[ES] [EU] Respuestas en castellano y euskera a las preguntas del #GCAchat (21 de mayo de 2020)

Este tema recoge todas las respuestas dadas en castellano y euskera a las preguntas de la conversación de Twitter que, dentro de la campaña Work From Home, se organizó el 21 de mayo de 2020 (#GCAchat) con el apoyo de nuestros socios del Basque Cybersecurity Centre, del Cyber Readiness Institute y del Scottish Business Resilience Centre.

Las preguntas vienen identificadas con su equivalente en inglés (Q1, Q2, Q3…) para que también sea posible consultar las respuestas dadas en ese idioma.

Si desean añadir alguna respuesta más, por favor, recuerden indicar a qué pregunta se refieren, ya sea copiándola directamente o usando su referencia, Q1, Q2, Q3…

Q1. Empecemos por una pregunta general: se habla mucho de parches y actualizaciones en informática, pero no tengo muy claro en qué consiste todo eso. ¿Podría ayudarme alguien?

Q1. Respuesta 1 (@EMEA_GCA)
Los sistemas, dispositivos y programas necesitan actualizaciones continuas, a veces, como parches para problemas de seguridad o vulnerabilidades que podrían permitir el acceso a sus datos. Estar al día es clave para su ciberseguridad y su negocio: https://community.globalcyberalliance.org/t/blog-working-from-home-patch-to-protect-de-es-fr/858/3…

Q1. Respuesta 2 (@basquecscentre)
Ningún sistema es 100% seguro. Diariamente se descubren fallos que de ser aprovechados pondrían en riesgo la seguridad y privacidad de los usuarios que los utilizan. Es por ello que se publican actualizaciones para corregir dichos fallos y es tan importante instalarlas.

Q1. Respuesta 3 (@basquecscentre)
Sistema bat ere ez da %100 segurua. Egunero aurkitzen dira akatsak, eta horiek aprobetxatuz gero, erabiltzaileen segurtasuna eta pribatutasuna arriskuan jarriko lirateke. Akats horiek zuzentzeko, eguneratzeak daude eta oso garrantzitsua da instalatzea.

Q2. ¿Por qué son tan importantes las actualizaciones para los sistemas informáticos?

Q2. Respuesta 1 (@basquecscentre)
Los parches se utilizan para corregir errores y problemas de seguridad con el software. Cuando una compañía de software descubre un problema con su producto, se moverá rápidamente para poner parches disponibles para ayudar a proteger a sus clientes.

Q2. Respuesta 2 (@basquecscentre)
Adabakiak software-k dituzten akatsak eta segurtasun-arazoak zuzentzeko erabiltzen dira. Software konpainia batek bere produktuarekin arazo bat aurkitzen duenean, azkar mugituko da bezeroak babesten laguntzeko adabakiak eskaintzeko.

Q3. ¿Podrían dar algún ejemplo de #ciberataque reciente en el que se hayan aprovechado de algún sistema sin actualizar?

Q3. Respuesta 1 (@basquecscentre)
En 2019 se registraron más de 20.000 vulnerabilidades, gran parte de las cuales fueron utilizadas para llevar a cabo multitud de ciberataques, entre los que se incluían como objetivo infraestructuras críticas como centrales eléctricas, hospitales, etc.

Q3. Respuesta 2 (@basquecscentre)
2019an 20.000 ahultasun baino gehiago erregistratu ziren, eta horietako asko zibererasoak egiteko erabili ziren, besteak beste: zentral elektrikoak, ospitaleak… bezalako azpiegitura kritikoak erasotzeko helburuarekin.

Q4. ¿Cómo puedo saber si mi equipo está al día, si mis sistemas y programas están actualizados? ¿Cómo puedo asegurarme de que siempre lo estén?

Q4. Respuesta 1 (@basquecscentre)
Debes buscar en Configuración>Actualización y seguridad en Windows. Si es Mac, en Preferencias del sistema>Actualización de software. Aquí podrás ver si tu sistema operativo está actualizado o es necesario actualizar a la última versión.

Q4. Respuesta 2 (@basquecscentre)
Windows-en Konfigurazioa >Eguneraketa eta segurtasuna bilatu behar duzu; eta Mac bada, Sistemaren lehentasunak >Softwarearen eguneratzea. Hemen ikusi ahal izango duzu zure sistema eguneratuta dagoen edo eguneratzea beharrezkoa den.

Q5. ¿Y qué pasa si mis dispositivos dejan de recibir parches y actualizaciones?

Q5. Respuesta 1 (@EMEA_GCA)
Lo mejor sería no usarlos o buscar alternativas. Si no fuera posible, minimice riesgos, úselos solo para lo que los necesite y con las aplicaciones que necesite (elimine las demás), bloquee accesos y elimine cualquier dato innecesario en ellos: How do I protect an old smartphone?

