NextVision

Errores comunes en la gestión de datos personales

Carolina Calandro — Wed, 28 Jan 2026 13:18:56 +0000

Muchas empresas creen tener la protección de datos personales bajo control.

En la realidad, los mayores riesgos casi nunca vienen de ciberataques ultra-sofisticados… sino de fallas internas que se repiten día tras día.

Más del 80% de las brechas de datos están causadas por errores humanos, malas prácticas internas o procesos desordenados. La tecnología ayuda, pero sin una gestión ordenada, el peligro permanece.

Algunos de los errores más frecuentes que vemos en las organizaciones:

No contar con una visibilidad real y actualizada de qué datos personales se recopilan, dónde se almacenan y quién puede acceder a ellos
Ausencia de responsables claros y asignados para cada tratamiento de datos
Políticas de privacidad y procedimientos bien escritos… que luego nadie aplica ni actualiza
Proveedores y terceros que tratan datos personales sin auditorías, cláusulas adecuadas ni seguimiento efectivo
Respuestas improvisadas o tardías cuando ocurre un incidente o una solicitud de derechos (acceso, rectificación, supresión…)

La tecnología es un pilar fundamental, pero sin orden, responsabilidad y cultura interna, el riesgo legal, operativo y reputacional sigue latente.

La verdadera protección de datos comienza en el día a día de cómo todos manejamos la información.

¿Cómo se evitan estos errores?

Con una gestión activa, transversal y continua de la protección de datos personales.

Un DPO (Delegado de Protección de Datos) externo o interno no es solo un requisito normativo: es el aliado que acompaña a la empresa en el cotidiano, ayudando a:

Ordenar y documentar procesos
Asignar responsabilidades claras en cada área
Supervisar y controlar a proveedores y partners
Implementar medidas reales que reduzcan riesgos… sin frenar el negocio ni la innovación

En este Día Internacional de la Protección de Datos, te invitamos a hacer una pausa y preguntarte:

¿Tu organización está realmente preparada… o solo cree estarlo?

Descubre nuestra solución de DPO aquí.

¡Feliz Día de la Protección de Datos!

Que tus datos (y los de tus clientes) estén protegidos de verdad.

La entrada Errores comunes en la gestión de datos personales se publicó primero en NextVision.

Búsqueda de Ejecutivo/a Comercial – Ciberseguridad

Johanna Arjona — Wed, 14 Jan 2026 11:16:27 +0000

En NextVision acompañamos a organizaciones en la gestión inteligente de los riesgos de ciberseguridad, ayudándolas a construir culturas ciberseguras.
Contamos con presencia en Argentina y España y una trayectoria consolidada en el mercado tecnológico.

Buscamos sumar a nuestro equipo un/a Ejecutivo/a Comercial de soluciones y servicios de ciberseguridad, con foco en el desarrollo de oportunidades, gestión de cuentas y fidelización de clientes en un mercado en constante crecimiento.

Principales responsabilidades

Gestión de contactos y prospectos a través de canales telefónicos y redes sociales.
Desarrollo, seguimiento y cierre de oportunidades comerciales.
Gestión y relacionamiento con proveedores y partners tecnológicos.
Actualización del CRM, seguimiento de pipeline y generación de reportes comerciales.
Elaboración de presentaciones comerciales y presupuestos.
Planificación y organización de la actividad comercial.
Investigación de mercado y análisis de la competencia.

Habilidades y competencias

Buenas habilidades de comunicación y empatía.
Orientación a resultados y capacidad analítica.
Perfil proactivo, con iniciativa y autonomía.
Capacidad para trabajar de forma colaborativa en equipo.

Se valorará especialmente

Experiencia en ventas B2B.
Manejo de herramientas de CRM, BI y paquete Office.
Conocimientos en ciberseguridad o tecnología.
Capacidad para la creación de contenidos comerciales.

Qué ofrecemos

Ambiente colaborativo, diverso y orientado a la innovación.
Desarrollo profesional con oportunidades de capacitación continua.
Modalidad de trabajo flexible e híbrida.
Acceso a plataformas, tecnologías y herramientas del ecosistema de ciberseguridad.
Formar parte de una compañía sólida, con más de 35 años de experiencia en el mercado tecnológico.

Beneficios

Trabajo flexible.
Clases de inglés in-company.
Reintegro de conectividad.
Vacaciones flex.
Día de cumpleaños libre.
Certificaciones y capacitaciones.

Iniciativas de cuidado

Cobertura médica de primer nivel.
1 hora diaria adicional de descanso para colaboradoras en período de lactancia.
Licencia extendida por paternidad.
Gift card por nacimiento o casamiento.

Zona de trabajo: Híbrido – Oficinas en Distrito Tecnológico, Parque Patricios (CABA)
Modalidad: Full-time

Enviar CV y remuneración pretendida a: cv@nextvision.com
Asunto: Búsqueda Ejecutivo/a Comercial

La entrada Búsqueda de Ejecutivo/a Comercial – Ciberseguridad se publicó primero en NextVision.

Búsqueda de Consultor/a Preventa

Johanna Arjona — Tue, 13 Jan 2026 21:22:35 +0000

Sobre Nosotros:

En NextVision, líderes en tecnología y ciberseguridad con más de 35 años en el mercado, estamos en la búsqueda de un/a Consultor/a de Preventa para unirse a nuestro equipo en Argentina. Si sos un profesional apasionado por la innovación y la excelencia en soluciones tecnológicas, ¡esta oportunidad es para vos!

