10 Sep 2018
Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

 

SEPTIEMBRE |

 

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

 

AGOSTO |

 

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

 

JULIO |

 

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

 

JUNIO |

 

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

 

MAYO |

 

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

 

ABRIL |

 

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

 

MARZO |

 

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

 

FEBRERO |

 

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

 

ENERO |

 

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO

16 Jul 2018
Ley de privacidad de datos de California

Ley de privacidad de datos de California, AB 375: Es personal

La semana pasada, California aprobó una de las leyes de privacidad más avanzadas de los Estados Unidos, la Ley de Privacidad del Consumidor de California de 2018. Está siendo aclamada como un importante paso adelante con comparaciones como “GDPR llega a Estados Unidos” y otros titulares similares.

Tras su revisión, la ley de California tiene varios desafíos, es decir, no es necesario llegar a una legislación para cambiar las disposiciones de la ley.

Lo que está en la ley

La ley establece algunos nuevos derechos para los residentes de California, y al igual que el GDPR en Europa, se aplica a cualquier empresa que vende o tiene datos personales sobre los residentes de California.

Estos nuevos derechos son:

(1) El derecho de los californianos a saber qué información personal se recopila sobre ellos.

(2) El derecho de los californianos a saber si su información personal es vendida o revelada y a quién.

(3) El derecho de los californianos a decir no a la venta de información personal.

(4) El derecho de los californianos a acceder a su información personal.

(5) El derecho de los californianos a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.

En resumen, les da a los californianos una manera de optar por controlar los usos secundarios de sus datos, ya sea la venta agregada a intermediarios de datos, el seguimiento u otros usos que no estén directamente relacionados con la prestación de un servicio.

Lo que no está en la Ley

Si bien la ley tiene sanciones por infracciones que resultan de no proteger adecuadamente la información, esta ley en sí misma no contiene ningún requisito sobre cómo las empresas necesitan proteger la información, o el lenguaje para guiar a un tribunal está analizando si la protección fue adecuada.

Impacto en el mercado:

A diferencia del Reglamento General de Protección de Datos Europeo, el Acta de Privacidad del Consumidor de California de 2018 no contiene requisitos específicos que las empresas deben seguir para garantizar la Seguridad del procesamiento. La Ley prescribe cómo las empresas deben obtener el consentimiento para recopilar y usar información, y que no pueden discriminar a los consumidores por ejercer sus derechos.

La Ley de Privacidad del Consumidor de California depende en gran medida de otras leyes federales y de California para brindar orientación sobre estas áreas. Hay una serie de conflictos con estas otras leyes y áreas que probablemente deberían aclararse a través de una guía regulatoria o posibles cambios a la ley.

Además, todavía hay una serie de preguntas sobre cómo la Ley podría ser modificada bajo la presión de las empresas de tecnología y defensores de la privacidad, y qué regulaciones podrían publicarse para apoyar la ley.

En general, la naturaleza exacta de las obligaciones de una empresa no se conocerá durante un tiempo.

Una solución lógica

El cifrado de datos confidenciales es clave para demostrar que la información ha sido adecuadamente protegida bajo cualquier regulación o ley de privacidad.

Echoworx se compromete a cumplir con los requisitos de privacidad y legales de los países en los que opera. Echoworx continúa agregando centros de datos en todo el mundo para garantizar que los datos residan lo más cerca posible del país o la región de origen. Actualmente operamos centros de datos en los EE. UU., El Reino Unido, Irlanda, México y Canadá para garantizar que los datos se puedan almacenar y mantener de acuerdo con las reglamentaciones y la legislación a las que están sujetos nuestros clientes.

09 Jul 2018

Echoworx Reacciona A Los Miedos Sobre La Seguridad Por El Brexit Con La Instalación De AWS En Dublín

Toronto, ON – 27 de octubre de 2016 – El proveedor de encriptación de correo electrónico Echoworx ha respondido a la inminente salida del Reino Unido del mercado único al configurar su plataforma de mensajería inteligente OneWorld en una Nube de Servicios Web de Amazon en Dublín. La instalación se ha visto impulsada por la creciente demanda que los clientes tienen de tener mayor seguridad jurisdiccional geográfica. Asimismo, les dará la opción de almacenar y proteger datos a las empresas europeas con operaciones en el Reino Unido dentro dentro de la leyes de privacidad europeas, independientemente del impacto del Brexit.

OneWorld es la solución basada en políticas de Echoworx que les ofrece a las empresas una manera sencilla de cifrar las comunicaciones de correo electrónico y los resúmenes electrónicos. La disponibilidad en AWS significa que los servicios de encriptación se pueden brindar directamente desde la plataforma, lo que les proporciona a los clientes la flexibilidad y el control que necesitan para enviar sus comunicaciones de forma segura a través de cualquiera de las 12 regiones geográficas de AWS en todo el mundo.

Al comentar sobre el lanzamiento, Alex Loo, vicepresidente de operaciones de Echoworx, dijo: “La seguridad jurisdiccional se está convirtiendo rápidamente en una prioridad para nuestros clientes europeos. Para aquellas empresas con presencia en el Reino Unido, las políticas entrantes en el Reino Unido tienen implicaciones financieras y operativas muy reales. El Proyecto de Ley de Poderes de Investigación, actualmente siendo debatido en el parlamento, tiene el potencial de causar importantes dolores de cabeza regulatorios y de cumplimiento. Al instalar OneWorld en una nube de AWS en Dublín, podemos aprovechar las leyes de privacidad de Irlanda, que son altamente favorables, y responder a la demanda que tienen nuestros clientes de tener de comunicaciones más seguras “.

La implementación de AWS también es un desarrollo clave en el crecimiento de Echoworx y en las estrategias de transformación digital en curso. El entorno de nube permite a los clientes implementar OneWorld como una plataforma de seguridad de comunicaciones totalmente personalizada en cualquier parte del mundo y en una semana. Ahora pueden mover sus datos de forma rápida y sencilla desde una región geográfica a la otra, y en función de la demanda local. Echoworx también será el primero entre sus competidores en reducir drásticamente los costos de CAPEX incurridos por poseer una instalación alojada — y estos son ahorros que la compañía planea transferir a sus clientes.

“La utilización de AWS significa que ya no estamos restringidos por entornos físicos o por infraestructuras de IT que requieren de un alto mantenimiento en el lugar”, continuó Loo. “Nos coloca en una posición mucho mejor que nos permite poner toda nuestra atención en mantener los niveles más altos de servicio al cliente mientras suplimos la necesidad de nuestros clientes por poder establecer comunicaciones mejores y más segura con el mundo exterior”.

AWS Dublin es la primera región que se activa bajo esta estrategia. Echoworx planea agregar zonas geográficas adicionales a medida que vaya aumentando la demanda, con América Latina y Asia encabezando actualmente la lista de planes de expansión.

