SG36

CIBERSEGURIDAD 45 nio remoto. Una vulnerabilidadhardware afecta al chip-procesador ‘Tegra X1’ de Nvidia, esta vulnerabilidad (impresa en hardware-ROM/WORM/quemando e-Fuses) permite copiar código arbitrario en cualquier lugar de la memoria del dispositivo y por tanto sobre-escribir y anular el comando de verificación de firmas de lo que se instalaba a partir de ese punto en el dispositivo, con ese fallo impreso en hardware se rompe la cadena de confianza y nada de lo que aparezca detrás (el software) puede con- siderarse auténtico, integro, seguro, etc. Según la compañía Veracode lamayoría de las empresas priorizan las vulnera- bilidades recientemente descubiertas mientras dejan persistir las más anti- guas no resueltas (no parcheadas hace años) lo cual es muy peligroso. Según un informe de la compañía Skybox Security durante 2017 se publicaron 200 nuevas vulnerabilidades para entornos OT, un 120%más con respecto al 2016. Además, se registró un aumento del 76% de exploits del lado del servidor. Según un informe de la compañía RiskRecon y el Instituto Cyentia tener dispositivos IoT sin una configuración y ciberseguridad adecuadamultiplica por 70 el ciber-riesgo de exposición de los activos críticos de las empresas debido entre otros aspectos a la dificultad de parchear las vulnerabilidades software. Existen vulnerabilidades: debidas a fallos de losmecanismos SSO (Single-Sign-On) que unificanmúltiples autenticaciones; debidas a una identificación defectuosa de identidades en AIM y SSO; debidas al uso de requisitos débiles para con- traseñas; debidas a la existencia de mecanismos deficientes de recuperación de contraseñas para contraseñas olvi- dadas; debidas a un insuficiente valor para la expiración de sesión (o dejar la sesión siempre abierta); debidas a una autenticación deficiente con inadecua- das restricciones de excesivos intentos de autenticación, que permiten acceso no autorizado a datos de proceso o subproceso; debidas a fallos-deficiencias- infección en la cadena de suministro cibernética (suministro de productos y servicios de ciber-protección, véase el documento NISTIR-8276); debidas a defectuosas configuraciones; debidas a debilidades y deficiencias en el cifrado de los protocolos demensajería instan- tánea Telegram y Whatsapp; debidas a un comportamiento anómalo de containers (incluyen recursos como CPU, memoria, peticiones, uso rendi- miento, etc.); que permiten el escalado de privilegios no autorizado (llamadas de sistema no permitidas); debidas a fallos críticos en estaciones de carga eléctrica de vehículos EVlink; debidas a errores de interfaz en general y de interfaz de usuario en particular (en: GUI (Graphical User Interface), CLI (Command Line Interface), TUI (Text-based User Interface), API (ApplicationProgramming Interface), TMUI (Traffic Management User Interface), interfaces a través de voz (tipo Alexa, Siri, etc.); debidas a fallos y debilidades en elementos criptográficos (algoritmos defectuosos y/o gestión defi- ciente de claves criptográficas); debidas a errores de handler; que permiten crear ficheros de forma no autorizada; que posibilitan fugas de información; debidas a un firmware defectuoso en cámaras IP; debidas al elevado número de APIs, plug-ins y APPs poco seguras; debidas al uso de componentes con deficien- cias conocidas; debidas a fallos en los mecanismos de verificaciónbiométricos incluso mutimodales; debidas a fallos en cifradores, funciones hash, PRNG, firma digital, ZK, OT, etc.; debidas a la calidad deficiente del código (software/ firmware); debidas a errores-fallos de gestión de memoria (que conducen a buffer-overflows), format strings, etc.; debidas a una insuficiente validación de entradas; debidas a una deficiente gestión de credenciales; debidas a deficiencias que facilitan el abuso de APIs; debidas a una deficiente gestiónde errores; debidas a fallos en la validación y estructura; debidas a fallos a la hora de manipular elementos especiales comunes; debidas a errores de canal y path; debidas a errores de equivalen- cia y de pathname traversal; debidas a debilidades en procesos de autenti- cación mono y multifactor; debidas a errores de gestión de recursos; debidas a una insuficiente verificación de datos; debidas a una deficiente evaluación del código, inyección, aleatoriedad y pre- dictibilidad; debidas a una deficiente configuración de ciberseguridad; debi- das a errores numéricos, defectos en el tiempo, estado, etc.; debidas amantener siempre activo (‘always-on’) protocolos de comunicaciones como Bluetooth, WiFi; debidas a utilizar contraseñas de pequeña longitud, baja entropía y que aparecen en el diccionario; debidas a eliminar el mecanismo de límite de reintentos o aumentar el número de reintentos admisible a la hora de intro- ducir contraseñas incorrectas; debidas a la existencia de routersWiFi que tengan su firmware desactualizado; debidas a conectar nuestros equipos con tarjetas dememoria periféricas, pendrives, DVDs, CDROMs, etc. infectados (un dispositivo USB infectados con malware tipo APT Stuxnet se utilizó para sabotear PLCs asociados a centrifugadoras de enrique- cimiento de Uranio de Irán); debidas a la existencia de protocolos inseguros o con deficiencias como SNMPv1, SMBv1, GSM, NTP, etc.; debidas a la existencia de aplicaciones/APPs y sus APIs mal diseñadas, mal implementadas, con configuraciones de red defectuosas; por ejecutar ciertos códigos Shell; debi- das a no verificar adecuadamente las entradas y los contenidos; debidas a no comprobar adecuadamente la auten- ticidad e integridad de mensajes que recibeun vehículo conectado-autónomo comomensajes V2X (vehículo-vehículo y vehículo-infraestructura) CAM, DENM, etc.; debidas a permitir la compartición no intencionada de datos de vehículos conectados-autónomos (errores de administrador, datos almacenados en servidores de garajes, etc.); debidas a la existencia de fuentes y procesos de verificación contaminados ymodificados maliciosamente, debido a no actualizar debidamente nuestros servidores; debi- das a no controlar qué puertos están abiertos en nuestro firewall; debidas a deficientes procesos de microseg- mentación que violan los controles