Resumimos algunas de las noticias más relevantes relacionadas con la Seguridad en Medios de Pago compiladas de diferentes fuentes, medios y recursos confiables, con el fin de mantener a nuestros seguidores al día en lo que respecta al ámbito de la seguridad de medios de pago.
Australia's Commonwealth Bank pierde datos de 20 millones de cuentas
Para un país como Australia que tiene 26 millones de habitantes, la potencial pérdida de información del banco Australia's Commonwealth de 19.8 millones de registros en un par de cintas magnéticas podría catalogarse como desastrosa, sin embargo hasta el momento esta información no parece haber sido usada de manera maliciosa. La implementación de unos pocos controles de PCI DSS habría evitado un evento de este tipo.
Fuente: Bank Info Security
Actualización al lineamiento de computación en la nube de PCI SSC
En abril se liberó una revisión del suplemento informativo de lineamientos para computación en la nube. Esta actualización pretende ayudar a entender la responsabilidad compartida para proteger los datos entre todas las partes involucradas y cómo mitigar los riesgos potenciales asociados al uso de la computación en la nube.
Fuente: PCI SSC
Plazo límite para migración a TLS
El 30 de junio de 2018 es el plazo límite para aquellos que aun usan SSL o TLS 1.0 como mecanismo para protección de las comunicaciones. A partir de esta fecha se deberá haber migrado a versiones recientes de TLS en todos los sistemas del ambiente de tarjetahabiente. Solo aquellos POS POI que han sido verificados como no susceptibles a las explotaciones conocidas podrán seguir usando estos protocolos. Algunos recursos han sido publicados por el PCI SSC para aquellos que deben hacer la migración.
Fuente: PCI SSC
Atlanta gastó 2.6 millones de dólares para recuperarse de una crisis de ransomware con perdidas de 52 mil dólares
La municipalidad de la ciudad de Atlanta ha gastado más de 2.6 millones de dólares en los esfuerzos de emergencia para responder el ataque del ramsomware SamSam, el cual pedía un rescate de 50.000 dólares en bicoins por cada estación infectada, no hay información de si se intentó pagar este rescate pero el sitio web de los atacantes que debía recibir la información fue dado de baja. La ciudad ha tenido que establecer 8 contratos para cubrir las necesidades de personal adicional, labores forenses, expertos en infraestructura de la nube, comunicaciones, manejo de crisis, entre otros.
Fuente: Wired
Grupo de hacking detrás de brechas de seguridad en Saks Fifth Avenue
El grupo de tiendas por departamentos de Saks Fith Avenue reveló una brecha en sus tiendas Saks Off 5th y Lord & Taylor, con un impacto sobre 5 millones de tarjetas débito y crédito de sus clientes, este mismo grupo ha estado recuperándose los últimos años de un ataque a otros negocios del grupo (Omni Hotels & Resorts, Trump Hotels, Jason’s Deli, Whole Foods, Chipotle). Estos ataques vienen de un grupo organizado llamado Fin7. Este grupo de habla rusa, generalmente trabaja en horas hábiles y ha desarrollado sus propias herramientas de aplicaciones maliciosas y estilos de ataque que les permite evadir la detección de herramientas antivirus y a las autoridades.
Fuente: Wired
Yahoo multado por permanecer en silencio acerca de la brecha en Mega
La brecha del 2014 que tuvo Yahoo le sigue acarreando multas, esta última está relacionada con la obligación que tienen las empresas de notificar a tiempo las brechas (y no dos años después). Esta brecha que fue detectada por el equipo de seguridad unos días después de que ocurrió y notificada al equipo directivo y al departamento legal, fue revelada por la empresa a las autoridades y al público dos años después de que ocurrió.
Fuente: Naked security
Orbitz revela exposición de 880.000 tarjetas de pago a causa de una brecha de seguridad
La compañía reveló recientemente que uno de sus sitios viejos fue comprometido exponiendo información de las personas que hacen compras en línea, esta brecha expuso cerca de 880,000 registros de tarjetas de crédito junto con información personal como nombre, dirección, fecha de nacimiento, teléfono, dirección de correo electrónico y género. Este tipo de brechas muestran la necesidad de asegurar todas las plataformas de la organización sin dejar de lado las viejas o las que se van a reemplazar por su complejidad para asegurarlas.
