11 Ene 2019
Generation Z, Personal Data and Digital Trust: Unlike Any Before

Generación Z, Información Personal y Confianza Digital: Como Ninguna Otra Antes

Resuelva este acertijo: siempre estoy conectado – pero evito las situaciones sociales. Demuestro prestarles atención firme a los detalles – pero tengo la capacidad de concentración de un pez dorado. Brindo información personal de forma libre – pero exijo que se proteja. No confío en las corporaciones – pero me comunico con ellas como si fueran familia.

¿Quién soy?

Si adivinó que se trataba de un Millennial, usted va por el camino correcto. Pero estas características son más atribuibles a los miembros de la Generación Z – la primera generación de nativos digitales que nacieron a mediados de los 90 y en los 2000, y que florecerán en el mercado de consumo. Y dado a que conformarán un enorme 40 por ciento del total de los consumidores para el 2020 [1] con un poder adquisitivo de $44B, [2] este es el grupo para el que su organización tiene que prepararse – especialmente cuando se trata de la protección de datos.

¿Cómo comparte información digital la Generación Z?

Como nativos digitales, los Gen Z no conocen la vida sin estar conectados al mundo digital. Y ya que han pasado la mayor parte de sus vidas en línea, algunos de ellos hasta haciendo su primera aparición por selfi a través de un ultrasonido subido desde el vientre, se sienten mucho más cómodos con que sus datos más íntimos estén disponibles con el clic de un mouse. Están ‘siempre en línea’, y algunos miembros de la Generación Z chequean sus redes sociales cientos de veces por día o más. Esto se refleja en cómo comparten información digital.

Según datos de Echoworx, el nivel de confort con el que la Generación Z comparte información personal en línea está a la par o excede a las métricas de los Millennials. Por ejemplo, el 56 por ciento de la Generación Z no se opone a publicar su puntaje de crédito en las redes sociales. Esta misma métrica es considerablemente más baja para los Millennials, con 44 por ciento estando cómodos, y sigue bajando a través de las generaciones más viejas.

¿Los de la Generación Z son más crédulos? ¿O simplemente son más rápidos?

La capacidad de concentración promedio de la Generación Z es de 8 segundos según los datos del Digital Marketing Institute. Y como nativos digitales ansían recibir gratificación instantánea pagando el precio de los datos personales – sin considerar demasiado las consecuencias a largo plazo o preguntarse para qué se están usando sus detalles. Pero debido a su poca capacidad para prestar atención, los Gen Z son expertos en filtrar y retener la información que se les presenta. [3]

Entonces, ¿son crédulos? No. Pero esto no necesariamente significa que son responsables. Y su velocidad digital de relámpago puede conllevar a prácticas desprolijas cuando de proteger sus datos se trata. Por ejemplo, según datos de Echoworx, casi la mitad de los Gen Z cambian sus contraseñas digitales con regularidad. Compare esta misma figura con la de los Millenials; casi tres cuartos de ellos actualizan sus credenciales de ingreso en línea regularmente.

¿Los Generación Z son descuidados con sus datos personales digitales?

Para poder entender el punto de vista de un Gen Z, necesita ver las cosas desde su perspectiva. Por ejemplo, ¿les confiaría a sus padres su SIN? ¿Le pediría consejos a su hermana sobre la mejor forma de pelar una manzana? Si contesto que sí, simplemente substituya a su pariente por un influencer en línea o por una de sus marcas favoritas. Si siempre está en línea, usted vive en línea.

Y usted confía en las personas que le importan para que lo dirijan en la dirección correcta. Es por esto que los Gen Z se sienten tan cómodos con proveerles detalles o recibir consejos por parte de marcas o influencers.

Cuando lo ve desde esta perspectiva, el divulgar información personal en línea sin reparos no es tan loco como suena para las generaciones más antiguas.

Y las generaciones más antiguas tampoco son perfectas. Según una reciente Gallup Poll, casi un cuarto de estadounidenses fueron víctimas del cibercrimen en el 2018. [4] Esto es a pesar del reclamo que el 71 por ciento de las personas encuestadas que se preocupan por el cibercrimen y dos tercios de estadounidenses hace, según los datos del American Bankers Association (ABA), de que toman medidas para proteger datos sensibles. [5]

La confianza digital es un juego frágil para jugar

A diferencia de sus equivalentes fuera de línea, la confianza digital tiene su propia presunción en que si es fácil de obtener, es aún más fácil de perder y casi imposible de recuperar. De hecho, según datos de Echoworx, más de tres cuartos de la Generación Z considera dejar las marcas luego de una brecha de información. ¿Entonces cómo se juega el juego?

Fácil. Los protege.

Según Deloitte, las expectativas de los clientes en línea están atravesando un pico histórico, y sus clientes exigen tener control sobre sus datos personales. Y un gran 69 por ciento del total de los clientes no cree que las organizaciones estén haciendo todo lo que pueden para proteger sus datos. [6] Pero según los datos del ABA, casi la mitad de los estadounidenses sigue confiando en industrias tradicionales como los bancos y la industria del cuidado de la salud. [7]

Mientras que algunos tal vez vean a esta nueva fascinación con la obtención de datos personales como algo perjudicial para hacer negocios – su organización debería verla como un diferenciador competitivo. Si su marca se lanza de lleno en una misión para proteger los datos de los clientes, empleando las mejores prácticas proactivas como por ejemplo, una experiencia de encriptación personalizada y enfocada en el cliente para los documentos sensibles en tránsito, sus clientes lo notarán.

Conozca más sobre mantener la confianza digital de sus clientes.

Por Nicholas Sawarna, Especialista Sr. de Marketing de Contenido, Echoworx
——
[1] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog
[2] https://www.forbes.com/sites/kristinwestcottgrant/2018/05/09/data-privacy-social-media-visual-content-adobe-through-the-lens-of-generation-z/#5c812c243a9c
[3] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog
[4] https://bankingjournal.aba.com/2018/12/gallup-poll-quarter-of-americans-victimized-by-cybercrime/
[5] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/
[6] https://www2.deloitte.com/insights/us/en/industry/technology/digital-media-trends-consumption-habits-survey.html
[7] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

28 Dic 2018

¿Año Nuevo? ¡Nuevos Desafíos de Seguridad de la Información!

A medida que nos vamos acercando al Año Nuevo, reflexionamos sobre las pruebas, tribulaciones y desafíos que se enfrentaron el año pasado – antes de esbozar las resoluciones específicas para estos problemas. En el mundo de la seguridad de la información, estas mejoras normalmente se encuentran dentro de los dominios de identificar las amenazas, prevenir los problemas de ciberseguridad y mantenerse al día con lo último y mejor de la tecnología de protección de datos.

¡Y qué año tan ocupado ha sido este! Desde la introducción de nueva legislación para construir privacidad como la GDPR o la AB 375 de California, hasta la introducción de leyes que destruyen la privacidad como las nuevas leyes de encriptación de Australia que exigen puertas traseras para los datos, ha sido una verdadera montaña rusa. También hemos visto cómo las brechas de datos y las instancias de ransomware hacen que incluso los conglomerados masivos como Marriot se pongas de rodillas.