Responsabilidades Principales:

Realizar el relevamiento de requerimientos de negocios y diseñar soluciones técnicas adecuadas para los clientes.
Estimar los esfuerzos y costos de implementación de las soluciones propuestas.Elaboración de propuestas técnicas.
Colaborar con el equipo comercial en el proceso de ventas y con marketing en la elaboración de reportes e investigación.
Generar demos y presentaciones para clientes potenciales.
Despliegue de POCs.
Analizar pliegos y licitaciones para identificar oportunidades de negocio.

Perfil:

Experiencia mínima de 3 años en preventa, venta consultiva o diseño de soluciones en el ámbito de TI / Ciberseguridad.
Capacidad para entender el negocio del cliente y conectar riesgos, personas, procesos y tecnología.
Formación en Sistemas, Ingeniería o carreras afines (no excluyente).Habilidades de comunicación, presentación y storytelling técnico-comercial.

Se valorará especialmente:

Conocimientos en tecnologías como Awareness, Third Party Risk Management, Threat Intelligence, Attack Surface Management.
Capacidad para diseñar demos y experiencias orientadas a negocio (no solo técnicas).
Certificaciones en ciberseguridad, riesgo o tecnologías relacionadas.

Qué te ofrecemos:

Ambiente colaborativo: Nuestra empresa valora la creatividad, la innovación y la diversidad. Te ofrecemos un entorno de trabajo inclusivo, donde tus ideas y perspectivas serán valoradas y respetadas.
Desarrollo Profesional: Desarrollo profesional a través de oportunidades de capacitación y crecimiento continuo.
Equilibrio entre Trabajo y Vida Personal: Equilibrio entre trabajo y vida personal con horarios flexibles y modalidad híbrida.
Trabajar en una compañía sólida: Trabajar en una empresa sólida con amplia experiencia en el mercado.
Acceso a diferentes plataformas, tecnologías y herramientas relacionadas con la ciberseguridad.

Beneficios Adicionales:

Trabajo Flexible
Clases de inglés inhouse: A cargo de Instituto especializado.
Reintegro de uso de Internet con fines laborales.
Vacaciones Flex
Día de cumpleaños libre
Certificaciones y Capacitaciones: NV alienta la capacitación y entrenamiento constante de sus consultores.

Iniciativas de cuidado:

Cobertura Médica de Primer nivel
1 hora adicional a la legal de descanso diario para colaboradoras en periodo de lactancia
Licencia extendida por paternidad: 2 días legales + 15 días adicionales
Gift card por Nacimiento, Casamiento.

Zona de Trabajo: Híbrido. Oficinas en Distrito Tecnológico de Parque Patricios (CABA).

Modalidad: Full Time.

Envía tu CV actualizado y remuneración pretendida a cv@nextvision.com

Asunto del mail: Búsqueda Consultor/a Preventa

Ofrecemos posibilidades de desarrollo profesional y muy buen clima laboral.

La entrada Búsqueda de Consultor/a Preventa se publicó primero en NextVision.

Ekoparty 2025: tecnología y experiencias que dejan huella

Antonella Berardi — Wed, 05 Nov 2025 21:11:08 +0000

Ekoparty 2025, la conferencia de hackers más grande de Latinoamérica, volvió a reunir a miles de profesionales, estudiantes y entusiastas de la ciberseguridad en una nueva edición marcada por la innovación, la creatividad y la colaboración.

Durante tres días, el evento ofreció charlas, talleres y actividades que reflejaron la diversidad y el dinamismo del ecosistema ciber en la región.

En este marco, NextVision y SecurityScorecard se unieron para poner el foco en un tema clave: la gestión del ciberriesgo de terceros.
Experiencia inmersiva de Realidad Virtual
En el stand compartido con SecurityScorecard, NextVision presentó una experiencia exclusiva de Realidad Virtual que permitió a los participantes vivir, en primera persona, los desafíos de la gestión de riesgos de terceros.

A través de distintas propuestas —desde charlas y demostraciones en vivo hasta una experiencia inmersiva en realidad virtual— ambas compañías mostraron cómo las organizaciones pueden alcanzar visibilidad continua y tomar decisiones basadas en datos para proteger su cadena de suministro digital.

Charlas sobre cultura y gestión del riesgo

NextVision tuvo una presencia destacada en el escenario con dos presentaciones que abordaron los desafíos actuales de la ciberseguridad desde diferentes perspectivas:

“Awareness Hacked”

Gisela Pasik, junto a Pedro Adamovic (CISO, Banco Galicia), exploró cómo evolucionar los programas de concientización hacia un enfoque centrado en el comportamiento y la cultura organizacional. Vimos en primera persona el caso de Galicia, con quienes venimos colaborando en Awareness y actividades disruptivas. Mirá el backstage de nuestra acción de onboarding sobre ciberseguridad para nuevos colaboradores.

“Exposición Invisible: Riesgos de Terceros y el Poder de la Automatización”, junto a Fabio da Cruz (Solutions Architect, Latam & Iberia, SecurityScorecard), profundizamos en las estrategias para desarrollar un programa integral y automatizado de gestión del ciberriesgo, resaltando la importancia de contar con visibilidad constante y procesos escalables.

