Novedades de la semana: seguridad y vulnerabilidades

El Proyecto Joomla ha anunciado el lanzamiento de sus nuevas versiones: Joomla 5.0 y Joomla 4.4. Este hito es el resultado de dos años de arduo trabajo por parte de los voluntarios de la comunidad. No se trata simplemente de una actualización incremental, sino de una revisión completa con nuevas funcionalidades, mejoras en la seguridad y un aumento en la velocidad de carga de las páginas.

Entre las nuevas características, destaca un modo oscuro refinado para el panel de administración, avances en la gestión de la caché web y una integración más profunda con Schema.org para mejorar la optimización de los motores de búsqueda. También hay una serie de actualizaciones técnicas, como una mejor compatibilidad con PHP 8+ y Bootstrap 5.3.2, que mantienen al CMS en línea con las tecnologías más actuales.

Lo más interesante es que Joomla ha decidido no llamar a la transición de la versión 4.4 a la 5.0 una “migración”, sino una “actualización”. Esto se debe a que la mayoría de las extensiones de Joomla 4 funcionarán sin problemas en Joomla 5.

Por otro lado, la versión 4.4, aunque carece de nuevas funcionalidades, establece el escenario para una transición más suave a Joomla 5. También vale la pena mencionar que Joomla seguirá ofreciendo soporte para la versión 4.4 durante dos años más.

En resumen, con estas nuevas versiones, Joomla demuestra su compromiso con la innovación, la seguridad y la eficiencia, asegurando que sigue siendo una opción robusta y fiable para usuarios individuales, agencias web y empresas de todos los tamaños.

Seguramente debido a que es el sistema de gestión de contenidos (CMS) más utilizado en el mundo, WordPress no está exento de problemas de seguridad.

Según varios informes, una operación de ciberdelincuencia llamada Balada Injector ha comprometido más de 17.000 sitios WordPress. Esto ha sido posible explotando vulnerabilidades en temas premium populares como Newspaper y Newsmag. Estas vulnerabilidades permiten a los atacantes inyectar un backdoor de Linux que redirige a los visitantes a páginas de soporte falsas y estafas de lotería, entre otras.

Además, otras extensiones y temas populares de WordPress también han presentado vulnerabilidades críticas recientemente. Algunas de las más notables incluyen OpenHook, que permite la ejecución remota de código; Simple File List, que permite la eliminación de archivos por atacantes no autenticados; y Welcart e-Commerce, que permite la carga de archivos arbitrarios. Todas estas vulnerabilidades ponen en riesgo la integridad y la privacidad de los datos en sitios web construidos con WordPress.

Para mitigar estos riesgos, nuestra recomendación es actualizar a las versiones más recientes y utilizar plugins de seguridad como Wordfence. En caso de ser uno de los 17.000 sitios afectados, también se aconseja cambiar todas las contraseñas asociadas a los sitios web.

Sin embargo, estos no son problemas aislados y reflejan la importancia de mantener todas las extensiones, temas y el núcleo de WordPress actualizados para protegerse contra ataques y explotaciones.

Recientemente, gigantes tecnológicos como Google, Amazon y Cloudflare unieron fuerzas para combatir lo que se ha descrito como el mayor ataque de denegación de servicio (DDoS) en la historia de Internet. Este tipo de ataques, comúnmente conocidos por saturar servidores con un flujo abrumador de solicitudes de datos, se ha vuelto cada vez más sofisticado. Ahora hay una nueva técnica en juego que podría causar interrupciones masivas.

En su blog, Google reveló que han neutralizado un flujo de tráfico más de siete veces mayor al del último ataque récord conocido. De manera similar, Cloudflare señaló que el ataque fue “tres veces mayor que cualquier ataque anterior que hayamos observado”.

Amazon Web Services (AWS) también sintió el impacto de esta avalancha de tráfico, confirmando que se trata de “un nuevo tipo de evento de denegación de servicio distribuido”. Aunque información acerca de este ataque solo se ha publicado recientemente, dicho evento empezó en verano y todavía está en marcha.

Según Reuters, estos ataques monstruosos generaron cientos de millones de solicitudes por segundo. Google incluso afirmó que solo dos minutos de uno de estos ataques generaron más solicitudes que todas las vistas de artículos en Wikipedia durante el mes de septiembre de 2023.

Este incidente subraya la creciente necesidad de medidas de ciberseguridad robustas y la importancia de mantenerse actualizado en un panorama de amenazas que en constante evolución.

El Centro Criptológico Nacional (CCN) ha anunciado un logro importante en el mundo de la ciberseguridad: se ha llegado a mil certificaciones en el Esquema Nacional de Seguridad (ENS). Este hito se divide entre 279 organismos del sector público y 721 empresas privadas. Nos complace destacar además que cdmon es una de ellas.

Este hito llega en un momento crucial, dado el aumento cualitativo y cuantitativo de las amenazas en el espacio digital. La certificación ENS asegura que los sistemas de información de las organizaciones cumplan con estándares altos de protección de datos y prestación de servicios. Esto incluye múltiples facetas como la accesibilidad, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de la información.

La certificación también está completamente alineada con las normativas y directivas europeas, incluido el Grupo de Cooperación NIS y la Directiva SRI. Esto facilita la cooperación y el intercambio de información entre los Estados miembros de la Unión Europea. Estas iniciativas apuntan a alcanzar un nivel elevado de ciberseguridad en toda la Unión.

Obtener la certificación ENS implica superar una auditoría rigurosa. Esta es llevada a cabo por entidades de certificación acreditadas por la Entidad Nacional de Acreditación (ENAC) y órganos de Auditoría Técnica del Sector Público reconocidos por el CCN.

En resumen, la marca de 1.000 empresas y organismos certificados demuestra el compromiso continuo para asegurar un ciberespacio más seguro y confiable. Nos enorgullece que cdmon sea parte de esta iniciativa, continuando con nuestro compromiso de ofrecer un servicio seguro y de alta calidad a todos nuestros clientes.