Así que, ¿qué es lo que tiene que hacerse en el 2019?

La desafortunada realidad del mundo de la seguridad de la información es que parece que las nuevas amenazas y estafas, y los nuevos y preocupantes actores maliciosos aparecen de la nada todos los días. Mantenerse al día con esta información que constantemente cambia es suficiente para hacer que alguien se vuelva loco. Y las consecuencias de quedarse atrás pueden ser perjudiciales para su negocio,  su reputación y finalmente, sus clientes.

Este último año, nuestro Distinguido Ingeniero de Software en Echoworx, Slava Ivanov, ha hecho de su misión reunir y coagular los últimos trucos y consejos en ciberseguridad en un conciso documento serial 101 de definiciones. Desde temas más livianos como la nueva tecnología japonesa emergente de ‘autenticación posterior’, que otorga acceso a un sistema o máquina por medio de ‘huellas de trasero’, a problemas de seguridad de la información más serios como el spearfishing o problemas de protección de datos como la criptografía pez globo que se usa en la encriptación, el índice de términos de Slava le ofrece un excelente manual básico a cualquiera que esté empezando a investigar un término.

Así que, antes de formalizar las resoluciones de Año Nuevo de su organización este año, ¡considere echarle un vistazo rápido al ‘Information Security 101’ de Slava para ver si hay algo de lo que se perdió en el 2018!

Haga clic aquí para buscar los términos y definiciones de la seguridad de la información con mayor tendencia el año pasado.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

20 Dic 2018
Digital Onboarding

Acelerar la Integración de Sus Clientes mediante la adopción digital

Con tantas opciones digitales para elegir, la integración tradicional de clientes, que normalmente puede llevar semanas o hasta meses en completarse, es ciertamente una experiencia pobre para los clientes. Muchos de los procesos todavía son manuales, requieren de tiempo, son caros e inefectivos. Y con la tecnología financiera pisándole los talones, si falla en integrar a sus clientes rápidamente, es posible que estos empiecen a considerar otros opciones más ágiles.

Pero mudarse a lo digital puede tener riesgos regulatorios – especialmente si su organización no está tomando las precauciones apropiadas con la información de los clientes. Así es cómo usted puede integrar a sus clientes de forma segura, rápida, y lo que es más importante, de forma digital:

¿Por qué molestarse en pasar a lo digital?

En todas las industrias, incluyendo las industrias financieras y banqueras, las interacciones con los clientes están pasando a canales puramente digitales de cada vez más. Para poder seguir siendo relevantes, hasta los proveedores de servicios banqueros y financieros deben hacer lo mismo. Si bien las tecnologías como la banca móvil y digital fueron adoptadas por los millennials primero, ahora clientes de todas las edades las están usando ampliamente.

En pocas palabras: la integración digital les permite a los clientes elegir cómo, dónde y cuándo desean unirse a su banco.

Y para los bancos, donde la centralización en el cliente es primordial, emplear canales digitales les brinda personalización y participación a todos sus clientes de banca. La transición a lo digital también reduce costos, y es más fácil medir la efectividad. De hecho, según un informe reciente de eMarketer, la importancia de incrementar los canales digitales, entre instituciones financieras, está superando rápidamente a otros objetivos de negocios, viendo un incremento en importancia del 15 por ciento de un año para el otro, del 2016 al 20171.

La importancia de proteger a los clientes

Una encuesta reciente de Echoworx muestra que a la mayoría de los clientes les lleva menos de 30 segundos evaluar la seguridad de un correo electrónico. Aun así, solamente el 40 por ciento de las organizaciones que tienen tecnología de encriptación la usan para proteger información sensible. En estas instancias, un tercio del total de los correos electrónicos que deberían encriptarse se envían sin sospechas.

Nuestra investigación demuestra que 64 por ciento de los clientes están más preocupados por su seguridad en línea ahora de lo que lo estaban hace un año. Y el 62 por ciento confía en que su actividad en Internet es privada. Dada la cantidad de brechas de información en meses recientes, estas figuras no deberían ser una sorpresa.

Sin embargo, los clientes asumen que su organización está protegiendo sus interesas y su información. Sus clientes deben poder confiar en que su información está a salvo en sus manos. Es mucho lo que está en juego: el 80 por ciento de los clientes considerarán dejar su organización después de una brecha.

Beneficios adicionales para sus clients

La implementación de canales digitales y permitir que la integración sea más rápida también traerá consigo otros beneficios para las instituciones financieras:

  • Reducir los puntos de contacto de la integración para completarla más rápida y fácilmente. Los clientes quieren completar su proceso de integración y solicitud con una cantidad mínima de interacciones antes de que puedan acceder a los servicios.
  • Una integración más rápida significa que es menos probable que los clientes nuevos desarrollen impresiones negativas con respecto a su institución financiera.
  • Establecer una buena relación rápidamente para proveer productos y servicios. Los clientes están más satisfechos cuando la relación se establece inmediatamente.

 

Un caso de estudio escocés

El desafío con la integración digital es dar con el balance justo: el proceso debe ser fácil de usar, pero la seguridad de los documentos se debe mantener.

Uno de los bancos más grandes de Escocia vino a nosotros con este desafío, y los resultados han sido favorables.

Luego de implementar nuestra solución, todos sus formularios de solicitud de cuentas, préstamos, hipotecas e inversiones ahora se envían por correo electrónico como PDFs seguros. El cliente llena los documentos después y los envía de regreso vía correo electrónico, también de forma segura. Debido a que el proceso es digital y utiliza encriptación segura, la integración puede completarse en pocos días.

El banco estima que está reduciendo el tiempo de integración de nuevos clientes por más de una semana. Como incentivo, también ha reducido de forma drástica los costos de correo asociados al proceso de integración antiguo. Todos se benefician: los clientes encuentran que la experiencia de integración es fácil de navegar, y el banco puede confiar en la seguridad e integridad del proceso.

La diferencia Echoworx

El ejemplo del banco escocés que se discutió arriba es solamente una de las maneras únicas en las que su institución financiera puede aprovechar el poder de nuestra plataforma de encriptación OneWorld para ayudarlo a optimizar el proceso de integración de sus clientes. Con múltiples métodos de entrega y la capacidad de enviar millones de documentos seguros con el clic de un mouse, además de ofrecer otros beneficios como poder ponerle marca a sus comunicaciones seguras, OneWorld acelera su proceso de integración, reduce el desorden confuso y mantiene a su institución banquera hermética ante los ojos de los reguladores.

Conozca más sobre cómo podemos ayudar en su proceso de integración de clientes.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

18 Dic 2018
Australia demands encryption backdoors

Problemas en la Tierra de Oz: Las nuevas y controversiales puertas traseras de la información en Australia

Poderosas amenazas a nuestro derecho a la privacidad se están creando en Australia – una nación tradicionalmente conocida por su dedicación a los valores democráticos del Commonwealth. A partir de diciembre de 2018, Australia tiene una nueva legislación que permite que los servicios de inteligencia estatales y los organismos de seguridad y de orden público exijan tener acceso información sensible encriptada perteneciente a organizaciones específicas.