Q5. Respuesta 2 (@basquecscentre)
Hau zailagoa da. Onena ez erabiltzea edo alternatibak bilatzea litzateke. Ezinezkoa bada, arriskuak minimizatu eta behar dituzunerako bakarrik erabili, sarbideak blokeatuz eta beharrezkoak ez diren datuak kenduz. How do I protect an old smartphone?

Q6. ¿En qué medida aumenta el #teletrabajo mi riesgo de sufrir un #ciberataque?

Q6. Respuesta 1 (@EMEA_GCA)
El problema es la falta de preparación. Esta crisis ha sido tan rápida que a muchos los han puesto a teletrabajar con equipos que no podían actualizarse en remoto o, peor, sin equipos de empresa. Gran parte del teletrabajo actual se hace desde equipos privados sin actualizar: Teletrabajo: decálogo de ciberseguridad | BCSC - Centro Vasco de Ciberseguridad.

Q6. Respuesta 2 (@basquecscentre)
Arazoa prestakuntzarik eza da. Dena hain azkar izan denez, asko remoto bidez eguneratu ezin diren ekipoekin telelanean dihardute. Gaur egun etxetik lanean ari diren askok eguneratu ezin diren ekipo pribatuetan egiten dute lan: Telelana: zibersegurtasun-dekalogoa | BCSC - Zibersegurtasun Euskal Zentroa.

Q7. ¿Hay alguna actualización crítica que deba tener en cuenta?

Q7. Respuesta 1 (@EMEA_GCA)
En el siguiente artículo se detallan algunos de los casos más recientes. Una vez conocido un parche, estará en riesgo hasta que no lo aplique: Just Patch It: Update to Avoid Heartache - GCA | Global Cyber Alliance | Working to Eradicate Cyber Risk.

Q7. Respuesta 2 (@basquecscentre)
En el BCSC hemos publicado informes específicos sobre alguna de las vulnerabilidades críticas más recientes:

1. La vulnerabilidad Cable Haunt, por ejemplo, afecta a más de 200 millones de cablemódems, entre los que se incluyen modelos de marcas como Netgear, Sagemcom, Technicolor y otros. Más info en: Vulnerabilidad Cable Haunt | BCSC - Centro Vasco de Ciberseguridad.

2. Kr00k, por su parte, afecta al cifrado utilizado a la hora de establecer la comunicación entre un router y los dispositivos que se conecten al mismo vía WiFi. Se estima que afecta a más de 1.000 millones de dispositivos. Más info en: Kr00k | BCSC - Centro Vasco de Ciberseguridad.

3. Ghostcat es una vulnerabilidad presente en todas las versiones de Apache Tomcat lanzadas en los últimos 13 años. Más info en: Ghostcat | BCSC - Centro Vasco de Ciberseguridad.

4. Y, finalmente, Starbleed es una vulnerabilidad sin solución conocida. Más info en: Vulnerabilidad Starbleed | BCSC - Centro Vasco de Ciberseguridad.

Q7. Respuesta 3 (@basquecscentre)
BCSCn ahultasun kritiko berrienen inguruan txosten espezifikoak argitaratu ditugu. Haria irekiko dugu:

1. Cable Haunt ahultasunak, adibidez, 200 milioi cablemodem-i baino gehiagori eragiten die, horien artean Netgear, Sagemcom, Technicolor eta beste marka batzuen modeloak daude. Informazio gehiago: Cable Haunt ahultasuna | BCSC - Zibersegurtasun Euskal Zentroa.

2. Kr00k ahultasunak router baten eta WiFi bidez konektatzen diren gailuen arteko komunikazioa ezartzeko erabilitako zifratuari eragiten dio. Kalkuluen arabera, 1.000 milioi gailu baino gehiago kaltetuta daude. Informazio gehiago: Kr00k | BCSC - Zibersegurtasun Euskal Zentroa.

3. Ghostcat Apache Tomcat-en azken 13 urteetako bertsio guztietan dagoen ahultasun bat da. Informazio gehiago: Ghostcat | BCSC - Zibersegurtasun Euskal Zentroa.

4. Eta azkenik. Starbleed dekogu. Konponbide ezagunik gabeko ahultasuna. Informazio gehiago: Starbleed Ahultasuna | BCSC - Zibersegurtasun Euskal Zentroa.

Q8. ¿Cuánto tiempo pasa de media desde que se publica una vulnerabilidad hasta que se desarrolla el código para poder aprovecharla?

Q8. Respuesta 1 (@basquecscentre)
El tiempo medio es de 4 o 5 días.