Actividades disruptivas en el BlueSpaceSec

Por segundo año consecutivo, NextVision acompañó al BlueSpace, una Village que promueve la seguridad defensiva.
Las actividades incluyeron el Escape Room y el Ciber Rosco de Ciberseguridad, propuestas que transforman el conocimiento técnico en experiencias lúdicas, interactivas y memorables.

Partners estratégicos

Durante el Día 1, NextVision también acompañó a su partner platinum Kaspersky en su stand, compartiendo novedades, sorteos y charlas con los asistentes.

Construyendo comunidad

Cada edición de Ekoparty deja aprendizajes, nuevas conexiones y la confirmación de que la ciberseguridad se construye en comunidad.
En esta oportunidad, NextVision fue parte de distintas iniciativas que fortalecen ese espíritu:
Participó de las speed interviews, entrevistas breves con candidatos y talentos interesados en sumarse al mundo de la ciberseguridad.

Formó parte de la iniciativa “Women That Hacks”, donde Gisela Pasik, CEO de NextVision, compartió un espacio de mentoreo con jóvenes mujeres que buscan iniciar su camino profesional en el sector.

Estas acciones reflejan una convicción profunda: la seguridad no solo se construye con tecnología, sino con personas, valores y comunidad.

Para NextVision, participar junto a SecurityScorecard en la Ekoparty 2025, y específicamente en la difusión de una visión integral sobre la gestión del ciberriesgo de terceros, fue una forma de seguir aportando a esa construcción colectiva.
Porque proteger ya no es solo implementar tecnología, sino entender los vínculos, los comportamientos y los riesgos que atraviesan todo el ecosistema digital.

La entrada Ekoparty 2025: tecnología y experiencias que dejan huella se publicó primero en NextVision.

CVE: Vulnerabilidades Agosto 2025

Antonella Berardi — Tue, 02 Sep 2025 23:38:03 +0000

CVE: Vulnerabilidades Agosto 2025

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 8.0

• CVES RELACIONADOS: CVE‑2025‑43300

• FECHA DIVULGACIÓN: 29/08/2025

• ACTUALIZACIÓN: 30/08/2025

• RESUMEN: En versiones vulnerables de WhatsApp un usuario no relacionado puede provocar la carga de contenido desde una URL arbitraria, posibilitando la ejecución de código sin interacción del usuario, especialmente cuando se combina con una vulnerabilidad del sistema operativo (CVE‑2025‑43300).

• PRODUCTO AFECTADO:WhatsApp para iOS (< 2.25.21.73), WhatsApp Business para iOS (< 2.25.21.78), WhatsApp para Mac (< 2.25.21.78)

• CAUSAS: Autorización insuficiente en procesamiento de mensajes de sincronización de dispositivos vinculados (CWE‑287).

• CONSECUENCIAS: Ejecución de contenido malicioso de forma silenciosa (zero‑click), posible instalación de spyware, compromiso total del dispositivo sin intervención del usuario.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Actualizar WhatsApp inmediatamente: iOS v2.25.21.73 o superior; Business iOS v2.25.21.78 o superior; Mac v2.25.21.78 o superior; activar Lockdown Mode en iOS; realizar restablecimiento completo si se sospecha compromiso.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE‑2025‑55177

• FECHA DIVULGACIÓN: 20/08/2025

• ACTUALIZACIÓN: 26/08/2025

• RESUMEN: Vulnerabilidad en el framework Image I/O de Apple que permite corrupción de memoria al procesar imágenes maliciosas. Posiblemente explotada en ataques sofisticados dirigidos a individuos específicos.

• PRODUCTO AFECTADO:iOS (< 18.6.2), iPadOS (< 17.7.10 y 18.6.2), macOS Ventura (< 13.7.8), Sonoma (< 14.7.8), Sequoia (< 15.6.1)

• CAUSAS: Validaciones de límites insuficientes al manejar datos de imágenes, permitiendo escritura fuera de los límites asignados (CWE‑787)

• CONSECUENCIAS: Corrupción de memoria, potencial ejecución de código arbitrario o escalación de privilegios, riesgo de ataque “zero‑click” cuando se combina con otra vulnerabilidad (por ejemplo, CVE‑2025‑55177)

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Aplicar actualizaciones oficiales de Apple: iOS 18.6.2+, iPadOS 17.7.10+ (o 18.6.2+), macOS Ventura 13.7.8+, Sonoma 14.7.8+, Sequoia 15.6.1+.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 8.1

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 12/08/2025

• ACTUALIZACIÓN: 15/08/2025

• RESUMEN: Una solicitud especialmente construida explota una falla en el procesamiento de parámetros en FortiWeb, lo que permite que un atacante remoto, sin autenticación, obtenga privilegios administrativos si conoce información no pública del dispositivo o del usuario objetivo.

• PRODUCTO AFECTADO: Fortinet FortiWeb versiones ≤ 7.6.3 (incluyendo 7.6.0–7.6.3), ≤ 7.4.7, ≤ 7.2.10, ≤ 7.0.10

• CAUSAS: Manejo inadecuado de parámetros (CWE‑233), falla en el análisis de la cookie “Era”, provocando el uso de una clave secreta nula para HMAC/sesión.