Sobre Echoworx
Echoworx le brinda simplicidad y escalabilidad al cifrado. OneWorld, nuestra solución estrella, es la primera plataforma de cifrado de mensajería inteligente que hace que la mensajería segura sea fácil y rentable, y está diseñada para adaptarse a cualquier entorno y a todas las formas de cifrado. Nuestros apasionados expertos en cifrado transforman el caos en orden para las principales empresas del mundo y los proveedores OEM que entienden que el requisito de comunicación segura es de máxima importancia. Visítenos en www.echoworx.com

 

Echoworx Media Contact Lorena Magee, Vicepresidenta de Marketing, media@echoworx.com 416 226-8600

09 Jul 2018

Echoworx lanza la integración completa de la codificación de OneWorld para los usuarios de Office 365

La nueva actualización del producto integra perfectamente la codificación al Outlook de Office 365 en el entorno Web

Toronto, ON – 10 de enero de 2017 – Echoworx, fabricante de OneWorld, la primera plataforma inteligente para la codificación de mensajes, anunció hoy la integración completa de la codificación de OneWorld para Office 365. Aprovechando la capacidad de codificación de OneWorld con el escritorio de Office 365, la actualización del producto integra las mismas funciones al entorno Web de Outlook. Esta integración proporciona a los clientes flexibilidad y control basados en la nube y constante en múltiples canales.

La codificación de OneWorld con Outlook de Office 365 en la integración Web se basa en la integración previa de Echoworx con el escritorio de Office 365, con lo cual amplía las funciones en diferentes navegadores móviles y de Internet para brindar al usuario una experiencia sin problemas en la plataforma basada en la nube. Ya sea que utilicen una tablet o un teléfono inteligente para acceder al Outlook de Office 365 en la Web, los remitentes y los destinatarios pueden codificar, retirar y acceder a sus mensajes con tan solo un clic. Los archivos adjuntos seguros pueden verse con facilidad mediante un lector de PDF o cualquier navegador de Internet de iOS, Android, Blackberry o Windows.

“Nuestras comunicaciones diarias por correo electrónico pasan en todo momento de Internet al dispositivo móvil y viceversa y nuestra nueva actualización brinda a los usuarios una manera continua y sencilla de proteger sus mensajes en todos estos dispositivos”, dijo Michael Ginsberg, Presidente y Director General de Echoworx. “Conforme Microsoft continúe con las innovaciones en torno a la plataforma de Office 365, nosotros continuaremos innovando con nuevos productos de seguridad que brinden a nuestros clientes una codificación uniforme en todo el entorno de Office 365”.

Conforme más organizaciones adoptan las plataformas con base en la nube, la codificación de OneWorld con integración completa para usuarios de Office 365 es la respuesta de Echoworx a la necesidad creciente de comunicaciones más seguras por diferentes canales a medida que nuestra fuerza laboral se vuelve más móvil. Junto con la codificación basada en reglas, la codificación de OneWorld con Outlook de Office 365 en la integración Web proporciona una funcionalidad adicional que permite a los usuarios seleccionar diferentes métodos de codificación y brinda así a los consumidores el control de sus preferencias de seguridad.

“La codificación de OneWorld para Outlook de Office 365 en la Web aprovecha el marco de trabajo de Microsoft para crear un producto fácil de usar que proporciona a los consumidores la flexibilidad y seguridad que necesitan para enviar mensajes por correo electrónico con confianza en un entorno basado en el navegador”, dijo Ginsberg. “Este nuevo producto permite a los usuarios escoger sus preferencias de codificación sin importar cuál sea su dispositivo y en todos los entornos para adaptarse a la fuerza laboral móvil de la actualidad”.

Junto con la flexibilidad y las preferencias avanzadas del usuario en diferentes dispositivos, OneWorld para Outlook de Office 365 en la Web proporciona funciones de marcas dinámicas que se configuran de manera rápida y fácil con una consola basada en la Web. Esto permite a administradores, usuarios y destinatarios personalizar el uso del producto.

Ya está disponible la codificación de OneWorld con integración a Outlook de Office 365 en la Web. Para obtener más información, visite spanish.echoworx.com.

 

###

Acerca de Echoworx
Echoworx aporta simplicidad y flexibilidad a la codificación. OneWorld, nuestro producto emblemático, es la primera plataforma inteligente para la codificación de mensajes, diseñada para adaptarse a cualquier entorno y a toda forma de codificación, que hace que la mensajería segura sea fácil y rentable. Nuestros apasionados expertos en codificación transforman el caos en orden para las principales empresas y proveedores de OEM del mundo, quienes entienden que el requisito de comunicación segura es de extrema importancia. Visítenos en spanish.echoworx.com

Lorena Magee, Vicepresidenta de Marketing

media@echoworx.com

416 226-8600

19 Jun 2018
shocked woman

UN COMPLETO DESASTRE: LA ENCRIPTACIÓN, LAS CITAS Y LA MEJORA EN LA PROTECCIÓN DE LA PRIVACIDAD

¿Te sentirías cómodo enviando información personal por correo electrónico sin encriptación? ¿Te sientes tímido respondiendo “SI”? No estás solo. De hecho, cerca del 50 por ciento de las personas eligen enviar información personal confidencial por internet. Y a menudo se da por sentada nuestra confianza en las personas y empresas a las que los enviamos.

Usted debe estar sorprendido al saber cuán expuestos están sus clientes realmente.

En una encuesta reciente que se le hizo a algunos profesionales y responsables tomar decisiones en IT realizada por Echoworx, la veta en la importancia atribuida al cifrado fue clara, con el 75% de los encuestados respondiendo afirmativamente que su organización tiene una estrategia de encriptación. Asimismo, menos de la mitad de estos encuestados respondieron afirmativamente que sus organizaciones efectivamente usan el cifrado de forma extensa y que su aplicación real es cuestionable.

En otras palabras: ¿esa información personal es brindada por sus clientes a un grupo heterogéneo de bancos, profesionales de salud y organismos gubernamentales? Hay una chance de que sus destinatarios, que incluso podrían ser su propio personal, la almacenen sin filtro, que sea accesible y se esté desprotegida dentro de sus servidores.

Barriers that are Preventing More Extensive Use of EncryptionAterrador, ¿verdad?

Para ayudar a entender la otra cara de la moneda, le planteamos algunas preguntas a los clientes sobre su disposición a proporcionar información personal tanto digitalmente como en las primeras citas. Los resultados fueron sorprendentes – los encuestados estuvieron más que dispuestos a proporcionar información personal, desde su nombre completo hasta su tarjeta SIN en ambas situaciones.

¿Entonces qué?

Cuando se mezclan, nos quedamos con dos narrativas que cuentan una historia de dos ciudades. Y esto es un desastre, pero no tan cifrado como parece. Por el contrario, parece haber una desconexión entre nuestras ganas de adoptar el cifrado y la aplicación en nuestras vidas laborales.

Por ejemplo, más de la mitad de los profesionales IT encuestados respondieron favorablemente a adoptar el cifrado -perfilando la tecnología de privacidad como lo más importante o crucial para sus organizaciones. Y cerca de tres cuartos de este grupo indicaron que están activamente construyendo estrategias de cifrado. ¿Parece progresivo?

