Novedades de la semana: actualizaciones y vulnerabilidades en CMS
Actualizaciones y vulnerabilidades en CMS
Los CMS son el motor de muchos sitios webs, así que resulta importante estar al día de las actualizaciones:
Si tu página de ecommerce trabaja con PrestaShop, habrás recibido varios mensajes esta semana acerca de un importante problema de seguridad detectado por el equipo de mantenimiento. Dicha vulnerabilidad parece afectar a instalaciones basadas en PrestaShop 1.6.0.10 o superior, que las hace vulnerables a inyecciones de código malicioso. Esto le permitía inyectar código malicioso para así poder conseguir datos de pago de los clientes.
Por ese motivo, PrestaShop ha publicado su versión 1.7.8.7, por lo que se recomienda a todos los usuarios de este CMS actualizar cuando antes. Recuerda por eso que, si tu página web se ha visto afectada por esta vulnerabilidad y ha sido hackeada, esta actualización puede no ser suficiente para proteger tu página web, por lo que el propio equipo de PrestaShop recomienda contactar un especialista para realizar una auditoría completa del sitio.
Si en lugar de PrestaShop tu web se encuentra trabajando con Drupal, se han publicado una serie de actualizaciones para corregir vulnerabilidades de seguridad. Las versiones afectadas son las versiones anteriores a Drupal 7.9.1 de la serie 7 y las versiones anteriores a 9.3.19 y 9.4.3 de la serie 9.
En caso de las versiones de la serie 9 se trata de 4 vulnerabilidades de seguridad, una de severidad crítica y las otras de severidad alta. La más crítica de estas vulnerabilidades, permitiría a un atacante a ejecutar archivos de configuración en un servidor Apache.
Es recomendable actualizar la versión de Drupal para corregir estas vulnerabilidades y tener tu sitio protegido.
Actualización de Firefox: disponible la versión 103
La versión 103 del famoso navegador Mozilla Firefox ya se encuentra disponible antes de tiempo para descargar.
Esta versión arregla ciertos problemas de rendimiento además de añadir ciertas mejores. Por un lado, se mejora el rendimiento en monitores con un refresco alto (120 Hz+), además de activarse automáticamente después de su instalación en la barra de tareas de Windows 10 y 11. Al rellenar formularios PDF, se marcarán las casillas sin rellenar, además de toda una serie de mejoras de accesibilidad.
Por otro lado, esta versión también trae consigo una serie de mejoras, entre las que cabe destacar varias referentes a vulnerabilidades de seguridad.
Ataque ransomware al CSIC
El Consejo Superior de Investigaciones Científicas (CSIC) ha sufrido un ciberataque de tipo ransomware, afectando encriptar tanto la sede central como en varios centros repartidos por España. Por ahora, ni el Ministerio de Ciencia ni el propio CSIC han confirmado oficialmente el incidente.
Según fuentes especializadas en ciberseguridad, el fin de semana la sede oficial, así como las páginas webs de otros organismos (como el Instituto de Ciencias del Mar o la Unidad de Tecnología Marina) dejaron de funcionar a raíz del ciberataque. A modo de cortafuegos, el CSIC desconectó la macrolan, para lo que se apagaron varios centros de investigación y así evitar que se propagara el ataque. Actualmente, todas las páginas web se encuentra nuevamente operativas gracias al trabajo conjunto del CSIC y el Centro Criptológico Nacional.
Pero este no es el único ataque que han recibido organismos de la Administración pública española, con ataques durante el año 2021 al Servicio Público de Empleo (SEPE) o el Instituto Nacional de Estadística (INE) entre otros.
Vodafone evita las llamadas a usuarios de la Lista Robinson
Para quien no conozca la Lista Robinson, se trata de una de las listas de exclusión publicitaria más conocidas a la que cualquier usuario puede inscribirse para evitar llamadas comerciales. Dichas listas de exclusión se encuentran reguladas por la Ley de Protección de Datos, la cual impone la obligación legal de consultar dichas listas a todas las empresas de marketing directo según el derecho de oposición.
Entre 2018 y 2021, la Agencia Española de Protección de Dato (AEPD) recibió más de 190 reclamaciones interpuestas por infracciones de diferentes normativas de protección de datos por parte de Vodafone. La operadora fue multado a raíz de esto a una multa de 8.150.000 € por enviar publicidad a través de llamadas, SMS y correo electrónico a números aleatorios y sin prestar atención a si el destinatario se encontraba en la lista Robinson.
Debido a esta investigación y la consecuente multa, Vodafone ha realizado cambios en como trabaja con las empresas encargadas de captación comercial, obligando a sus distribuidores a usar su proveedor de VoIP para bloquear las llamadas a usuarios inscritos en las listas de exclusión. Desde la resolución de este caso, dos otros casos se han presentado ante la AEPD, donde las multas han repercutido sobre estas empresas externas en lugar de Vodafone.