A medida que otros gobiernos simpatizantes vayan tomando nota de estos sucesos, esta legislación podría significar el comienzo de tiempos difíciles para la privacidad digital y para el modo en que almacenamos y compartimos información sensible.

Pero antes – un poco de contexto:

Desde su creación, los miembros del colectivo de organizaciones de inteligencia y orden público denominado ‘Five Eyes’, provenientes del Reino Unido, Estados Unidos, Canadá, Nueva Zelanda y Australia, han estado cabildeando por años para tener más acceso a sus ciudadanos. Obtener acceso a los datos privados de los ciudadanos representa no solo la oportunidad de vigilar a aquellos pocos entre nosotros que poseen intenciones maliciosas – sino también la oportunidad de controlar a sus poblaciones.

En tiempos recientes, esto se ha manifestado en el ámbito digital – desde la creación de legislación, como la Ley PATRIÓTICA del gobierno de los Estados Unidos o la Ley de Regulación de Poderes de Investigación del Reino Unido, al uso de peligrosos eufemismos como “encriptación responsable”. La información digital sensible es un tesoro rico para los “Five Eyes”, quienes por años han estado impacientes ante la idea de hacerse con ella.

Las puertas traseras siguen siendo puertas

En términos simples, la nueva legislación de privacidad aprobada por el Parlamento Australiano exige que los proveedores tercerizados de servicios digitales creen puertas traseras, con las que los organismos estatales puedan acceder a información completamente encriptada cuando sea solicitado. Si bien es cierto que pueden hacer estos requerimientos de manera formal a las distintas organizaciones, cabe señalar que ahora también tienen el poder de dirigirse a individuos dentro de organizaciones específicas, desde Sally la CEO hasta Bill el empleado de TI, para que estos provean el acceso de puerta trasera cuando les sea pedido.

Y estas demandas tienen serias consecuencias.

Si una organización rechaza una solicitud de un organismo estatal australiano, como una agencia de seguridad y orden público, enfrentarán multas de millones de dólares. Los individuos que no cumplan con estas normativas enfrentarán la posibilidad de pasar tiempo en prisión.

¿Suena atemorizante?

Se pone peor.

El impacto global de estas nuevas leyes de privacidad

Como miembro de los “Five Eyes”, Australia es un actor importante en la comunidad global de inteligencia. Este país y su legislación no solo ayudan a sentar una parte considerable del estándar en cuanto a lo que es aceptable que hagan los organismos de inteligencia de los gobiernos – sino que también han creado un peligroso precedente que podría servir de ejemplo para otros miembros del colectivo “Five Eyes”.

El peligro de medir la profundidad de un río con ambos pies

Una consecuencia no deseada de crear estas puertas traseras son las nuevas potenciales vulnerabilidades que representan para las organizaciones del gobierno australiano que las solicitan. Aunque alegan haber resuelto problemas de seguridad nacional importantes, con su nueva habilidad para espiar a sus propios ciudadanos, irónicamente el gobierno australiano ha creado peligrosas vulnerabilidades en sus propios sistemas, listas para ser explotadas por agentes maliciosos.

¿Qué puede hacerse al respecto?

En Echoworx, así como en toda la comunidad de ciberseguridad, creemos firmemente en la protección de la información encriptada. Sin la posibilidad de enviar y recibir información confidencial a través de plataformas digitales, la privacidad de todos está en riesgo, y lo que es peor, podríamos estar abriendo puertas para los mismos criminales que intentamos detener.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

01 Dic 2018
Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

DICIEMBRE |

P: ¿CONFUNDIDO CON LA INTERNET, LA WEB PROFUNDA O LA WEB OSCURA?

R: La Internet consiste de recursos en línea que se encuentran disponibles por medio de motores de búsqueda, como por ejemplo, los sitios web que usamos para hacer compras, llevar nuestra banca o socializar. La Web Profunda es la parte de Internet que no está indexada por los principales motores de búsqueda. Para visitar tales lugares, usted necesitaría ir directamente a la fuente. No es necesariamente maliciosa, solo demasiado grande para indexarse. La Web Oscura es la parte de la Web Profunda que no solamente está sin indexar sino que también requiere acceso especial. A menudo la Web Oscura está basada en subredes adicionales, como la Tor o la Freenet, y a menudo está asociada con actividades criminales.

P: ¿QUÉ ES LA ‘AUTENTICACIÓN POSTERIOR’?

R: Cuando hablamos de seguridad biométrica, normalmente nos referimos al reconocimiento de rostro o a las huellas digitales – pero este método de autenticación se trata enteramente de su trasero. Unos investigadores japoneses han desarrollado un asiento con 360 sensores que aparentemente miden el hueco de su asiento, en otras palabras, ‘la huella del trasero’, o la presión del trasero. Los investigadores alegan una precisión del 98% en la identificación correcta de la persona sentada. Nada mal, ¿eh? Este método de autenticación podría tener aplicaciones en efectivos sistemas antirrobo para nuestros autos o inclusive ser otro método más para ingresar a su dispositivo una vez que esté sentado detrás de su escritorio.

P: ¿QUÉ ES UN KEYLOGGER?

R: Los keyloggers también se conocen como registradores de teclas. Hay muchos tipos de keyloggers con base en una variedad de métodos de registro de teclas que incluyen a dos que son muy conocidos: los keyloggers basados en software y los keyloggers basados en hardware. Los keyloggers de hardware normalmente se acomodan entre un teclado y un dispositivo. Como funcionan enteramente con hardware, los software de seguridad no podrían detectarlos. Los keyloggers de software se pueden crear en rootkits o en otras formas menos detectables. Si bien los programas son legales, muchos de ellos se usan con el propósito de robar información confidencial. Detectar cualquier tipo de keylogger es una tarea difícil ya que están diseñados para permanecer escondidos.

NOVIEMBRE |

P: ¿QUÉ ES LA INGENIERÍA SOCIAL?

R: La ingeniería social es el arte de manipular a la gente con el objetivo de que revelen información confidencial. Incluso los sistemas más seguros que no pueden ser penetrados por medios digitales o criptográficos pueden ser comprometidos simplemente llamando por teléfono a un empleado de la organización como blanco del ataque, haciéndose pasar por un compañero o un empleado del equipo de TI. Algunas de las técnicas de ingeniería social más conocidas son el phishing, el clickjacking, el vishing y el baiting. No existe una solución simple para prevenir un ataque de ingeniería social, pero la mejor defensa es educar al usuario y generar consciencia en seguridad.

P: VULNERABILIDAD VS. EXPLOIT: ¿CUÁL ES LA DIFERENCIA?