Y la realidad impacta: solo la mitad de ellos están a favor del mejoramiento de la privacidad de la información. La otra mitad, casi un 50 por ciento definido, admiten que defienden el cifrado para satisfacer las regulaciones de privacidad y evitar infracciones costosas – no porque realmente estén preocupados por proteger los datos confidenciales de los clientes.

La falta de entusiasmo por aplicar el cifrado se extiende a través de todas sus organizaciones – con el solo 40 por ciento de las organizaciones usando de sus tecnologías de cifrados existentes extensivamente. Y el área en la que hacen énfasis en el cifrado, en las comunicaciones externas, aparentemente no es suficiente ya que muchas organizaciones ahora están trasladando sus servidores de correo electrónico a la nube – lo cual hace aún que las comunicaciones internas se conviertan en externas por naturaleza.

Aun así, los clientes siguen confiando en ti sin cifrado.

Mientras tres cuartas partes de los clientes saben lo que significa el cifrado y por qué existe, el 45 por ciento de ellos continúa enviando datos personales a través de correo electrónico abierto – y confían mucho en las personas a las que se los envían. Como por ejemplo, la seguridad de un correo electrónico. A pesar del aumento de spear phishing y otros ataques relacionados con el correo electrónico para extraer datos personales, la persona promedio evalúa la seguridad de un correo electrónico en menos de treinta segundos.
¿Tú entregarías información personal a alguien en la calle en menos de 30 segundos? Suena loco, pero de acuerdo con la información de las encuestas, la persona promedio lo haría. ¿Sabías que, por ejemplo, cerca de un cuarto de las personas comúnmente comparten sus verdaderas fechas de cumpleaños, correos electrónicos, nombres completos y números de teléfonos en la primera cita? Y estas cifras preocupantes son aún más elevadas entre los hombres, el 12 por ciento de los cuáles tienen la misma probabilidad de revelar su número de tarjeta SIN en una primera cita para presumir de su salario.

Y esto no termina ahí.

Cuando se trata de formularios online, más de tres cuartos de sus clientes admiten proporcionar datos personales confidenciales. Y, considerando que ellos se toman medio minuto para inspeccionar si el formulario online es seguro, la cantidad de detalles que ellos proveen es alarmante.

¿Sabía que, por ejemplo, más del 10 por ciento de sus clientes están cómodos entregando sus números PIN bancario a través de formularios online?  ¿O que otro 34 por ciento de ellos ha dado su número de tarjeta SIN? ¿Y que un pequeño, pero más confiado 5% divulga voluntariamente su número de pasaporte cuando se lo solicitan formularios sin rostro?

¿Pero por qué esto importa en tu negocio al final del día?

Las filtraciones de datos son líos costosos de arreglar y ocurren más a menudo de lo que cree – casi un cuarto de las personas admite haber sido víctima de robo de información personal. Además de las masivas multas que ascienden a decenas de millones de dólares y las grandes demandas colectivas, una infracción de alto perfil puede causarle un daño irreparable a la confianza en su marca.

El proporcionarles a sus clientes y empleados una solución de cifrado concisa pero compleja y de alto rendimiento puede ayudar a aliviar algunos de los problemas de privacidad que existan en su organización, especialmente en dispositivos móviles. Las nuevas plataformas de cifrado se integran fácilmente con los sistemas de IT existentes y ofrecen múltiples métodos flexibles para proteger la información en tránsito.

En resumen, el cifrado importa, y los profesionales de IT lo entienden – incluso si sus razones se encuentran al final de su conformidad. Sin embargo, realmente aplicar el cifrado en toda su organización es un problema completamente diferente y se basa en hacer que su proceso de privacidad sea más optimizado y menos molesto para los usuarios. Aun así, los beneficios de prepararse para la privacidad son enormes – y sus esfuerzos se notarán.

Descubra algunas de las creativas maneras en las que las organizaciones están usando nuestra plataforma de cifrado Echoworx OneWorld para asegurar el tránsito seguro de la entrega de millones de declaraciones electrónicas hasta de documentos de incorporación de nuevos clientes. Las aplicaciones proactivas del cifrado son infinitas y son automatizadas, ideales para aquellas ocasiones en las que comportamiento de sus empleados no puede serlo.

 

Por Nicholas Sawarna, ‎Especialista Senior en Marketing de contenidos, Echoworx

17 Abr 2018

ECHOWORX IMPLEMENTA LA ENTREGA SEGURA DE DOCUMENTOS A GRANEL, ESTIMULANDO LOS PROCESOS DE NEGOCIO SENSIBLES

CONFERENCIA RSA – SAN FRANCISCO, CALIFORNIA –Empresas e instituciones de todo el mundo están adoptando la plataforma de cifrado OneWorld de Echoworx para garantizar que sus datos importantes estén protegidos. Y ahora al habilitar la función Secure Bulk Mail (SBM) dentro de OneWorld, las organizaciones pueden optimizar sus operaciones comerciales sabiendo que sus comunicaciones son seguras.

El presidente y director ejecutivo de Echoworx, Michael Ginsberg, dice que el cifrado se ha convertido en parte del proceso comercial normal para evitar las filtraciones de datos y los ciberataques, y su uso para automatizar los procesos ha sido una evolución natural. OneWorld ofrece a las organizaciones de todo el mundo una solución de cifrado única, flexible y fácil de usar que puede integrarse en su infraestructura existente.

“En los últimos cinco años, el cifrado se ha generalizado, y debido a su uso ampliado, está pasando de ser un proceso individual y manual a ser parte de los procesos comerciales cotidianos”, dice Ginsberg. “Ahora tenemos las herramientas para permitir que una institución o compañía automatice la entrega segura de documentos a granel generando correos electrónicos personalizados y aprovechando la multitud de métodos de cifrado y funciones de reporte de OneWorld, lo que le ahorra una gran carga a la institución”.

Las organizaciones que usan la plataforma de cifrado avanzada Echoworx obtienen los beneficios de poder comunicarse con clientes y socios de forma rápida y segura. La plataforma ofrece a las grandes instituciones, como las del sector financiero, formas nuevas y mejoradas de captar clientes y aumentar la cuota de mercado ofreciendo servicios seguros como declaraciones electrónicas. Documentos como estados financieros y registros de salud solían enviarse por correo postal o fax, pero la función SBM de OneWorld facilita un sistema sin papel, eliminando el costo y el manejo de las transacciones en papel y mejorando la experiencia del cliente.

“El cambio del correo en papel al correo electrónico es fácil de adoptar para cualquier institución”, dice Ginsberg. “La mayoría de los consumidores preferiría recibir estados de cuenta por correo electrónico, pero la información confidencial debe mantenerse privada, por lo que necesita encriptación. Añadimos una función segura de envío masivo a pedido de nuestros clientes, que nos pidieron que vayamos un paso más allá y abordemos la entrega de documentos a granel también”.

Mientras que otros servicios limitan cómo se envían los documentos cifrados, las organizaciones que usan SBM de Echoworx obtienen todas las opciones y beneficios de la plataforma de cifrado OneWorld, como métodos de encriptación múltiple para garantizar comunicaciones sin interrupciones a una variedad de destinatarios, incluyendo TLS, S/MIME o cifrado PGP, PDF seguro (mensaje completo), PDF seguro con archivos Zip seguros y Portal web cifrado.