• CONSECUENCIAS: Impersonación administrativa completa, bypass de autenticación, escalación de privilegios incluso sobre sesiones activas, acceso a funcionalidades administrativas y posiblemente persistencia.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Actualizar a FortiWeb 7.6.4+, 7.4.8+, 7.2.11+ o 7.0.11+; restringir acceso y aplicar inmediatamente según boletín de Fortinet.

• REFERENCIAS:
- Publicación en página oficial.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 30/07/2025

• ACTUALIZACIÓN: 12/08/2025

• RESUMEN: Vulnerabilidad de path traversal que permite a un atacante realizar ejecución arbitraria al extraer archivos desde un RAR malicioso. Exploit en entornos reales.

• PRODUCTO AFECTADO: WinRAR en Windows versiones anteriores a 7.13; también afectan UnRAR, UnRAR.dll y su código fuente portátil.

• CAUSAS: Validación insuficiente de rutas de extracción (CWE-22).

• CONSECUENCIAS: Ejecución automática de malware al iniciar el sistema, instalación de backdoors, robo de información, espionaje persistente.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Actualizar inmediatamente a WinRAR 7.13 o superior; bloquear versiones vulnerables; analizar endpoint para detectar archivos maliciosos; no abrir archivos comprimidos de fuentes desconocidas; emplear soluciones de seguridad que detecten exploits de WinRAR.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 9.4

• CVES RELACIONADOS: CVE-2025-54987

• FECHA DIVULGACIÓN: 05/08/2025

• ACTUALIZACIÓN: 15/08/2025

• RESUMEN: La consola de gestión Apex One (on‑premise) de Trend Micro permite que un atacante remoto preautenticado cargue código malicioso y ejecute comandos.

• PRODUCTO AFECTADO: Trend Micro Apex One (on‑premise) Management Console (versión 2019 sobre Windows, versiones ≤ 14039)

• CAUSAS: Validación insuficiente de entrada en el backend, lo que permite inyección de comandos del sistema (CWE‑78)

• CONSECUENCIAS: Ejecución remota de código arbitrario con los privilegios de la consola, potencial compromiso total del sistema.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Aplicar el FixTool_Aug2025 (mitigación temporal que desactiva Remote Install Agent); luego, instalar el parche permanente disponible desde el 15/08/2025 (SP1 CP B14081); limitar el acceso externo a la consola (listas de IPs); usar otros métodos de implementación de agentes (UNC, paquetes)

• REFERENCIAS:

- Publicación en página oficial.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Agosto 2025, comunícate con nuestro equipo enviándonos tus comentarios aquí.

La entrada CVE: Vulnerabilidades Agosto 2025 se publicó primero en NextVision.

CVE: Vulnerabilidades Mayo 2025

Antonella Berardi — Fri, 30 May 2025 00:57:48 +0000

CVE: Vulnerabilidades Mayo 2025

• GRAVEDAD: 9.8

• CVES RELACIONADOS: CVE-2025-24206

• FECHA DIVULGACIÓN: 29/04/2025

• ACTUALIZACIÓN: 01/05/2025

• RESUMEN: Vulnerabilidad de tipo use-after-free en AirPlay que permitiria la ejecución remota de código sin interacción del usuario (zero-click) mediante red local.

• PRODUCTO AFECTADO: iOS (<18.4), iPadOS (<17.7.6 y 18.0–18.3), macOS Ventura (<13.7.5), macOS Sonoma (14.0–14.7.4), macOS Sequoia (15.0–15.3), tvOS (<18.4), visionOS (<2.4)

• CAUSAS: Gestión incorrecta de memoria en el manejo de paquetes mDNS por parte de AirPlay.

• CONSECUENCIAS: Ejecución remota de código, corrupción de memoria, posibilidad de ataque auto-replicante (wormable).

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Actualizar a la última versión del sistema operativo según el dispositivo. Configurar AirPlay para evitar conexiones de “cualquiera en la red”.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 10

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 07/05/2025

• ACTUALIZACIÓN: 08/05/2025

• RESUMEN: Una vulnerabilidad en la función de descarga de imagen de punto de acceso (AP) fuera de banda de Cisco IOS XE Software para controladores de LAN inalámbrica (WLC) podría permitir a un atacante remoto no autenticado cargar archivos arbitrarios en un sistema afectado. Esta vulnerabilidad se debe a la presencia de un JSON Web Token (JWT) codificado en el sistema afectado. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS diseñadas a la interfaz de descarga de imágenes de AP.

• PRODUCTO AFECTADO: Cisco IOS XE Software para Wireless LAN Controllers (WLCs) con la función de descarga de imagen AP fuera de banda habilitada (deshabilitada por defecto)

• CAUSAS: Uso de credenciales codificadas (JWT) — CWE-798

• CONSECUENCIAS: Un atacante podría cargar archivos arbitrarios, realizar recorridos de directorios y ejecutar comandos arbitrarios con privilegios de root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Aplicar los parches proporcionados por Cisco y deshabilitar la función de descarga de imagen AP fuera de banda si no es necesaria.