R: Una vulnerabilidad de seguridad es una falla no intencional de software o en un sistema que lo deja abierto para un abuso potencial, como por ejemplo, un acceso no autorizado o comportamientos maliciosos tales como virus, worms y otros malware. Exploit es otro término que se usa para describir una vulnerabilidad de seguridad; sin embargo, es un problema real y existente, contrario a uno potencial. Por ejemplo, una cerradura rota en la puerta de su cabaña o casa de campo sería una vulnerabilidad que debe ser tratada más pronto que tarde, pero una puerta con la cerradura rota en una gran ciudad sería un ejemplo de exploit – puede haber personas en el área tratando activamente de aprovechar esta conocida vulnerabilidad.

P: ¿QUÉ ES UN PENTEST?

R: Pen test es la abreviatura de test de penetración. Es un ejercicio de seguridad donde un experto en ciberseguridad de confianza intenta encontrar las vulnerabilidades de un sistema antes que atacantes maliciosos las puedan aprovechar. Para producir un reporte pentest, el sistema es blanco de ataques simulados: fuerza bruta, inyecciones SQL, etc. Los resultados se comparten con el equipo de seguridad de la compañía para la implementación de parches y arreglos posteriores. A fin de mantener seguro al sistema, el pen test debería realizarse regularmente, en especial cuando se añaden nuevas tecnologías.

P: ¿QUÉ TIENE QUE VER LA CIA CON LA CIBERSEGURIDAD?

R: En Seguridad Informática, la triada CIA significa Confidentiality, Integrity and Availability, Confidencialidad, Integridad y Disponibilidad por sus siglas en inglés – a no confundir con la Agencia Central de Inteligencia de los Estados Unidos. Confidencialidad – mantener segura la información sensible; la encriptación es una solución confiable para garantizar la confidencialidad. Integridad – mantener la información intacta; los hasheos criptográficos y las firmas digitales se utilizan para verificar que la información no haya sido alterada. Disponibilidad – mantener la información accesible; El planeamiento estratégico y la distribución de los recursos garantiza que los servicios y aplicaciones estén disponibles las 24 horas del día, los siete días de la semana. Esto incluye planes de respaldo, recuperación de datos y escalabilidad de servicios.

OCTUBRE |

P: ¿QUÉ ES UN BOTNET?

R: La palabra Botnet” es una combinación de las palabras robot y network (red). El botnet se conoce por ser un grupo de dispositivos conectados a internet – Internet de las cosas, dispositivos móviles, computadoras y redes – afectadas por malware. Cada dispositivo comprometido se llama “bot” y puede ser controlado remotamente por un originador, al cual se lo conoce como “bot master”. Los cibercriminales rentan los Botnets cada vez más como bienes y comúnmente, los utilizan en ataques de DDoS. Los Botnets son capaces de aprovechar el poder de procesamiento colectivo de un grupo de computadoras, enviando grandes volúmenes de spam, robando credenciales en masa o espiando gente y organizaciones.

P: ¿ EL CRYPTOJACKING ES UNA NUEVA AMENAZA EN LA SELVA?

R: Cryptojacking es el uso no autorizado de la computadora de una víctima para minar criptomonedas. Según un reporte de seguridad reciente de Symantec, el cryptojacking salió de la nada y explotó como nada lo hizo antes. Los hackers lo ven como un modo fácil y barato de hacer más dinero con menos riesgo.  A diferencia de otros tipos de malware, el cryptojacking no daña la computadora ni la información de la víctima. Pero, ya que roba recursos de procesamiento del CPU, el dispositivo de la víctima vera su ciclo de vida reducido, un mayor consumo de energía y problemas generales de desempeño.

P: ¿QUÉ ES EL SPYWARE?

R: El Spyware es un tipo de software malicioso que se instala en su computadora, a menudo sin que usted lo sepa. Está diseñado para monitorear sus actividades y recolectar y reportar datos a compañías para fines de mercadeo. La recolección de datos a menudo incluye su información personal, como su nombre, dirección, hábitos de navegación, preferencias, intereses y descargas. Además de ser una invasión de privacidad, este software puede causar serios problemas de rendimiento.

P: ¿QUÉ ES EL ATAQUE DE CUMPLEAÑOS?

R: El Ataque de Cumpleaños es un tipo de ataque de fuerza bruta basado en la paradoja del cumpleaños, la cual dicta que, de 253 personas en una habitación, hay un 50% de posibilidad de que alguien tenga su misma fecha de nacimiento; sin embargo, solo 23 personas necesitan estar en la habitación para que haya un 50 % de probabilidad de que 2 personas cualquiera compartan el mismo cumpleaños. Esto es porque los emparejamientos se basan en pares. Este fenómeno estadístico también aplica para encontrar colisiones en algoritmos de hasheo porque es mucho más difícil encontrar algo que colisione con cualquier hasheo que encontrar dos ingresos cualesquiera que tengan el mismo valor de hasheo.

P: ¿QUÉ ES LA POLÍTICA DE MISMO ORIGEN?

R: En informática, la Política de Mismo Origen es un mecanismo de defensa del navegador que garantiza que ciertas condiciones se cumplan antes que algún contenido (usualmente JavaScript) sea ejecutado cuando se lo obtiene de cualquier aplicación web. Bajo esta norma, el navegador permite que un script de una página acceda a información en otra página solo cuando ambas tienen el mismo origen; ya que el origen es una combinación de protocolo de recursos de red, dominio y puerto.

SEPTIEMBRE |

P: ¿SON LOS PROYECTOS DE CÓDIGO ABIERTO MÁS SEGUROS QUE LOS DE PROPIETARIOS?

R: Un concepto erróneo muy común es que los proyectos de código abierto son más seguros, ya sea porque todos pueden inspeccionar el código fuente, o porque tantos ojos están viéndolo. Y, viceversa, un producto comercial de una bien conocida compañía es más segura porque todos confían en ella. La seguridad del proyecto proviene de una combinación de muchos factores, incluyendo cuantos desarrolladores están trabajando en él, cuáles son sus antecedentes, control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones horriblemente inseguras provenientes de ambos campos.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: La Falsificación de Petición de Sitios Cruzados (Cross-site Request Forgery) es el tipo de ataque en una página web donde un intruso se hace pasar por un usuario de confianza. Por ejemplo, la etiqueta de una imagen en una página web puede estar comprometida y dirigir a una URL asociada con una acción; cuando el usuario carga la página, el navegar ejecuta esta acción y el usuario puede no estar al tanto de que tal ataque ocurrió. El ataque puede ser usado para modificar la configuración del cortafuegos, publicar información no autorizada en un foro o realizar transacciones financieras fraudulentas.

P: ¿POR QUÉ MI IDENTIDAD PKI INCLUYE DOS CLAVES?