Q8. Respuesta 2 (@basquecscentre)
Batez besteko denbora 4 edo 5 egunetakoa da.

Q9. ¿Cuántas vulnerabilidades se descubrieron en 2019?

Q9. Respuesta 1 (@basquecscentre)
De acuerdo con el NIST, en 2019 se identificaron más de 17.000 vulnerabilidades. Más info en: https://NVD - Statistics.

Q9. Respuesta 2 (@basquecscentre)
NIST-en arabera, 2019an 17.000 ahultasun baino gehiago identifikatu ziren. Informazio gehiago: https://NVD - Statistics.

Q10. ¿Cuánto tiempo pasa de media hasta que se descubre una intrusión en una red?

Q10. Respuesta 1 (@basquecscentre)
Las estimaciones más optimistas indican que pasan al menos 49 días hasta que nos damos cuenta de que alguien ha accedido a nuestra red sin autorización. Es imprescindible mantener actualizados nuestros dispositivos.

Q10. Respuesta 2 (@basquecscentre)
Estimazio baikorrenen arabera, gutxienez 49 egun igarotzen dira norbait baimenik gabe gure sarean sartu dela konturatzen garen arte. Ezinbestekoa da gure gailuak eguneratuta edukitzea.

Q11. ¿Qué son los «bug bounties»?

Q11. Respuesta 1 (@basquecscentre)
Los bug bounties son programas de recompensa. Los investigadores de ciberseguridad que identifiquen vulnerabilidades pueden reportarlas y, como contraprestación, se les da merchandising o incluso dinero.

Q11. Respuesta 2 (@basquecscentre)
Bug bounty-ak sari programak dira. Ahultasunak identifikatzen dituzten zibersegurtasuneko ikertzaileek, kontraprestazio gisa, merchandisinga edo dirua ere jaso dezakete.

Q12. ¿Qué es un proceso de Revelación Responsable de Vulnerabilidades?

Q12. Respuesta 1 (@basquecscentre)
Es el proceso por el cual una vez que se identifica una vulnerabilidad se reporta de manera privada a la entidad afectada y se establece un marco temporal para que se solucione. Finalmente, se da difusión indicando cómo proceder para su mitigación o solución.

Q12. Respuesta 2 (@basquecscentre)
Ahultasun bat identifikatzen denean, modu pribatuan jakinarazten zaio eragindako erakundeari, eta denbora-esparru bat ezartzen da konpontzeko. Azkenik, horren berri ematen da, hura arintzeko edo konpontzeko nola jokatu adieraziz.

Q13. ¿Cuál es el periodo medio en el que reciben actualizaciones de seguridad los sistemas operativos de los dispositivos móviles?

Q13. Respuesta 1 (@basquecscentre)
Los dispositivos móviles Android reciben actualizaciones durante un periodo de entre 18 y 24 días, mientras los dispositivos iOS reciben actualizaciones de seguridad durante un periodo de 36 a 48 días.

Q13. Respuesta 2 (@basquecscentre)
Android mugikorrek eguneratzeak jasotzen dituzte 18 eta 24 egun bitartean, eta iOS gailuek, berriz, segurtasun-eguneratzeak jasotzen dituzte 36 eta 48 egun bitartean.

Q14. Aparte de los parches y actualizaciones, ¿qué otros consejos podemos darles a todos los que se han pasado al teletrabajo (o educación en remoto)?

Q14. Respuesta 1 (@basquecscentre)
Tener un antivirus instalado y actualizado, realizar copias de seguridad periódicas y mantenerlas aisladas, no conectarse a redes wifi públicas, no abrir correos de remitentes desconocidos, etc.

Q14. Respuesta 2 (@basquecscentre)
Antibirusa instalatua eta eguneratua izatea, aldizkako segurtasun-kopiak egitea eta kopia horiek isolatuta edukitzea, wifi sare publikoetara ez konektatzea, igorle ezezagunen mezuak ez irekitzea, etab.

Q15. ¿Alguna otra recomendación de nuestros socios para mejorar nuestra protección?

Q15. Respuesta 1 (@basquecscentre)
Tener un poco de conocimiento sobre ataques puede ser de gran ayuda. El 90% de los ataques comienzan con phishing, por lo que si puedes identificarlos estarás más seguro. Mantenerse al día con las últimas noticias y consejos también es importante.

Q15. Respuesta 2 (@basquecscentre)
Erasoei buruzko ezagutza pixka bat izatea oso lagungarria izan daiteke. Erasoen %90 phishing bidez hasten dira; beraz, identifikatu ahal badituzu, seguruago egongo zara. Azken albiste eta aholkuekin eguneratuta egotea ere garrantzitsua da.