• REFERENCIAS:
- Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 13/05/2025

• ACTUALIZACIÓN: 16/05/2025

• RESUMEN: Stack-based buffer overflow (CWE-121) permitiria a un atacante remoto no autenticado ejecutar código arbitrario o comandos mediante peticiones HTTP con una cookie hash especialmente manipulada.

• PRODUCTO AFECTADO: FortiVoice 7.2.0; 7.0.0–7.0.6; 6.4.0–6.4.10
- FortiRecorder 7.2.0–7.2.3; 7.0.0–7.0.5; 6.4.0–6.4.5
- FortiMail 7.6.0–7.6.2; 7.4.0–7.4.4; 7.2.0–7.2.7; 7.0.0–7.0.8
- FortiNDR 7.6.0; 7.4.0–7.4.7; 7.2.0–7.2.4; 7.0.0–7.0.6
- FortiCamera 2.1.0–2.1.3; 2.0.; 1.1.

• CAUSAS: Desbordamiento de pila por falta de comprobación de límites al procesar la cookie hash en el manejador HTTP.

• CONSECUENCIAS: Ejecución remota de código con privilegios de red; posible despliegue de malware y toma de control completo del dispositivo afectado.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Aplicar parche o actualizar a las versiones seguras indicadas por Fortinet en FG-IR-25-254.
- Seguir las instrucciones de mitigación de CISA y BOD-22-01.
- Restringir acceso HTTP a interfaces de gestión desde redes no confiables

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 5.5

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 20/05/2025

• ACTUALIZACIÓN: 22/05/2025

• RESUMEN: Vulnerabilidad en el módulo ksmbd del kernel de Linux. Un fallo de tipo use-after-free al procesar el comando logoff SMB podría permitir a un atacante remoto provocar corrupción de memoria o ejecutar código arbitrario.

• PRODUCTO AFECTADO: Kernel de Linux hasta v6.12.27, v6.14.5 y v6.15-rc4

• CAUSAS: Liberación prematura de memoria compartida

• CONSECUENCIAS: Corrupción de memoria, posible ejecución remota de código o denegación de servicio.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Bajo
- Disponibilidad: Bajo

• MITIGACIÓN: Actualizar el kernel a una versión corregida. Deshabilitar ksmbd si no es necesario. Limitar acceso SMB a redes confiables.

• REFERENCIAS:

- Publicación en página oficial.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Mayo 2025, comunícate con nuestro equipo enviándonos tus comentarios aquí.

La entrada CVE: Vulnerabilidades Mayo 2025 se publicó primero en NextVision.

IA responsable y tus datos: Lo que necesitas saber sobre la nueva Ley Europea de Inteligencia Artificial

Johanna Arjona — Mon, 27 Jan 2025 20:23:38 +0000

El uso de la inteligencia artificial (IA) está revolucionando nuestra vida cotidiana, desde las recomendaciones de contenido en plataformas digitales hasta los asistentes virtuales que ayudan a organizar el día. Sin embargo, también plantea importantes desafíos relacionados con la protección de datos y la privacidad. Para abordar estos retos, la Unión Europea (UE) ha diseñado una nueva legislación: la Ley Europea de Inteligencia Artificial (AI Act).
A continuación, te explicamos de manera sencilla qué implica esta normativa y cómo está vinculada con la protección de los datos personales de los usuarios.

¿Qué es la Ley Europea de Inteligencia Artificial?

La AI Act es la primera legislación integral diseñada para regular el uso de sistemas de inteligencia artificial en Europa. Su objetivo principal es garantizar que la IA sea segura, transparente y respete los derechos fundamentales, incluida la protección de datos personales.
Esta ley clasifica los sistemas de IA en diferentes niveles de riesgo:

Riesgo inaceptable: Sistemas prohibidos por su impacto negativo en derechos fundamentales (por ejemplo, manipulación psicológica o sistemas de vigilancia masiva no justificados).
Riesgo alto: Aplicaciones que afectan áreas sensibles, como contratación laboral, educación o servicios públicos. Estos sistemas deben cumplir estrictos requisitos de transparencia y evaluación.
Riesgo limitado y mínimo: Sistemas con menor impacto, como asistentes virtuales, que deben cumplir normas de información básica para los usuarios.

Relación entre la AI Act y el RGPD

El Reglamento General de Protección de Datos (RGPD) y la AI Act trabajan de la mano para proteger los derechos de las personas en el entorno digital:

Protección de datos desde el diseño: Los sistemas de IA deben incorporar medidas que minimicen la recopilación de datos personales y garanticen su seguridad.
Transparencia: Las empresas deben informar cómo y por qué utilizan los datos personales en sistemas de IA. Por ejemplo, si un chatbot está diseñado para recopilar información personal, esto debe ser claro y comprensible.
Prohibición de discriminación: La AI Act exige que los sistemas de IA de alto riesgo sean evaluados para evitar sesgos que puedan conducir a decisiones injustas o discriminatorias.

Derechos de los usuarios frente a la IA

Gracias a la AI Act y el RGPD, los usuarios tienen derechos clave sobre cómo se utilizan sus datos en sistemas de IA:

Saber si están interactuando con una IA: Las empresas deben informar cuando utilicen un sistema automatizado.
Acceso y rectificación de datos: Las personas pueden solicitar qué información ha sido utilizada y pedir su corrección si es incorrecta.
Intervención humana: Si una IA toma decisiones que afectan significativamente a una persona (como en un proceso de selección laboral), se tiene derecho a cuestionarlas y solicitar revisión humana.