R: un par de claves públicas y privadas es un par de claves asimétricas que realizan las funciones de cifrado/descifrado de una transmisión segura de datos. La Clave Pública es pública y está disponible para todos. Por otro lado, el respectivo dueño de la Clave Privada debe mantenerla confidencial. Al encriptar datos, se usa la clave pública del destinatario – y solo el receptor podrá descifrarla. Al firmar, la clave privada se usa para confirmar la identidad del remitente.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: la Falsificación de Petición en Sitios Cruzados (CSRF) es un tipo de ataque que se lleva a cabo en un sitio web donde un intruso se camufla como usuario legítimo y de confianza. Por ejemplo, una etiqueta de imagen de página web puede estar comprometida y dirigir hacia una URL asociada con alguna acción; cuando el usuario carga esta página, el navegador ejecuta esta acción y es posible que el usuario no sepa que dicho ataque se produjo. El ataque puede usarse para modificar la configuración del firewall, publicar datos no autorizados en un foro o realizar transacciones financieras fraudulentas.

P: ¿SON LOS PROYECTOS DE FUENTE ABIERTA MÁS SEGUROS QUE LOS PRIVADOS?

R: un concepto erróneo común es que los proyectos de fuente abierta son más seguros, ya sea porque cualquiera puede inspeccionar el código fuente o porque muchos ojos lo están viendo. Y viceversa, se cree que un producto comercial de una empresa conocida es más seguro porque todos confían en ella. La seguridad del proyecto proviene de una combinación de varios factores, incluyendo cuántos desarrolladores están trabajando en él, cuáles son sus antecedentes, el control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones terriblemente inseguras que provienen de ambos campos.

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

AGOSTO |

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

JULIO |

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

JUNIO |

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

MAYO |

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

ABRIL |

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

MARZO |

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

FEBRERO |

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

ENERO |

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO

27 Nov 2018
protecting your customers is more than just building a bigger firewall

¿El Mundo Dado Vuelta? Confianza Digital, Paradoja y Encriptación

Ganarse la confianza de un cliente es una recompensa obtenida solamente después de muchos años de cuidadosa promoción de la marca, servicio y calidad de producto superior. Y un cliente confiado es un cliente leal con quien usted puede contar para trabajar – en las buenas y en las malas.

¿No?

No exactamente.

Cuando se trata de adquirir confianza digital, los enfoques tradicionales pueden volverse patas arriba rápidamente. Paradójicamente, a diferencia de las delicadas relaciones offline que uno nutre tan cuidadosamente, obtener confianza digital es pan comido – un pan viscoso y empalagoso – donde es más probable que los usuarios compartan más detalles personales con usted que con la persona con la que están saliendo. De hecho, según la investigación de Echoworx, el usuario promedio se toma tan solo 30 segundos para evaluar la seguridad de un email antes de envíalo junto con su información más personal.

¿Suena atractivo? Lo es. Quizás incluso demasiado atractivo – ya que la facilidad con la que se logra que los clientes confíen en su marca online viene con un enorme precio de responsabilidad que es demasiado para manejar para aquellos desprevenidos digitalmente. Y usted está tan solo a un desliz de perderlos para siempre –  con el 80 por ciento de los clientes que consideran dejar su marca luego de una vulneración.

Así que, asumiendo que su organización invirtió tanto dinero y tiempo en construir su marca, ¿por qué arriesgarse a no proteger adecuadamente la información sensible para evitar que todo se desmorone? Aquí es cuando repentinamente las inversiones preventivas en ciberseguridad comienzan a tener sentido – en el sentido organizativo.

En el pasado, la ciberseguridad era tradicionalmente vista más como un asunto interno. En términos simples, el mantra era, si mantiene a los malos afuera, el dinero permanece en el banco. Pero, dada la visión cliente-centrista actual sobre la proveeduría de servicios digitales, las reales amenazas de ataques de ransomware, esta visión ha evolucionado a un problema organizativo – una crisis de marca.

Entonces, ¿cómo se previene la perdida de los clientes?

Fácil: Se los protege.

Y proteger a sus clientes es más que solo construir un cortafuegos más grande. También debe considerar a la información que sale de su jardín amurallado de información. Si bien la encriptación es una forma efectiva de asegurar sus Comunicaciones, las soluciones toscas pueden hacer que sus mensajes se vean como spam – en detrimento del cliente o usuario final y por lo tanto frustrando el propósito.

Los mensajes seguros encriptados deberían lucir auténticos y ser flexibles para atender las necesidades de su base de clientes. La identificación de su marca, idiomas, y cualquier otro detalle especifico a su organización deberían ser personalizables para no afectar la experiencia del usuario. Esto no solo elimina la confusión (algo con lo que los estafadores prosperan) sino que también es sinónimo de buen servicio al cliente.

También debe considerar ofrecer múltiples métodos de entrega para satisfacer las distintas necesidades de sus clientes. Por ejemplo, a veces usted querrá encriptar un documento, no el mensaje entero. Podría buscar un método de entrega que permita solamente encriptación de archivos adjuntos.

Mientras más imiten sus mensajes encriptados la imagen y sensación de sus comunicaciones normales, sin sacrificar la experiencia del usuario, más confiaran sus clientes en sus interacciones digitales con usted. Y mientras más los proteja, menos probable será que usted sufra una devastadora vulneración. Así es como invertir en privacidad de datos no solo es bueno para proteger su infraestructura organizativa – sino que también es bueno para su negocio, su marca y es simplemente, buen servicio al cliente.

Por Lorena Magee,  la Vicepresidenta de Marketing en Echoworx

27 Nov 2018
TLS encrypted delivery

¿Es TLS lo suficientemente bueno para emails seguros?

En lo que a recolección de información sensible del cliente respecta, uno simplemente no puede correr riesgos. Sus clientes confían en usted y usted debe protegerlos – y a sus detalles más personales. Pero si bien proteger su perímetro digital es importante, su organización también necesita garantizar que la información sensible permanezca segura durante el tránsito.

Una forma de lograr esto es promover una solución de encriptación TLS. Pero, ¿qué es TLS exactamente? ¿Cómo funciona? ¿Y cuándo es lo suficientemente bueno para un email seguro?

He aquí lo que debe saber acerca de TLS:

¿Qué es TLS?

En otras palabras, TLS, abreviatura de ‘Transport Layer Security’, es un método para encriptar la conexión entre dos partes que se están comunicando a través de internet – imagine un túnel encriptado. TLS puede aplicarse al email para prevenir que ojos indeseados vean los mensajes en tránsito – o de acceder a datos trasmitidos entre un usuario y un sitio web. La simpleza de este tipo de encriptación la convierte en uno de los tipos de entrega más populares.

¿Cuándo es necesaria más seguridad en los mensajes?

TLS es uno de los principales y más simples métodos de entrega de mensajes seguros. ¿Pero es lo suficientemente seguro? Depende – díganoslo usted.

¿Tiene usted acceso a métodos de encriptación alternativos si una conexión TLS no se encuentra disponible? ¿Cuáles son exactamente sus necesidades de seguridad? Está preocupado por terceros, como Google vía Gmail, ¿escaneando su correspondencia? ¿Está preocupado por un ataque de tipo “man-in-the-middle”, donde una comunicación segura se encuentra comprometida? Estas son solo algunas de las preguntas que debe hacerse al momento de determinar si TLS es lo suficientemente Seguro para usted.