Utilizando servicios en la nube, Echoworx no está restringido por recursos físicos o mantenimiento de infraestructura intensivo de TI. Su plataforma de cifrado líder en la industria puede estar en funcionamiento en una jurisdicción dentro de un corto período de tiempo, a un costo económico. Para saber cómo Echoworx está emergiendo como líder mundial en seguridad de correo electrónico, visite el Booth 2019 en la Conferencia RSA del 16 al 20 de abril en el Moscone Center en San Francisco, California.

—-

Sobre Echoworx

Exhoworx es una ruta de confianza para comunicaciones seguras. Como proveedor de soluciones de encriptación de pure-play, Echoworx trabaja con profesionales de finanzas, gobierno, salud, legales y cumplimiento para diseñar soluciones de comunicación seguras que no impidan la experiencia del cliente. Nuestra plataforma de encriptación escalable OneWorld puede abordar múltiples usos en toda una organización. Nuestros expertos en encriptación se enorgullecen de transformar el caos en orden para las principales empresas multinacionales que utilizan nuestra plataforma de encriptación SaaS.


Contacto para los medios

Lorena Magee, Vicepresidente de Marketing
media@echoworx.com
416 226-8600

14 Abr 2018
Secure Large Files

Trabajar En La Nube: Cómo Asegurar El Intercambio De Archivos Grandes

Intercambio de archivos: suena muy fácil. Pero si observa la multitud de actividades de intercambio de archivos en una organización típica de hoy, comenzará a comprender el desafío.

Primero, está el tamaño.

Las configuraciones de correo electrónico típicas restringen los tamaños de los archivos adjuntos a 20 MB o menos, lo que no es realista para el tamaño real de los archivos que se envían hoy. En el pasado, intercambiar un archivo de 20 MB no era común. Hoy nuestros clientes comparten de manera regular archivos de más de 100 MB con destinatarios en todo el mundo.

Esto da lugar a otro problema: el rendimiento.  El correo electrónico nunca fue diseñado para manejar archivos extremadamente grandes, por lo tanto, cuando lo hace, a menudo conduce a problemas de entrega y de rendimiento de la red.  Todos lo hemos experimentado. Envía un mensaje con un archivo adjunto grande solo para obtener un mensaje no entregado después de horas, tal vez incluso días más tarde.  En la actualidad, la mayoría de las políticas corporativas le impiden incluso adjuntar archivos de un cierto tamaño en el momento del envío.

Guiándonos a la seguridad.

Compartir archivos usando FTP es demasiado “técnico” y difícil de usar para la mayoría de los clientes y en los escenarios B2C para nada lo és; también es un proceso manual.

Cualquier solicitud para habilitar una cuenta de FTP requiere la configuración de reglas de firewall para permitir la carga y descarga de archivos, así como la revisión y aprobación de seguridad.

Además, carecen de procesos automatizados como avisos de verificación. Pida a operaciones que abran solo unos pocos puertos, como FTP, para permitir transferencias de archivos: vea cuántos de ellos se aprueban rápidamente.

Un informe reciente de Verizon citaba que el 58% de las infracciones de datos de Healthcare PHI fueron causadas por personas internas: el 29,5% provenía de un uso indebido.

Conduciéndonos hasta – Sí, servicios de archivos compartidos no compatibles. Estas soluciones han llegado a compañías de todos los tamaños. No se equivoquen, sus usuarios siempre seguirán el camino de menor resistencia. Es un dilema clásico: un empleado, sin opciones para compartir archivos o correos electrónicos fallidos, recurre a soluciones externas, en alguna parte, para que puedan “eficientemente” compartir archivos.

Pero el punto de inflexión para la mayoría – auditorías.  Las regulaciones globales en evolución, como GDPR, Ley Dodd-Frank, exigen que las instituciones financieras mantengan informes sobre quién accedió a qué archivos y cuándo se realizó.

Al aprovechar las capacidades de portal de archivos grandes de nuestra plataforma de cifrado, las empresas tienen control total sobre los archivos de gran tamaño que necesitan para comunicarse.

Los empleados simplemente inician sesión en el portal seguro de webmail donde adjuntan uno o más archivos grandes junto con una nota adjunta. Luego, los archivos se cifran en el portal y se envía un mensaje de notificación al destinatario, que incluye un enlace al portal con funcionalidad completa de auditoría y recuperación, lo que permite a los usuarios compartir fácilmente dentro de las normas del gobierno corporativo y las políticas de la empresa.

Puede ver un ejemplo de cómo funciona viendo esta breve demostración de video.

Por Christian Peel, Vicepresidente de Ingeniería de Cliente, Echoworx

10 Abr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

La calma antes de la tormenta: “la ley de la nube” (Cloud Act)

Los últimos acontecimientos en el juicio entre el Gobierno de E.E.U.U. y Microsoft tienen impacto sobre las compañías que ofrecen servicios a nivel mundial. La Ley del Uso de Información en el Extranjero para Clarificar la Legalidad (Cloud Act) apunta a simplificar la forma en la que los grupos de garantes de la aplicación de la ley pueden conseguir información personal almacenada por compañías tecnológicas estadounidenses.

Qué Ha Ocurrido:

En diciembre del 2013, un Juez Magistrado de los Estados Unidos emitió una orden judicial apoyándose en la Ley de Comunicaciones Almacenadas (SCA) para que Microsoft divulgara información que tenía almacenada en un Centro de Datos en Irlanda[i]. Microsoft se negó a cumplir con la orden judicial que le requería entregar información almacenada en su Centro de Datos en Irlanda y alegó que dicha orden violaba la Ley Europea.

Microsoft apeló la decisión en el Tribunal para el Segundo Circuito, donde se recibieron peticiones de apoyo a Microsoft de varias partes. El Gobierno irlandés presentó un informe declarando que la orden violaba la Directiva General de Protección de Datos de la Unión Europea y las propias Leyes de Privacidad de Irlanda, y que el Gobierno estadounidense debería haber usado el antiguo Tratado de Asistencia Legal Mutua que existe entre ambos países. El tratado permite que se la colecte información según lo dicten las órdenes judiciales locales. El Segundo Circuito estadounidense falló a favor de Microsoft y el Ministerio de Justicia de los Estados Unidos apeló en la Corte Suprema.

Los alegatos orales sobre el caso fueron escuchados el día 27 de febrero. Sin embargo, en marzo, el Congreso de los Estados Unidos aprobó y el Presidente firmó la Ley del Uso de Información en el Extranjero para Clarificar la Legalidad[ii] (Ley CLOUD). Esta ley emendó la Ley de Comunicaciones Almacenadas (SCA) para poder exigirle a los proveedores de servicios estadounidenses que entreguen los datos que tienen en su poder sin importar en qué parte del mundo se encuentre los mismos. Respaldándose en este acontecimiento, el Ministerio de Justicia de los Estados Unidos le pidió a la Corte Suprema que desestimara el caso como obsoleto y Microsoft no se opuso.