Ejemplos prácticos:

Contratación laboral: Si una empresa usa IA para filtrar currículos, debe garantizar que el sistema no discrimine por razón de género, edad u otros factores. Además, debe informar que los datos han sido procesados por una IA.
Reconocimiento facial: Los sistemas de reconocimiento facial con fines de vigilancia están prohibidos en la mayoría de los casos, salvo en circunstancias excepcionales definidas por la ley.
Asistentes virtuales: Si un asistente como Alexa o Google Assistant recopila datos sobre las preferencias de los usuarios, la empresa debe ser transparente sobre cómo utiliza esa información y ofrecer opciones para limitar su uso.

¿Qué significa esto para los usuarios?

La AI Act busca garantizar que la inteligencia artificial sea una herramienta que beneficie a las personas sin comprometer su privacidad ni sus derechos. Los usuarios pueden esperar:

Mayor transparencia sobre cómo funcionan los sistemas de IA que utilizan.
Más protecciones frente al uso indebido de sus datos personales.
Herramientas para ejercer sus derechos y mantener el control sobre su información.

La AI Act marca un gran paso hacia un futuro donde la tecnología y los derechos de las personas conviven de manera equilibrada. Las personas están en el centro de este cambio, con más herramientas y derechos para proteger su privacidad en la era de la inteligencia artificial.

¿Qué significa esto para las empresas?

La AI Act representa un cambio significativo para las organizaciones que desarrollan o implementan sistemas de inteligencia artificial. Estas empresas deben adaptarse para garantizar el cumplimiento de los nuevos estándares, lo que incluye:

Realizar evaluaciones de impacto para identificar y mitigar riesgos asociados con el uso de la IA.
Implementar medidas de transparencia que permitan a los usuarios comprender cómo se utilizan sus datos.
Garantizar la equidad en los procesos automatizados para evitar decisiones sesgadas o discriminatorias.

Desde NextVision, ofrecemos un servicio integral de DPO as a Service (Delegado de Protección de Datos como Servicio) para apoyar a las empresas en este proceso de adaptación. Nuestro equipo de expertos puede ayudar a garantizar el cumplimiento normativo, minimizar riesgos y construir confianza con los usuarios en un entorno regulatorio cada vez más exigente.

—

Autora de la nota: María del Rosario Santillán- Abogada. Consultora Legal en Tecnología.

nextvision.com

La entrada IA responsable y tus datos: Lo que necesitas saber sobre la nueva Ley Europea de Inteligencia Artificial se publicó primero en NextVision.

Vulnerabilidad CVE-2024-55591 afecta a FortiOs

Johanna Arjona — Thu, 16 Jan 2025 15:55:35 +0000

Vulnerabilidad CVE-2024-55591: Afecta a FortiOS

¿Qué vulnerabilidad se descubrió?

La vulnerabilidad CVE-2024-55591 en Fortinet FortiOS, contiene una omisión de autenticación que podría permitir a un atacante remoto no autenticado obtener privilegios de superadministrador a través de solicitudes manipuladas al módulo websocket de Node.js

Productos Afectados:

Version	Affected	Solution
FortiOS 7.6	Not affected	Not Applicable
FortiOS 7.4	Not affected	Not Applicable
FortiOS 7.2	Not affected	Not Applicable
FortiOS 7.0	7.0.0 through 7.0.16	Upgrade to 7.0.17 or above
FortiOS 6.4	Not affected	Not Applicable
FortiProxy 7.6	Not affected	Not Applicable
FortiProxy 7.4	Not affected	Not Applicable
FortiProxy 7.2	7.2.0 through 7.2.12	Upgrade to 7.2.13 or above
FortiProxy 7.0	7.0.0 through 7.0.19	Upgrade to 7.0.20 or above
FortiProxy 2.0	Not affected	Not Applicable

Impacto

Esta vulnerabilidad permite a un atacante remoto no autenticado acceder al sistema con privilegios de superadministrador, lo que podría resultar en la ejecución de comandos arbitrarios, modificación de configuraciones críticas y potencialmente comprometer la integridad, confidencialidad y disponibilidad del sistema afectado.

Workaround

Si no es posible aplicar una actualización inmediata para resolver la vulnerabilidad CVE-2024-55591, se pueden implementar workarounds (soluciones temporales) para mitigar el riesgo de explotación. Aquí tienes algunas recomendaciones clave:

1. Restricción de Acceso a la Interfaz Administrativa:

config system interface

edit «mgmt»

set allowaccess https ssh

set trustedhosts 192.168.1.0/24

2. Filtrado mediante un Proxy Inverso

Coloca un proxy inverso o firewall de aplicaciones web (WAF) entre las conexiones externas y FortiOS.
Configura reglas específicas para bloquear solicitudes sospechosas relacionadas con WebSocket.

3. Monitoreo y Alertas

Implementa un monitoreo activo de los registros de FortiOS.
Busca patrones de actividad sospechosa relacionados con intentos de acceso no autenticado al módulo WebSocket.

4. Habilitar Autenticación Multifactor (MFA)

Asegúrate de que todos los accesos administrativos requieran autenticación multifactor para agregar una capa adicional de seguridad.