¿Cómo se obtiene más seguridad en mensajes?

Si bien los mensajes con encriptación TLS regular tienen sus beneficios, este método de entrega no siempre cumple con todas y cada una de las necesidades de sus clientes. Es por eso que Echoworx OneWorld va más allá, ofreciendo automáticamente más métodos de encriptación. OneWorld también ofrece flexibilidad dentro del entorno TLS – con la posibilidad de crear políticas específicas para el uso de TLS y pies de página de emails personalizados con su marca destacando que un mensaje ha sido entregado exitosamente.

¿Existen alternativas seguras a TLS?

En instancias donde TLS no es lo más recomendable, usted necesita tener otras opciones – para garantizar que ningún mensaje salga sin encriptación o hacia un entorno comprometido. Y existe una variedad de otras opciones de entrega segura disponibles, desde métodos de encriptación de llave publica, como S/MIME Y PGP, a Portales Web Seguros.

La Plataforma de Encriptación OneWorld de Echoworx ofrece todas estas opciones, además de archivos adjuntos encriptados. Y, ya que OneWorld chequea si TLS se encuentra disponible previo al envío, los mensajes sensibles nunca son enviados sin encriptación.

Vea más métodos de entrega de mensajes seguros.

Por Christian Peel, VP de Ingeniería, Echoworx

15 Nov 2018
Get ready for PIPEDA

¿ESTÁ USTED PREPARADO PARA LA LEY DE REPORTE OBLIGATORIO DE VULNERACIONES DE CANADÁ?

Con la introducción de nuevas reglas bajo el Acta de Protección de Información Personal y Documentos Electrónicos (PIPEDA), pedir disculpas por una vulneración ya no es suficiente. Desde noviembre de 2018, todas las vulneraciones que involucren información canadiense de índole personal deben ser reportadas y las partes afectadas deben ser notificadas.

Pero, ¿a quién aplica PIPEDA?

PIPEDA es la ley federal de privacidad para organizaciones del sector privado. En pocas palabras, esta ley aplica a toda la información personal que se recolecta, usa o divulga en el trascurso de una actividad comercial cuando se hacen negocios con Canadá. Bajo las nuevas reglas de vulneración de la información, si alguna parte de esta información personal se filtra, se debe presentar un reporte en la Oficina del Comisionado de Privacidad de Canadá, se debe crear un registro de la vulneración y todos los individuos afectados por la vulneración deben ser alertados de que su información ha sido comprometida.

Siguiendo el liderazgo de Europa en protección de privacidad

Las actualizaciones a PIPEDA siguen a la RGPD de la Unión Europea – la cual entró en vigencia el pasado mes de mayo. Si bien las practicas existentes de protección de datos de Canadá satisfacen las demandas actuales de la RGPD, estas reglas adicionales sirven como garantía proactiva a medida que las normativas europeas se vuelvan cada vez más estrictas en los próximos años. También están diseñadas para ayudar a mantener la competitividad de las empresas canadienses en Europa – y evitar multas masivas.

¡Y estos nuevos cambios realizados a PIPEDA vienen con dientes!

Además del daño a la imagen de su compañía y las potenciales demandas judiciales, las violaciones a PIPEDA ahora conllevan graves multas de hasta $100,000. Si bien no son tan altas como las devastadoras y multimillonarias multas de la RGPD, las penalizaciones son lo suficientemente altas como para forzar el cumplimiento de las normas.

Entonces, ¿cómo mantenerse en cumplimiento?

Proteger adecuadamente la información personal sensible  es más difícil de lo que parece – y a menudo requiere un enfoque múltiple. Con el objetivo de cumplir con las nuevas reglas de PIPEDA, debe tomar medidas proactivas para ayudar a prevenir que una vulneración ocurra – esto incluye proteger la información que sale de su sistema. La encriptación de la información sensible es un indicador clave a la hora de demostrar que la información ha sido debidamente protegida bajo cualquier regulación o ley de privacidad.

He aquí 10 formas en las que puede asegurar datos sensibles en tránsito.

Por Alex Loo, VP de Operaciones en Echoworx

12 Nov 2018
Encryption shouldnt be cryptic

¡LA ENCRIPTACIÓN NO DEBERÍA SER UNA EXPERIENCIA CRÍPTICA!

Encriptación, encriptación y más encriptación – la palabra pegadiza de seguridad en boca de todos. En un panorama digital cada vez más traicionero, proteger su información con algoritmos herméticos parece una estrategia lógica, ¿no?

Absolutamente.

Pero tomar la decisión de encriptar los emails confidenciales que salen de su red segura va más allá de solamente la encriptación.  Los algoritmos no son los diferenciadores a la hora de comparar las múltiples soluciones de email seguro.  Puede encontrar encriptación RSA de 2048-bits y encriptación AES de 256-bits en las firmas de seguridad SHA2 de casi cualquier producto de seguridad moderno.

El componente de la solución que encripta y desencripta es (al menos la mayoría de las veces) sólido y predecible. Pero por encima de aquel núcleo de seguridad yace el tema más interesante.  Controlar qué emails requieren encriptación, los diferentes tipos de entrega, la simplicidad en la registración, la imagen e impresión (conocido como “branding”) de los emails y del sitio web son los verdaderos diferenciadores de una solución de emails de primera clase.

Como Director de Participación de Clientes en Echoworx, un reconocido líder en comunicación digital segura, es mi trabajo ayudar a organizaciones con un nivel de empresa a entender cómo la encriptación de emails encaja en sus modelos de negocio. Y para mí, esto comienza ayudándolos a crear una experiencia fluida para sus clientes de principio a fin.

Cuando trabajo con una empresa nueva, siempre se necesita un poco de tiempo para cubrir los aspectos de seguridad básicos de la plataforma. Sin embargo, usted podría sorprenderse al saber que se emplea mucho más tiempo en los ajustes finos de la experiencia del cliente para alinearla con los objetivos y expectativas de la empresa. El email seguro se convierte en una parte integral de la estrategia de comunicaciones para la empresa entera. Necesita verse auténtico y usar frases y terminología que coincidan con la propaganda y el sitio web de la compañía.

También es importante considerar cuán variados serán los destinatarios de los emails seguros.  Una abuela en casa con mínimos conocimientos informáticos que necesita que todo le sea explicado en detalle contra un millennial conocedor de la tecnología que espera eficiencia y automatización. ¡La misma experiencia de email seguro se utiliza para ambos, así que será mejor que no enajene a nadie!

Sus clientes son únicos, pero todos ellos necesitan confiarle su información más personal, y lo abandonarán si usted la pierde. Una encuesta reciente de Echoworx encontró, por ejemplo, que un 80 por ciento del total de los clientes considerarían abandonar una marca luego de una vulneración a la información. Esa no es una cifra menor.

Así que, ¿cómo alcanzamos esta mezcla perfecta de email seguro y fácil de leer y enviar?