Fuente: The hacker news
Datos expuestos de miles de clientes de Delta Air Lines y Sears Holding Corp
Delta Airlines reveló que fue víctima de un brecha donde se pueden haber expuesto miles de datos de pago de sus clientes, esta brecha ocurrió en el proveedor de software [24]7, que igualmente pudo afectar a otros clientes como Sears Holding
Fuente: Certsi
La AEPD centrará sus planes de inspección en los sectores de la salud, financiero y de telecomunicaciones
La AEPD, a través de su directora Mar España, ha reiterado que no habrá moratorias para la aplicación del RGPD uqe debe iniciar su aplicación a partir del 25 de mayo. Seto será tangible con los planes de inspección definidos que iniciarán por los sectores más sensibles: salud, instituciones financieras y telecomunicaciones.
Fuente: Noticias jurídicas
Sin tarjeta requerida: Ataques "Black Box" a cajeros automáticos llegan a Europa
Los incidentes que han venido ocurriendo en diversas partes del mundo sobre los ATMs, se están moviendo a Europa, estos incidentes están asociados a un ataque llamado Black Box que implica el compromiso de un puerto USB expuesto.
Fuente: Bank Info Security
NIST ha liberado un borrador de revisión del estándar 800-57 parte 2, relacionado con el manejo de llaves.
Fuente: NIST
NIST publicó la versión 1.1 del marco de trabajo de ciberseguridad.
Después de varias revisiones el marco de trabajo de ciberseguridad de NIST ha llegado a la versión 1.1, esta nueva versión incluye algunas actualizaciones en el manejo de autenticación e identidad, auto evaluación del riesgo, gestión de la ciber seguridad en la cadena de suministros, revelaciones de vulnerabilidades.
Fuente: NIST
Actualización de Lineamientos del PCI SSC para computación en la nube
El PCI SSC ha publicado una actualización de la guía que apoya la implementación de servicios en la nube para organizaciones que deban cumplir con los requerimientos de la norma PCI DSS.
Fuentes: PCI SSC
Revisión menor de norma PCI DSS
El próximo mes el PCI SSC publicará una revisión menor del estándar PCI DSS que tendrá como número la 3.2.1, esta revisión removerá las fechas que ya han pasado en algunos requerimientos, se actualizará el anexo A2 para reflejar el hecho de que únicamente los POS POI podrán hacer uso de SSL y TLS 1.0 hasta el 30 de junio de 2018.
Fuente: Blog PCI SSC
Infiltración al sitio web del banco BGFI
El 12 de abril el pirata informático "Venganza" de quince años se infiltró en el banco comercial BGFI. En un primer ingreso el pirata modificó la página de acceso administrativo para demostrar que tuvo acceso al sitio, cuatro días más tarde después de que el banco había reportado la corrección, modificó nuevamente la página de acceso al banco.
Fuente: ZatazMag
Desarticulada red de distribución de malware
La red de distribución de aplicaciones maliciosas “ElTest” que operaba desde el 2011 desviando 2 millones de usuarios de sitios legales contenido maliciosos, ha sido (al memos temporalmente) deshabilitada por un grupo de investigadores de seguridad.
Fuente: Bank Info Security
Hackers hallan nueva técnica para evadir detección.
Un grupo de investigadores de seguridad ha detectado una nueva técnica usada por aplicaciones maliciosas para evadir las técnicas de detección, esta técnica llamada "Early Bird" permite que el código malicioso sea inyectado en una etapa temprana del inicio del hilo del código de ejecución evitando que las aplicaciones de detección los detecten. Esta técnica ya ha sido encontrada en tres ataques sofisticados.
Fuente: Seguridad y Firewall
Reporte Trustwave Global Security 2018
El reporte de seguridad global de Trustwave ha sido publicado, algunos puntos que se pueden destacar en este reporte: el crimen organizado ahora está detrás del 50% de las brechas, los ataques ransomware se han doblado, el DDoS, el phishing y ataques de comando y control se han convertido en una amenaza prominente, el error humano sigue contribuyendo en la mayoría de las brechas. El correo electrónico sigue siendo uno de los principales vectores de distribución, Las compañías tienen tres veces más ataques por ingeniería social que ataques técnicos.
Fuente: Trustwave