Inclusive desde antes de esta decisión, se plantearon preguntas importantes con respecto al acceso que el Gobierno estadounidense tiene a la información de los ciudadanos en otros países. El Grupo de Trabajo del Artículo 29[iii] había difundido un informe[iv] cuestionando la adherencia de los Estados Unidos a los requisitos de los acuerdos del Escudo de Privacidad entre E.E.U.U. y la UE. En el informe, se recomendó que E.E.U.U. y la UE negocien nuevamente con el fin de desarrollar un plan para cerrar algunas brechas identificadas. Si no se toma acción, el Grupo de Trabajo advirtió que llevaría el problema a juicio para que el acuerdo del Escudo de Privacidad quede invalidado.

Impacto sobre el Mercado:

Todo esto está ocurriendo en el contexto de la entrada en vigor de la Regulación para la Protección General de Datos de la UE que tiene requisitos estrictos para las compañías que trabajan con la información de los residentes de la UE. Específicamente, el Artículo 48 de la Regulación para la Protección General de Datos de la UE afirma que:

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Esto directamente contradice a los requisitos de la Ley CLOUD que anulan de forma directa la necesidad de usar el enfoque contemplado por el MLAT.

Naturalmente, esto deja muchas preguntas sin resolver, como qué leyes y las de quiénes tienen mayor relevancia y en qué estado quedan los tratados sobre los que ya se habían hecho acuerdos anteriormente, entre otras preguntas más. También es probable que las compañías estadounidenses se vean afectadas significativamente a medida que los usuarios se vayan cambiando a proveedores de servicios de nube en sus jurisdicciones locales – o al menos aquellos usuarios en jurisdicciones sin semejantes enredos legales.

Por David Broad CISSP, Auditor Jefe de Sistemas de Gestión de la Seguridad de la Información, Echoworx

Referencias:

[i] https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)

[ii] https://www.congress.gov/bill/115th-congress/house-bill/4943/text

[iii] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

[iv] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782

21 Mar 2018

ECHOWORX EXPANDE EL NEGOCIO DE CIFRADO A LA REGIÓN DESATENDIDA DE ASIA Y EL PACÍFICO

Cloud Security Expo, Londres (UK) – El proveedor de cifrado de correo electrónico Echoworx continúa expandiendo sus operaciones en todo el mundo, con los países de Asia y el Pacífico (APAC) como la última región en beneficiarse de la plataforma de comunicación segura OneWorld de Echoworx.

Con centros de datos en México, Reino Unido, Canadá, Estados Unidos, Irlanda y Australia, esta primavera, OneWorld ofrece a las organizaciones de todo el mundo una solución de cifrado única, flexible y fácil de usar que se puede integrar en sus infraestructuras existentes. Para saber cómo Echoworx se perfila como un líder mundial en seguridad de correo electrónico, visite el stand S2715 en la Cloud Security Expo del 21 al 22 de marzo en el ExCel Center en Londres, Inglaterra.

Existe una necesidad urgente de soluciones de seguridad de datos en APAC. Un nuevo estudio de Marsh & McLennan Companies descubrió que la región de Asia-Pacífico tiene la peor seguridad cibernética del mundo. La mayoría de las infracciones nunca se hacen públicas y el tiempo de descubrimiento en promedio fue 520 días; el promedio global es de solo 146 días

El presidente y gerente general de Echoworx, Michael Ginsberg, dice que las compañías en más países están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos, y APAC es un mercado desatendido.

“Nos mudamos a México para servir a América Latina y somos una de las pocas compañías de cifrado en ese mercado”, dice Ginsberg. “Tenemos una ventaja como primer compañía presente allí y nos gustaría aprovechar esa postura en APAC, empezando en Australia”.

Las organizaciones que usan las soluciones avanzadas de Echoworx obtienen los beneficios de poder comunicarse con clientes y socios de forma rápida y segura. Las grandes instituciones, como las del sector financiero, tienen formas nuevas y mejoradas de captar clientes y aumentar la cuota de mercado ofreciendo servicios seguros como declaraciones electrónicas.

Echoworx puede abordar otra preocupación creciente entre los clientes en diversas partes del mundo: que sus datos se almacenan en su jurisdicción y no en otro país o región.

“Las diferentes áreas tienen diferentes plazos de vencimiento y diferentes preocupaciones, como dónde se encuentran sus datos”, dice Ginsberg. “La conciencia jurisdiccional es una gran decisión de compra de seguridad en lo que respecta a los datos de los países”.

Ginsberg dice que Australia será el punto de partida para las operaciones de Echoworx en APAC, con planes de tener un centro de datos operativo a mediados de mayo, con Indonesia o Japón como próximos destinos en la agenda.

“Con el advenimiento de la administración de la nube, tenemos la capacidad de estar en una jurisdicción en muy poco tiempo y de manera económica”, dice Ginsberg. “Al utilizar los servicios de la nube, ya no estamos restringidos por los recursos físicos o el mantenimiento de infraestructura intensivo de TI, lo que nos permite centrarnos al 100% en cómo podemos ayudar a nuestros clientes a comunicarse mejor con el mundo exterior de una manera segura”.

La Unión Europea (UE) es otra área que se beneficiará de la plataforma Echoworx OneWorld, ya que el cifrado es una solución lógica para las empresas en la UE y aunque no es obligatoria ni la única solución, el GDPR fomenta su uso como una mejor práctica para proteger información de infracciones. Para conocer cómo su organización puede proteger mejor sus datos importantes de los ataques, visite el  stand  # S2715,  tome un café con leche y siéntese en una de nuestras presentaciones.

No se pierda la sesión de Echoworx, 10 maneras de aprovechar el cifrado tomando el primer enfoque para el cliente, ¡en la guía Get GDPR Ready! (Esté listo con el GDPR) Risk, Compliance Theater el 21 de marzo de 2019 de 13:20 a 13:45 con Steve Davis, arquitecto de soluciones.

Con muchas áreas en todo el mundo que necesitan aumentar la seguridad de la información a medida que más organizaciones se dan cuenta de la importancia de proteger sus datos, Echoworx tiene la intención de aprovechar su experiencia en seguridad de la comunicación.

“Para nuestra empresa, este tipo de oportunidades nos permitirá ser verdaderamente globales”, dice Ginsberg.

—-

Acerca de Echoworx

Exhoworx es una ruta de confianza para comunicaciones seguras. Como proveedor de soluciones de encriptación de pure-play, Echoworx trabaja con profesionales de finanzas, gobierno, salud, legales y cumplimiento para diseñar soluciones de comunicación seguras que no impidan la experiencia del cliente. Nuestra plataforma de encriptación escalable OneWorld puede abordar múltiples usos en toda una organización. Nuestros expertos en encriptación se enorgullecen de transformar el caos en orden para las principales empresas multinacionales que utilizan nuestra plataforma de encriptación SaaS. Visítenos en Echoworx.com


Contacto para los medios

Lorena Magee, VP Marketing
media@echoworx.com
416 226-8600

07 Mar 2018
Echoworx | Email Encryption Solutions | Encryption, helping address GDPR compliance

EL CIFRADO, AYUDANDO AL ESFUERZO POR CUMPLIR CON GDPR

A partir del 25 de mayo de 2018, todas las empresas que se ocupan de datos personales en la Unión Europea (UE) deben emplear un alto nivel de seguridad para salvaguardar la información de los ciudadanos de la UE. Según el Reglamento General de Protección de Datos (GDPR), las empresas que no tomen medidas adecuadas para proteger los datos de quienes residen en los 28 países de la UE (antes del Brexit), enfrentan multas de hasta 20 millones de euros ($ 21,9 millones) o 4% de los ingresos anuales globales de una empresa. Las autoridades reguladoras tendrán mayores poderes para actuar contra las empresas que no cumplan.

