost.com/technology/2023/08/22/encryption-imessage-whatsapp-google/
-
Acabo de ver el primer capítulo de Mr Robot y me ha encantado, a ver cómo sigue. Me gusta como trata la ciberseguridad de una manera realista y no como te la ponen en la mayoría de otras series donde hackean la NASA en 3 minutos. Me gustaría que me recomienden otras series o películas que traten la ciberseguridad de esta forma.
PD:
me la recomendó mi profesor de Seguridad Informática.