En cuanto a los empleados de su compañía, ellos no quieren pasos extra o sistemas separados. Si es incómodo, no lo utilizarán. Afortunadamente, su red corporativa ya es segura gracias a los cortafuegos, los controles de acceso y la seguridad nativa en su servidor de email.  Así que deje que la encriptación se lleve a cabo cuando el email esté por salir de su red (esto comúnmente se llama “puerta de enlace”).

Es el destinatario quien necesita trabajar con la versión encriptada de ese email, y la mejor forma de hacerlo feliz es enviarlo en el formato que entiende. Un socio comercial debería recibir encriptación transparente (llamada TLS), mientras que un cliente que recibe un resumen de cuenta mensual debería tener un  PDF adjunto seguro.  Un banco europeo podría exigir emails PGP ya que sus empleados tienen software PGP corriendo en sus computadoras.  La plataforma de emails seguros debería resolver esto basándose en las políticas que usted defina durante la personalización inicial del servicio.

Si usted está haciendo negocios internacionalmente también querrá estar al tanto de las leyes y regulaciones jurisdiccionales locales. En nuestro mundo post-RGPD, usted sabe que el dónde y cómo almacena la información de sus clientes importa. Pero no olvide considerar cómo sus comunicaciones alcanzarán a personas en muchos países cuyo idioma no es el inglés.  He aquí otro ejemplo de aquella capa de usabilidad que habita por encima de la verdadera encriptación.

Usted quiere que sus clientes se sientan como en casa con usted y cómodos al enviar información sensible a través de canales encriptados. Un cliente confundido es propenso a cuestionar la validez de un email seguro y puede ser más susceptible a estafas. Invertir en privacidad de datos no solo es bueno para su marca – es un buen servicio al cliente.

¡Es muy simple cuando se hace bien!

Por Sarah Happé, Directora de Participación de Clientes, Echoworx

25 Oct 2018
Moving PGP to the cloud

¿ESTÁ MOVIENDO SU PGP A LA NUBE? HE AQUÍ LO QUE NECESITA SABER

¿Es la encriptación PGP parte de su estrategia de mensajería segura? ¿Está usted alojando este sistema en sus instalaciones en la actualidad? ¿Ha pensado alguna vez en mudar su encriptación PGP de emails a la nube? Puede sonar desalentador, pero, con las herramientas y servicios correctos, moverlos a la nube es una inversión para que usted y  sus clientes consideren.

Un sistema PGP alojado localmente consume muchos recursos y requiere que un software esté instalado en su estación de trabajo y en sus servidores. La demanda en su departamento de informática puede ser considerable – migrarlo todo a la nube puede quitarle mucha tensión a su personal.

He aquí algunos puntos a considerar si usted está pensando en hacer el cambio:

La encriptación de emails debería ser más que adecuada

Tenemos la responsabilidad de proteger los mensajes confidenciales que enviamos, y necesitamos hacerlo de una forma que no se interponga con hacer negocios.

Una solución de encriptación de email efectiva tiene cinco cualidades principales:

  • Es fácil de implementar
  • Puede escalar para mantenerse al ritmo de las crecientes demandas y los súbitos aumentos en volúmenes de emails
  • Es rica en funciones, y basada en los estándares actuales, compatible con tecnologías de encriptación ampliamente utilizadas en la actualidad
  • Es jurisdiccionalmente consciente, por lo que los mensajes enviados desde la UE, por ejemplo, no son almacenados o enviados a través de los Estados Unidos u otras jurisdicciones que puedan comprometer el cumplimiento de las normas de la RGPD
  • Se opera de forma segura por un proveedor confiable que se dedica a la seguridad

Tener sistemas heredados o antiguos no debe ser un impedimento para migrar a la nube

Mover un sistema PGP local a la nube no solo es posible, sino que estos sistemas heredados o antiguos pueden migrarse sin disrupciones, una consideración crucial desde el punto de vista del negocio si su organización envía grandes números de mensajes seguros diariamente. Y usted obtiene acceso a métodos de envío seguro adicionales, como la habilidad de enviar mensajes vía portal web y demás funciones, como la habilidad de personalizar mensajes encriptados con su marca.

Gestión de claves sin la gestión

De acuerdo al decimotercer estudio de encriptación encomendado por Thales al Ponemon Institute, la gestión de claves continúa siendo uno de los principales temas sensibles para el 57 por ciento de las organizaciones. Y muchas de estas organizaciones reportan que continúan gestionando sus procesos de claves de forma manual. Esta no es una estadística nueva. De hecho, ¡la gestión de claves se mantenido como un tema sensible de forma consistente año tras año! Migrar a la nube le permitirá simplificar su proceso de gestión de claves – y automatizarlo.

¿Por qué utilizar la Seguridad como un Servicio?

En el clima de hoy, los negocios deben escalar rápidamente para poder alcanzar las demandas que cambian constantemente. Las amenazas de seguridad evolucionan constantemente, y la tecnología continúa transformándose a un paso acelerado. Nuevos desarrollos como la informática móvil, la Internet de las Cosas, Software como Servicio e Infraestructura como Servicio están conduciéndonos a cambios fundamentales en la manera en la que operan los negocios.

Trabajar con una Seguridad en la nube como proveedor de servicios puede aportar muchos beneficios. Sheila Jordan, CIO en Symantec, señala, por ejemplo, que mientras las inversiones en Informática y tecnología pueden usarse para operar y hacer crecer a una compañía, la lista de tareas a llevar a cabo siempre será mayor que los recursos y fondos disponibles. A menudo, la informática es vista como un rubro fácil donde acortar gastos, y en respuesta, los CIOs “deben priorizar las demandas que afectan de forma más directa la rentabilidad y las metas financieras de la compañía”. Los CIOs son responsables no solo de proteger la información, sino también de ayudar a las compañías a usar esa información para generar conocimiento práctico y viable. Migrar a la nube les permite a las organizaciones rastrear y reportar en tiempo real.[1]

¿Está pensando en la Seguridad como un Servicio? He aquí algunas preguntas a considerar:

  • ¿Cuál es su perfil de riesgo?
  • ¿Está respondiendo a una crisis especifica?
  • ¿Tiene un plan claro implementado?

 

Una vez que la decisión de migrar a la nube ha sido tomada, elija cuidadosamente su proveedor. No busque una solución única: si lo hace, podría encontrar que la solución que eligió se ha vuelto rápidamente obsoleta o que no es el único foco para abarcar un producto más grande. Contacte a su nuevo socio para capacitar y entrenar a sus equipos y guiar a su compañía a través del proceso. Y más importante aún, familiarícese con el equipo con el que trabajará ya que tener una buena relación puede hacer la diferencia a la hora de lidiar con una crisis.

Sheila Jordan de Symantec lo dice mejor: “Cuando uno trabaja con un socio que entiende su negocio y hacia donde uno se dirige, este puede ofrecerle soporte global y soluciones que crecerán con su organización. Los socios indicados siempre estarán enfocados en el cliente, haciendo todo lo que esté a su alcance para impulsar su compañía hacia adelante”.

