Gestión de vulnerabilidades en el Esquema Nacional de Seguridad (ENS)

Ayer la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad de España (INCIBE) reportó a través de su Newsletter que se ha descubierto una vulnerabilidad (debilidad que puede ser aprovechada por una amenaza) que permite saltarse la seguridad de la contraseña maestra de Mozilla Firefox y Thunderbird con la siguiente clasificación.

Fecha de publicación: 2018-03-19 16:16:26

Gravedad: media

Recursos afectados

Aquellos usuarios que utilicen el navegador Mozilla Firefox, o el cliente de correo Thunderbird, y almacenen sus contraseñas en los mismos.

Descripción

Se ha detectado un fallo de seguridad en el sistema de almacenamiento de contraseñas que ofrecen Firefox y Thunderbird a sus usuarios. Esta característica permite, mediante una contraseña maestra, cifrar las contraseñas guardadas en el navegador o cliente de correo, de forma que todas ellas queden protegidas. Sin embargo, se ha descubierto que el cifrado no se realiza de forma segura, lo que permite romper la contraseña maestra.

Solución

Por el momento no hay disponible una actualización o parche de seguridad con el que se solucione este fallo.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero (y actualizado a través del Real Decreto 951/2015, de 23 de octubre), recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.

El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Varias medidas de seguridad del Esquema Nacional de Seguridad recogen la gestión de vulnerabilidades:

  • 1.1 Análisis de riesgos [op.pl.1]
  • 1.2 Arquitectura de seguridad [op.pl.2]
  • 3.3 Gestión de la configuración [op.exp.3]
  • 6.2 Aceptación y puesta en servicio [mp.sw.2]

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001, es el medio más adecuado para gestionar los riesgos en esa materia.

El anexo A de la ISO/IEC 27001, recoge la medida de seguridad “A.12.6.1 Gestión de las vulnerabilidades técnicas”, que dice lo siguiente:

“Se debe obtener información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información utilizados, evaluar la exposición de la organización a dichas vulnerabilidades y adoptar las medidas adecuadas para afrontar el riesgo asociado”.

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).