El GDPR establece las bases
David Broad, Responsable de Auditoría y Seguridad de la Información de Echoworx, dice que el GDPR establece las bases de cómo las compañías deben proteger su propia información y la de sus clientes. Las prácticas de seguridad de referencia también deben ser coherentes con cualquier servicio de terceros que la empresa utilice (como Amazon), incluso si la empresa se encuentra fuera de la UE. Las regulaciones en toda la UE “solían ser un mosaico bastante amplio”, dice Broad, y el GDPR armonizará esas reglas. La UE siempre ha tenido regulaciones estrictas, pero había problemas significativos si una empresa estaba haciendo negocios en varios países, ya que las reglas podían diferir en cada una de ellas.

“Era visto por muchos como una desventaja y un impedimento para los negocios”, dice Broad. “Ahora, habrá un estándar que todos entiendan y conozcan”.

Una solución lógica
El cifrado es una solución lógica para estas empresas y, si bien no es una solución obligatoria o la única, el GDPR fomenta su uso como una práctica recomendada para proteger la información sensible de las infracciones. Cada vez más, el cifrado se considera el método de partida para proteger las comunicaciones en tránsito y salvaguardar la información almacenada, según Jacob Ginsberg, Director Senior de Echoworx.
Ginsberg dice que las empresas están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos. El GDPR alienta la idea de la seguridad y la privacidad por diseño desde las primeras etapas de desarrollo, agrega. Esos dos aspectos, la privacidad y la seguridad, no siempre funcionaban en conjunto y el GDPR ayudaría a alinearlos. El cifrado puede desempeñar un papel en la alineación de estos aspectos.

La importancia del cifrado
Proteger la información en tránsito, ya sea a través de correo electrónico o intercambio de archivos grandes, puede ser un desafío para algunas organizaciones, ya que pueden no controlar la red o el servidor de correo electrónico, y el servidor puede no estar en la UE, dice Broad.
“No se puede simplemente enviar datos de clientes a través de una red de la que no se tiene control”, dice. Una organización puede usar algún tipo de cifrado para datos en tránsito u optar por no enviar datos cifrados por correo electrónico. En cambio, podría enviar un mensaje benigno a un cliente diciéndole al cliente que inicie sesión en el portal de la compañía para recuperar la información pertinente.

No todas las empresas quieren construir un portal debido a la gran inversión en tecnología requerida, o porque pueden no necesitarlo todo el tiempo. Por ejemplo, algunas empresas pueden solo necesitar un portal por un corto tiempo cada año, como para recibir documentos tributarios anuales.

Así como Amazon ofrece soluciones de comercio electrónico para vendedores que no desean gestionar logística, pagos, hardware y almacenamiento de datos, los proveedores de cifrado como Echoworx pueden ayudar a las empresas a cumplir con el GDPR al proporcionar soluciones de cifrado y servicios para ayudar a los clientes a proteger datos.

Vamos a conectarnos
Mis colegas estarán en la Cumbre Anual de IdentityNorth en el Mattamy Athletic Center en Toronto, Canadá, en junio. Si planeas estar en la ciudad, ven a conocer al equipo de Echoworx. Presentaremos casos de uso reales de cómo las organizaciones están ganando valor al integrar el cifrado en sus procesos comerciales, al tiempo que aseguran las comunicaciones. Regístrese hoy, únase a nosotros para un chat!

Por Christian Peel, ‎VP de Ingeniería del Cliente, Echoworx

26 Feb 2018
Echoworx | Email Encryption Solutions | Is there a certainty to security?

¿Hay certeza en la seguridad?

La elección entre Protección + Prevención frente a Detección + Respuesta es una ilusión. Como profesionales de seguridad, todos aprendimos que la defensa en profundidad era clave. Sin embargo, nos enfocamos demasiado en la defensa como solo una pared o línea que nos protegería. Este tipo de pensamiento ha demostrado ser insuficiente una y otra vez. Primero, pusimos firewalls y pensamos que estábamos a salvo. Luego nos dimos cuenta de que necesitábamos IDs y eventualmente IPs. Los SIEM y otras herramientas fueron los siguientes. Estos cumplen con partes de la ecuación, pero no con todas.  Una vez que sus defensas son estáticas y no evolucionan en función de la retroalimentación de lo que realmente está sucediendo, se pueden solucionar. Al alinearse con solo una de Protección + Prevención o Detección + Respuesta se dejarán huecos.

Si las amenazas modernas nos han enseñado algo, es que ninguna solución resolverá todos los problemas.  Necesitamos enfoques combinados que implementen herramientas para proteger nuestros perímetros, y también otras herramientas y sistemas que puedan detectar tráfico anómalo y sintonizar redes para responder.

Ningún estándar significativo de Seguridad de la Información, ya sea ISO 27001, el Marco de Seguridad Cibernética NIST, Webtrust u otros, tiene solo un aspecto de la seguridad. La clave es mantenerlos equilibrados y alimentados con herramientas, recursos y fondos para mejorar las capacidades en todos los ámbitos.

Muchas empresas piensan que una vez que tienen algunas herramientas implementadas para controlar su perímetro, ya están listas.  Pero, ¿qué tan efectivas son estas herramientas que han desplegado?  El hecho de que las herramientas no detecten nada no significa que no haya nada allí.   Para cada herramienta que se implementa, las empresas deben pensar en cómo van a medir su eficacia. ¿Cómo se veía el tráfico antes de desplegarse? ¿Cómo se ve después? ¿Qué aspecto tendría si no funcionara? ¿Qué podría faltar?

Comprender las limitaciones de las herramientas que se implementan es clave para comprender qué más se debe supervisar y poder incluir esto en sus procesos de Gestión de Riesgo para pronosticar las próximas herramientas que debe implementar. Reaccionar después de un ataque es demasiado tarde. El daño está hecho.

No se trata de Protección + Prevención o Detección + Respuesta, es más una cuestión de Protección + Prevención + Detección + Respuesta. La esperanza sería que si está monitoreando sus herramientas actuales, detectará lagunas antes de que sean un problema y la respuesta será una actualización o implementación planeada en lugar de una investigación de incidentes.

Por David Broad, Responsable de Auditoría y Seguridad de la Información, Echoworx

25 Ene 2018
Cyber Threat

¿Qué tan malo es malo? El actual panorama de amenazas en México

México es una de las economías de más rápido crecimiento en el mundo, enfocada en emplear tecnología para impulsar las empresas hacia adelante. Pero esta dependencia en la tecnología viene con un lado oscuro: las empresas son significativamente más vulnerables a las amenazas cibernéticas y las filtraciones de datos.