Comunícate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitas actualizar tus equipos Fortinet.

Si tienes contrato de soporte enviando mail a: soporte@nextvision.com
Caso contrario puedes contactar a nuestro equipo comercial a: info@nextvision.com

Fuente:

Departamento de Tecnología de NextVision.

Sitio Oficial de Fortinet.

La entrada Vulnerabilidad CVE-2024-55591 afecta a FortiOs se publicó primero en NextVision.

CVE: Vulnerabilidades Diciembre 2024

Johanna Arjona — Thu, 26 Dec 2024 19:45:16 +0000

CVE: Vulnerabilidades Diciembre 2024

• GRAVEDAD: 8.1

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 27/03/2014

• ACTUALIZACIÓN: 27/03/2014

• RESUMEN: Vulnerabilidad de Cross-Site Scripting (XSS) en la página de inicio de sesión de WebVPN del software Cisco ASA, que permite la ejecución de scripts arbitrarios.

• PRODUCTO AFECTADO: Cisco ASA 5500 Series, ASA 5500-X Series, ASA Services Module para Catalyst 6500/7600, ASA 1000V Cloud Firewall

• CAUSAS: Falta de validación adecuada de entradas en la página de inicio de sesión de WebVPN.

• CONSECUENCIAS: Los atacantes podrian inyectar scripts maliciosos que podrían robar cookies, redirigir a sitios maliciosos o realizar acciones no autorizadas en nombre del usuario.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Baja
- Disponibilidad: Baja

• MITIGACIÓN: Aplicar las actualizaciones del software Cisco ASA proporcionadas en los parches de 2014.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 7.5

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 04/12/2024

• ACTUALIZACIÓN: 06/12/2024

• RESUMEN: Vulnerabilidad en las funciones strip_tags() y el filtro de plantilla striptags de Django que permite un ataque de denegación de servicio mediante entradas con secuencias de entidades HTML anidadas incompletas.

• PRODUCTO AFECTADO: Django versiones 5.1 anteriores a 5.1.4, 5.0 anteriores a 5.0.10, y 4.2 anteriores a 4.2.17

• CAUSAS: Falta de limitación en el procesamiento de entradas con entidades HTML anidadas incompletas.

• CONSECUENCIAS: Un atacante podria provocar una denegación de servicio al enviar entradas especialmente diseñadas que consumen recursos excesivos durante el procesamiento.

• IMPACTO:

- Confidencialidad: Ninguna
- Integridad: Ninguna
- Disponibilidad: Alta

• MITIGACIÓN: Actualizar a las versiones corregidas de Django: 5.1.4, 5.0.10 o 4.2.17.

• REFERENCIAS:

- Publicación en página oficial.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/12/2024

• ACTUALIZACIÓN: 15/12/2024

• RESUMEN: Vulnerabilidad de tipo use-after-free en el controlador AFD.sys, que permite la ejecución de código arbitrario con privilegios elevados en sistemas Windows vulnerables.

• PRODUCTO AFECTADO: Windows 10 (1507, 1607, 1809, 21H2, 22H2), Windows 11 (21H2, 22H2, 23H2, 24H2), Windows Server (2012, 2012 R2, 2016, 2019, 2022)

• CAUSAS: Problema de gestión de memoria en el controlador AFD.sys.

• CONSECUENCIAS: Los atacantes podrian obtener privilegios de sistema, instalar programas, modificar datos o crear cuentas con derechos elevados.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio

• MITIGACIÓN: Aplicar los parches de seguridad proporcionados por Microsoft en la última actualización.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 04/12/2024

• ACTUALIZACIÓN: 06/12/2024

• RESUMEN: Vulnerabilidad de inyección SQL en Django que afecta al uso directo de django.db.models.fields.json.HasKey en bases de datos Oracle, permitiendo a un atacante ejecutar comandos SQL arbitrarios.

• PRODUCTO AFECTADO: Django versiones anteriores a 5.1.4, 5.0.10 y 4.2.17

• CAUSAS: Uso directo de HasKey con datos no confiables en bases de datos Oracle sin la debida sanitización.

• CONSECUENCIAS: Un atacante podria ejecutar comandos SQL arbitrarios, comprometiendo la integridad y confidencialidad de la base de datos.

• IMPACTO:

- Confidencialidad: Alta
- Integridad: Alta
- Disponibilidad: Alta

• MITIGACIÓN: Actualizar Django a las versiones 5.1.4, 5.0.10 o 4.2.17, donde se ha corregido esta vulnerabilidad.

• REFERENCIAS:

- Publicación en página oficial.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Diciembre 2024, comunícate con nuestro equipo enviándonos tus comentarios aquí.

La entrada CVE: Vulnerabilidades Diciembre 2024 se publicó primero en NextVision.

De los planes a los hechos: ¿Qué nos dejó 2024 en Ciberseguridad?

Johanna Arjona — Thu, 26 Dec 2024 18:35:23 +0000

A principios de este año, reflexionábamos sobre la importancia de invertir en ciberseguridad como una prioridad empresarial. Hablábamos de evaluaciones de riesgos, monitoreo en la dark web y la importancia de fomentar una cultura cibersegura. Ahora, al cierre del 2024, es el momento de evaluar qué nos dejó este año en materia de riesgos y cómo nuestras decisiones de inversión impactaron la seguridad de nuestras organizaciones.

