Riesgo cibernético

El 20 de marzo, OpenAI eliminó la popular herramienta de inteligencia artificial generativa ChatGPT durante unas horas. Más tarde admitió que el motivo de la interrupción fue una vulnerabilidad en la cadena de suministro de software que se originó en la biblioteca de almacenamiento de datos en memoria de código abierto 'Redis'. Como resultado de esta vulnerabilidad, hubo una ventana de tiempo (entre la 1 y las 10 a.m. […]

En abril de 2023, DHS, CISA, DOE y CESER publicaron un informe titulado "Informe del ciclo de vida compartido de la lista de materiales del software (SBOM)". El propósito del informe era examinar las formas actuales en que las personas comparten SBOM y esbozar, en términos generales, cómo se podría compartir mejor, con mayor sofisticación para […]

A medida que todo el mundo se vuelve cada vez más consciente, la protección de sus cadenas de suministro de software debería ser una parte vital de la estrategia de seguridad cibernética de cada organización. Una de las principales dificultades para crear una estrategia integral para mitigar las amenazas a la cadena de suministro de software es la complejidad y diversidad de las cadenas de suministro. Cada cadena de suministro es única y los elementos […]

A finales de marzo de 2023, investigadores de seguridad expusieron un complejo ataque a la cadena de suministro de software de un actor de amenazas al software de comunicación empresarial de 3CX, principalmente la aplicación de escritorio de llamadas de voz y video de la compañía. Los investigadores advirtieron que la aplicación estaba de alguna manera troyanizada y que su uso podría exponer a la organización a un posible plan de exfiltración por parte de un actor de amenazas. […]

Las canalizaciones de CI/CD son notoriamente opacas en cuanto a lo que ocurre exactamente en su interior. Incluso si usted es quien escribió el archivo de configuración YAML (la lista de instrucciones de canalización), ¿cómo puede estar seguro de que todo sucede exactamente como se describe? Peor aún, la mayoría de los oleoductos son completamente efímeros, por lo que incluso si sucede algo malo, no hay […]

OpenSSL es una biblioteca de software de código abierto ampliamente utilizada para implementar comunicaciones seguras a través de redes informáticas. ¿Qué tan ampliamente se usa? Bueno, lo más probable es que si alguna vez accediste a una página web HTTPS, lo hiciste a través de un cifrado OpenSSL. La biblioteca proporciona funciones criptográficas y protocolos para el cifrado, descifrado, autenticación y verificación de firmas digitales de datos. OpenSSL puede ser […]

Los ciberataques exitosos contra productos de hardware y software son cada vez más frecuentes. Según Cybersecurity Ventures, el cibercrimen le costará al mundo unos 7 billones de dólares en 2022. Con un precio tan alto, no es de extrañar que tanto las empresas como los gobiernos se estén dando cuenta. Estados Unidos abrió el camino con la orden ejecutiva presidencial […]

Se utilizan canales automatizados de CI/CD (integración continua/entrega continua) para acelerar el desarrollo. Es fantástico tener activadores o programación que tomen su código, lo fusionen, lo construyan, lo prueben y lo envíen automáticamente. Sin embargo, haber sido construidos para ser rápidos y fáciles de usar significa que la mayoría de las tuberías no están construidas inherentemente con seguridad en […]

El ritmo al que se revelan nuevas vulnerabilidades aumenta constantemente. Actualmente se sitúa en una media de 15,000 CVE al año. 2022 se destaca con más de 26,000 nuevos CVE reportados. Obviamente, no todas las vulnerabilidades son relevantes para su software. Para determinar si una vulnerabilidad en particular es un problema, primero debe determinar […]

A pesar de la creciente adopción de la Lista de materiales de software (SBOM) para que sirva como herramienta de gestión de vulnerabilidades y ciberseguridad, muchas organizaciones todavía tienen dificultades para comprender los dos formatos SBOM más populares que se utilizan en la actualidad, SPDX y CycloneDX. En este artículo, compararemos estos dos formatos para ayudarlo a elegir el adecuado para […]