México ha estado atrayendo la atención de maliciosos ejecutores de amenazas cibernéticas. La atracción se debe en gran medida a su creciente importancia geoestratégica regional y global, junto con la creciente riqueza económica y financiera de la nación.

Según estudios recientes, las organizaciones mexicanas están enfrentando amenazas similares a las que operan en las economías más desarrolladas del mundo. México ocupa el segundo lugar en América Latina, justo detrás de Brasil, para la mayor parte de los ciberataques, con los sectores bancarios, de ventas al por menor y de telecomunicaciones como los más afectados.

Tiempo serio de hacer ajustes

La ocurrencia de la actividad cibercriminal en México, la diversidad de instituciones financieras y el creciente valor de capital del sector, son todos factores de riesgo. Grupos criminales, claramente capaces, asediaron el sector financiero mexicano al comprometer los cajeros automáticos y defraudar a los clientes de los bancos en una escala significativa. Ataques menos sofisticados, como el uso de Troyanos bancarios, ransomware y Puntos de Venta de malware, están bien extendidos y representan una amenaza significativa.

Las vulnerabilidades claves observadas en el panorama cibernético de México son la falta de una cultura de seguridad cibernética, las configuraciones anticuadas de sistemas y versiones obsoletas de las aplicaciones de software. El derecho a la privacidad junto con la protección de información personal, tanto para individuos como para corporaciones, es un tema extremadamente relevante para las organizaciones internacionales y el sector público. Si la seguridad cibernética no es fortalecida, más empresas en México quedarán expuestas.

Si México quiere ser un pionero de derechos de datos, la nueva infraestructura debe adaptarse efectivamente a los cambios en la forma en que la información es transmitida alrededor del mundo y deben cumplir no solo con las directivas nacionales y regionales, sino también con la protección internacional de las prácticas de información.

Surge la Pregunta

¿Está su negocio en una encrucijada? ¡Asuma los costos de aumentar las defensas o conviértase en alguien cada vez más susceptible al riesgo de ataques!

La elección correcta sería migrar hacia un modelo proactivo incorporando puntos de control de seguridad opuestos a un modelo reactivo. El tener las medidas de seguridad correctas podría resultar ser un diferenciador para superar a los competidores.

Una desviación positiva

Según PwC Mexico, “El 91% de las empresas mexicanas han priorizado la seguridad cibernética en sus organizaciones y México es el país con mayor inversión en seguridad cibernética en América Latina”. El sector financiero ha liderado el camino en esta área, seguido por las telecomunicaciones, y estos, ambos, son los sectores económicos más globalizados de México.

Aquí es donde el Gobierno de México debería trabajar de cerca en colaboración con firmas privadas. Los beneficios de fomentar la investigación sobre el tema de la protección de datos serían mutuamente beneficiosos, manteniendo el enfoque en la creación de una economía sostenible y creciendo de manera segura.

Echoworx ha respondido a las demandas de seguridad de datos de México mediante la configuración de nuestra avanzada plataforma de cifrado OneWorld dentro de un centro de datos local cerca de la Ciudad de México. Esta expansión ha sido impulsada por la creciente demanda de empresas multinacionales operando en México para procesar y proteger su información sensible de manera local.

Con nuestra ágil plataforma de cifrado de correo electrónico, es más fácil que nunca que las organizaciones puedan cumplir, mantengan la reputación de la marca, generen confianza entre los clientes y ganen una ventaja competitiva, mientras maximizan la protección de sus comunicaciones confidenciales, la propiedad intelectual y otros datos sensibles.

México se está perfilando para estar entre los líderes mundiales en transacciones digitales, y ya que la seguridad es una preocupación primordial, salvaguardar las comunicaciones debe ser una principal prioridad. Como líder en el cifrado de correo electrónico, Echoworx está enfocado en fortalecer la seguridad cibernética colaborando con varias partes interesadas igualmente apasionadas para salvaguardar la colaboración y comunicación de información sensible en todo México.

 

Por Christian Peel, ‎ Vicepresidente de Ingeniería de Clientes, Echoworx

23 Ene 2018

Echoworx forja una sociedad con Moneta Technologies, fortaleciendo las relaciones en México

TORONTO, ONTARIO – 23 de enero de 2018 – Es un nuevo año y con él vienen nuevas oportunidades. Echoworx se complace en anunciar su nueva asociación estratégica en México con Moneta Technologies . El año pasado, el proveedor de codificación de correo electrónico Echoworx abrió un centro de datos local cerca de Ciudad de México , enfocándose en la demanda de México  para la seguridad de los datos en el país, ofreciendo su avanzada plataforma de codificación OneWorld.

Moneta Technologies es una compañía de soluciones de tecnología con experiencia en pagos electrónicos y enfocada en el desarrollo de la infraestructura de tecnología de servicios bancarios y financieros, comercio minorista y telecomunicaciones.

Al comentar sobre la sociedad con Echoworx , Juan Pablo González, Director-gerente de Moneta Technologies dijo: “Estos son tiempos muy interesantes en la vibrante economía de México y esta alianza nos ayudará a servir como un socio de confianza para nuestros clientes al brindarles las mejores tecnologías de información y comunicación que les permitan su crecimiento y progreso económico. Las soluciones de codificación de Echoworx ayudarán a nuestros clientes a proteger la información confidencial de sus clientes contra el robo y otros ataques de privacidad de datos que favorecen cuando el correo electrónico es objetivo de ataques”.

“México se ubica como el segundo país de América Latina con más ciberataques, detrás de Brasil, con muchas organizaciones grandes que sufren de falta de actualización y capacidades de codificación incompatibles. Se siguen aplicando normas de seguridad de datos más estrictas, como el Reglamento General de Protección de Datos de la UE y la Ley General de Protección de Datos Personales de México, que tendrán un mayor impacto en las prácticas de las organizaciones de información y protección de datos. Nuestro momento para interactuar con México no podría ser mejor “, agregó Randy Lenaghan, vicepresidente de ventas de Echoworx. “Nuestra plataforma de codificación de correo electrónico está diseñada para abordar los diversos requisitos de información y comunicación dentro de la industria de servicios bancarios y financieros y para adaptarse de manera efectiva a los cambios”.

Se dice que México es uno de los líderes mundiales en transacciones digitales, y dado que la seguridad es una preocupación primordial, es pertinente que exista una infraestructura sostenible para salvaguardar el interés de todos los clientes. Esta asociación reafirma el compromiso de Echoworx con México y su enfoque en el fortalecimiento de la seguridad cibernética, colaborando para proteger la información sensible.

Sobre Echoworx

Echoworx brinda simplicidad y escalabilidad a la codificación. OneWorld, nuestra solución estrella, es la primera plataforma de codificación de correo electrónico inteligente que hace que el correo sea seguro, fácil y rentable, diseñada para adaptarse a cualquier entorno y todas las formas de codificación. Nuestros expertos apasionados por la codificación transforman el caos en orden para las principales empresas del mundo y los proveedores OEM que entienden que el requisito de comunicación segura es de máxima importancia. Visítenos en https://www.echoworx.com/

Acerca de Moneta Technologies

Moneta Technologies, es la empresa experta en métodos electrónicos de pagos, dedicada al desarrollo de proyectos de infraestructura tecnológica para instituciones financieras, minoristas y operadores de telecomunicaciones, entre otros, para aceptar y procesar pagos electrónicos de manera segura y sin contratiempos.