Lo que Planeamos: Inversiones Estratégicas

Comenzamos el año preguntándonos: ¿En qué vas a invertir para proteger tu empresa? Las recomendaciones eran claras:

Evaluaciones proactivas de terceros: Para anticiparnos a las amenazas ocultas en nuestra cadena de suministro.
Cibervigilancia activa: Detectar patrones en la clear, deep y dark web que pudieran indicar ataques inminentes.
Programas de concientización: Crear una primera línea de defensa en los usuarios.

Estas estrategias, inspiradas en ejemplos históricos como el Caballo de Troya, subrayaron que las amenazas más peligrosas suelen infiltrarse a través de la confianza y la falta de vigilancia.

Lo que Enfrentamos: Realidades de 2024

El 2024 trajo consigo un aumento en ataques altamente personalizados gracias al uso de inteligencia artificial. La superficie de ataque se amplió con el auge de dispositivos IoT y servicios en la nube, mientras que las normativas internacionales plantearon nuevos desafíos para las empresas que aún no priorizan la gobernanza de datos.

Algunas lecciones clave de este año incluyen:

La velocidad y sofisticación de los ataques: Los ciberdelincuentes utilizaron herramientas de IA para analizar y explotar puntos débiles más rápido que nunca.
El impacto de los terceros: Los proveedores y servicios de terceros se consolidaron como puntos críticos de entrada para ciberataques.
La importancia de la cultura cibersegura: Las empresas que invirtieron en concientización tuvieron menores tasas de éxito en ataques de phishing y malware.
Expansión de la superficie de ataque: El Internet de las Cosas (IoT) y la conectividad global ampliaron las oportunidades para explotar vulnerabilidades.

Lo que Aprendimos: Hacia el Futuro

Con el paso de los meses, quedó claro que la prevención es clave, pero la capacidad de adaptarse rápidamente a nuevas amenazas es lo que marca la diferencia. Algunas lecciones clave que nos dejó este año son:

El tiempo es crítico: Las empresas que lograron responder en minutos y no en horas a incidentes tuvieron menores impactos financieros y reputacionales.
La colaboración es esencial: Compartir información sobre amenazas entre sectores y organizaciones fortalece la capacidad colectiva de defensa.
La innovación no es opcional: Herramientas avanzadas como la inteligencia artificial y el aprendizaje automático deben ser utilizadas tanto para la detección como para la mitigación de riesgos.

Mirando Hacia el 2025

El cierre del 2024 nos deja con una idea clara: la ciberseguridad no es un gasto, sino una inversión estratégica que garantiza la continuidad y el crecimiento de cualquier empresa. En NextVision, seguimos comprometidos con apoyar a las organizaciones en este camino, ofreciendo soluciones como NV Awareness y NV Cibervigilancia que permiten anticiparse a las amenazas.

A medida que nos preparamos para el 2025, la pregunta sigue siendo: ¿Estás listo para el próximo nivel de riesgos digitales? Recuerda, cada decisión que tomes hoy puede ser la diferencia entre una organización resiliente y una vulnerable.

—

nextvision.com

La entrada De los planes a los hechos: ¿Qué nos dejó 2024 en Ciberseguridad? se publicó primero en NextVision.

NextVision

Errores comunes en la gestión de datos personales

Muchas empresas creen tener la protección de datos personales bajo control.

¿Cómo se evitan estos errores?

Descubre nuestra solución de DPO aquí.

¡Feliz Día de la Protección de Datos!

Búsqueda de Ejecutivo/a Comercial – Ciberseguridad

Principales responsabilidades

Habilidades y competencias

Se valorará especialmente

Qué ofrecemos

Beneficios

Búsqueda de Consultor/a Preventa

Ekoparty 2025: tecnología y experiencias que dejan huella

Charlas sobre cultura y gestión del riesgo

“Awareness Hacked”

Actividades disruptivas en el BlueSpaceSec

Partners estratégicos

Construyendo comunidad

CVE: Vulnerabilidades Agosto 2025

CVE: Vulnerabilidades Agosto 2025

La Ciberseguridad la Hacemos Juntos

CVE: Vulnerabilidades Mayo 2025

CVE: Vulnerabilidades Mayo 2025

La Ciberseguridad la Hacemos Juntos

IA responsable y tus datos: Lo que necesitas saber sobre la nueva Ley Europea de Inteligencia Artificial

¿Qué es la Ley Europea de Inteligencia Artificial?

Relación entre la AI Act y el RGPD

Derechos de los usuarios frente a la IA

¿Qué significa esto para los usuarios?

¿Qué significa esto para las empresas?

Vulnerabilidad CVE-2024-55591 afecta a FortiOs

Vulnerabilidad CVE-2024-55591: Afecta a FortiOS

CVE: Vulnerabilidades Diciembre 2024

CVE: Vulnerabilidades Diciembre 2024

La Ciberseguridad la Hacemos Juntos

De los planes a los hechos: ¿Qué nos dejó 2024 en Ciberseguridad?

Lo que Planeamos: Inversiones Estratégicas

Lo que Enfrentamos: Realidades de 2024

Lo que Aprendimos: Hacia el Futuro

Mirando Hacia el 2025