Contacto de Medios de Echoworx

Lorena Magee, Vicepresidenta de Marketing

media@echoworx.com

416 226-8600

05 Ene 2018
Microprocessor attacks

Ataques Spectre y Meltdown, ¿crees que el cielo se está cayendo?

Al igual que la mayoría de las empresas, Echoworx es consciente de las vulnerabilidades anunciadas recientemente que afectan a los microprocesadores más modernos.  Queríamos tomarnos un minuto para proporcionar la siguiente guía sobre los ataques Spectre y Meltdown para garantizar la conciencia de los problemas y para informarte sobre los pasos que Echoworx está tomando para abordarlos.

¿Cuáles son estos ataques?

Spectre en realidad son dos vulnerabilidades diferentes, y Meltdown es una.  Ambos ataques explotan características de microprocesadores ‘modernos’ llamados ‘ejecución especulativa’.   La Ejecución Especulativa es una técnica de captación previa de datos e instrucciones previas a la ejecución en caso de que se necesiten.   Básicamente, si no se necesitan, aún quedan restos de los datos en la memoria que pueden leerse en otros procesos.

El ataque Meltdown es el peor de los dos, ya que puede revelar toda la memoria de la computadora, no solo algunas partes de la misma.  El Meltdown también es más fácil de realizar.  Afortunadamente, el Meltdown también es más fácil de parchear.  Spectre por otro lado es más difícil de realizar, revela menos, pero es más difícil de tratar a través de parches.  Hay parches para casos conocidos específicos.

¿Qué se ve afectado por estos ataques?

“Moderno” no es tan moderno… Al menos no en términos informáticos.   Básicamente cualquier procesador Intel construido desde aproximadamente 1995 se vería afectado.  Intel, AMD, ARM, procesadores y otros también se ven afectados en diversos grados.  Hay algunos informes de que ciertos procesadores no están expuestos a todas las vulnerabilidades, pero no está claro si se ha demostrado que es así o si aún no se ha logrado. Sería mejor errar por el lado de la precaución.

¿Qué deberías hacer como individuo en tus dispositivos personales?

Siempre debes mantenerte actualizado con parches, y este caso no es diferente.   Existen parches para Linux, Microsoft (Windows, Edge, IE), Apple (MacOS, iOS, TVOS, Safari), Android, Firefox, Chrome y probablemente muchas otras aplicaciones.  Aplicar estos te ayudará a protegerte.

También debes asegurarte de que tu software antivirus/seguridad de Internet esté actualizado.   Microsoft ha anunciado que sus correcciones pueden tener problemas de compatibilidad con algunos software antivirus.   El parche para Windows no se instalará si tienes un antivirus obsoleto o incompatible.  Yo primero actualizaría el software antivirus y luego aplicaría el parche MS.

Ten en cuenta que algunas de las soluciones a este problema podrían causar un impacto en el rendimiento.  Hay algunas estimaciones bastante desagradables de cuán grave impacto podría haber, pero los proveedores que he visto hasta ahora han reportado impactos mínimos.  Por ejemplo, Apple informa un máximo de 2.5% contra 1 punto de referencia para estas correcciones.

 

By David Broad CISSP, Information Security and Audit Lead, Echoworx

23 Nov 2017
Financial Security

Confía en que soy el buen banco

Hey bancos, los millenials tienen problemas de confianza. Sí, estas personas sofisticadas, bien viajadas y altamente educadas tienen relaciones conflictivas con la información personal.

Una nueva encuesta de OnePoll dirigida por Echoworx reveló que los millennials son más cuidadosos con sus parejas sentimentales que con las instituciones financieras. Casi el 50 por ciento de los encuestados de entre 18 y 35 años no daría a una pareja su dirección hasta después de al menos cinco citas. Sin embargo, el 56 por ciento había compartido información confidencial por correo electrónico con sus banqueros y corredores, sin darse cuenta de que el correo electrónico puede ser fácilmente pirateado y filtrado para robar identidades e información clave. Y no es por analizar mucho la situación, pero menos del 60 por ciento de los millennials encuestados podría definir con precisión el “cifrado”.

Todos tus clientes esperan que los trates bien, por lo que tu capacidad para hacerlos confiar en ti radica en qué tan bien lo haces. Y una gran parte de eso es tener una seguridad cibernética fuerte para que no tengan que preocuparse por la pérdida o el robo de sus datos.

Cambio de cultura de la información

Las contradicciones de los millenials en torno a la información personal tienen sentido cuando piensas en cómo las interacciones humanas han cambiado. Hoy en día, las citas no solo se tratan de conocer a alguien a través de pasatiempos, trabajo o amigos; también puedes hacerlo a través de aplicaciones. Pero con las aplicaciones, las relaciones con la comunidad no están ahí, por lo que los millennials son naturalmente cuidadosos al revelar donde viven. Por otro lado, están tan acostumbrados al refinamiento continuo de la tecnología, especialmente en los negocios, que confían en que funcione para ellos.

Las personas nacidas en las décadas de 1980 y ’90s crecieron con dispositivos de mano que mutaron en los portales multimedia que son ahora. Ellos toman la comodidad digital por sentado de la misma manera que dan por hecho sus propias manos y pies, y debido a eso, no tienen la misma desconfianza de sus padres sobre los dispositivos y el software. Pero ellos también no tiene la sagacidad mediática que tiene la siguiente generación, que comenzó a aprender sobre la privacidad y la seguridad en Internet desde la escuela primaria.

Lo bueno, lo malo y lo no comprometido

Los millennials esperan que las instituciones financieras integren sus procesos sin problemas en los dispositivos móviles, y eso ha creado una batalla clásica entre el bien y el mal.

En el lado del mal, hay personas que hacen todo lo posible para robar información. Del lado bueno están las empresas que usan los protocolos de seguridad más altos en todas sus comunicaciones. Pero entre el bien y el mal, encontrarás a otros que simplemente esperan no afectarse cuando las cosas van mal.

Los millennials ahora son tu principal fuerza de trabajo y base de clientes, y como lado malo explotarán cada oportunidad que dejes abierta. Todas las comunicaciones en el lugar de trabajo son objetivos, por lo que una encriptación fuerte es fundamental para las líneas frontales, back-end y todas las herramientas de medios internas.

Las relaciones comerciales, tal como las relaciones románticas, prosperan en la confianza, y es mucho más difícil reconstruirlas que comportarse responsablemente desde el principio. Sé el mejor: comunicaciones seguras, encripta todo al más alto nivel y nunca solicites información a través de correo electrónico no seguro o aplicaciones.

Y visita nuestro portal Getting Personal para aprender más sobre los riesgos y las oportunidades de compartir información confidencial.

Por Neyson Lins, Analista de marketing y líder de campaña, Echoworx