Vea que tan fácil es migrar sus PGP a la nube.

Por Christian Peel, VP de Ingeniería, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” en Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, editorial. Ajay K. Sood (Toronto: Foro CLX, 2018), 23-45.

22 Oct 2018
Am i a data controller or data processor

UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

La Regulación General de Protección de Datos (GDPR) entró en vigencia el 25 de mayo de 2018. Particularmente, la RGPD les da a los individuos más control sobre su información personal, y requiere que las compañías sean claras sobre porque recolectan información. Bajo la RGPD, las corporaciones que acceden a información de clientes son definidas como controladores y/o procesadores. Cualquier corporación que haga negocios dentro de la UE o con ciudadanos o residentes de la UE deben cumplir con la RGPD, aun si está radicada fuera de Europa.

¿Cuál es la relación entre controladores y procesadores?

El controlador es la persona, compañía o agencia que determina que información será recolectada, de quien y para qué fin. El controlador También determina donde y como se almacena la información personal. El procesador es la persona compañía o agencia que procesa información en nombre del controlador. En efecto: el controlador busca almacenamiento de datos, y el procesador provee el almacenamiento. Pero ambos están sujetos a las normativas de la RGPD.
En la mayoría de los casos, los controladores cargaran datos a un procesador. A su vez el procesador, procesara dicha información y la almacenara en la nube. Pero, ya que el controlador retiene el control sobre la información, la confianza en el procesador es esencial.

He aquí algunas preguntas a considerar:

  • ¿Sabe Usted donde están localizados los servidores del procesador?
  • ¿Cumple su procesador con la RGPD?
  • ¿Son sus procesos en la nube seguros? ¿Pueden probarlo con auditorias hechas por terceros?
  • ¿Su procesador está certificado por WebTrust? ¿Cumple con la normativa SOC 2?

Los controladores también deben ser claros acerca de las políticas de retención de datos. Los individuos deben saber durante cuánto tiempo su información será almacenada, y la información no puede ser retenida más de lo necesario. Al finalizar dicho periodo, toda la información debe ser destruida. Los procesadores que almacenan datos en múltiples sistemas deben tener procedimientos establecidos para asegurar que los datos puedan ser eliminados.
Como procesador de datos, Echoworx solo entrega emails a usuarios finales. Almacenamos todos los emails de forma encriptada, y los eliminamos inmediatamente. Cumplimos totalmente con la RGPD.

¿Qué significa esto para mí?

Existen muchas instancias donde las organizaciones pueden encontrar puntos de contacto en la relación controlador/procesador. Las actividades bancarias, por ejemplo: Usted puede ser un gran banco que simplemente tiene demasiados clientes para proveer encriptación de datos confiable y efectiva de forma local. Su banco firma un acuerdo contractual con un tercero que se encargue de encriptar y enviar grandes volúmenes de informes financieros. Ya que Usted retiene el control sobre el contacto con el cliente y los detalles de los informes, su rol en esta relación es el de un controlador de datos – en cambio la plataforma de encriptación del tercer, que procesa los datos para un tránsito seguro, es el procesador de datos.

En última instancia, Usted es responsable por garantizar la seguridad de los detalles confidenciales del cliente – desde algo simple como su dirección hasta algo más complejo como su historial financiero. Y, bajo normativas como la RGPD, e incluso nuevas regulaciones, como la AB 375 de California, Usted también es responsable de garantizar que los terceros que actúen como sus procesadores se atengan a sus estándares de seguridad.
Para ayudar a establecer un punto de partida sobre lo que es necesario, Usted tal vez quiera considerar invertir en una auditoria de ciberseguridad llevada a cabo por un tercero – he aquí lo que necesita saber.

El Foro de Intercambio de Liderazgo en Ciberseguridad (CLX Forum) provee conocimiento adicional

Una discusión sustancial sobre la RGPD y sus implicaciones se dio en CLX Forum, una comunidad de pensadores lideres canadiense, en su libro Ciberseguridad Canadiense 2018: una Antología de las Perspectivas a nivel Empresa de los CIO/CISO. Entre muchas observaciones interesantes, Edward Kiledjian, VP de Seguridad de la Información, Conformidad y CISO en OpenText, analiza la cuestión de quien es propietario de la información personal. Mientras que esto aún debe ser definido en Norte América, la RGPD es clara en tanto que, en Europa, los ciudadanos son ahora dueños de su información. En cualquier momento, un ciudadano de la UE puede revocar el derecho de una organización de almacenar sus datos personales. Y si un ciudadano de la UE le pide a una organización que destruya sus datos, la organización debe hacerlo dentro del mes siguiente. También es importante notar que la información recolectada previamente no está exenta de estas normativas. Si su organización ha recolectado datos de residentes de la UE en el pasado, los controladores deben obtener consentimiento para el uso actual de esa información. [1]
Otro aspecto importante de la RGPD es que su agencia reguladora evalúa activamente la seguridad. Como parte de este proceso, también mide como responden las compañías a los ataques. Como lo indica Amir Belkhelladi, Socio y Asesor de Riesgo en Deloitte Canadá, las juntas directivas corporativas son directamente responsables a los ojos de la agencia reguladora de la RGPD. Las juntas deben entender como la información es recolectada, utilizada, almacenada y destruida. También deben garantizar que la administración siga estas nuevas normativas. [2]

Multas con dientes

Antes de la RGPD, las compañías se preocupaban principalmente por el impacto reputacional de una vulneración de ciberseguridad. Ahora, en adición a un altísimo daño a la marca, existen serias implicaciones financieras por fallas de seguridad. Las compañías que no protegen adecuadamente la información pueden recibir multas de hasta 20 millones de Euros, o el 40 por ciento de sus ingresos globales anuales, lo que sea más alto. Las compañías tienen tan solo 72 horas para reportar una vulneración, y están obligadas a notificar a los clientes “sin demora innecesaria” luego de percatarse de una vulneración.

Las compañías que no provean bienes o servicios a residentes de la UE no están obligadas a cumplir con la RGPD. Pero el protocolo RGPD también aplica a residentes de la UE que vivan en el exterior y a compañías que contraten a terceros con conexiones con países de la UE. Para aquellos que continúen haciendo negocios en Europa, la privacidad por diseño se convertirá en su nuevo lema. Las organizaciones deben garantizar que sus sistemas cumplan con estos exigentes estándares. ¿Acaso algunas organizaciones pequeñas tomaran la decisión de que ya no pueden hacer negocios con ciudadanos de la UE? Casi con toda certeza. Pero para cada organización que opere en Europa, cumplir con estas normativas debería ser obligatorio. Y ya que la RGPD es el más exigente conjunto de normativas jamás promulgadas, las compañías que cumplan pueden estar seguras de que están cubiertas a nivel mundial.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

——

[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

¿Como es ‘la confianza’ la nueva divisa de los bancos?

Una encuesta reciente de Echoworx reveló que casi la mitad de los clientes envían información personal vía email y confían en la seguridad de un email en 30 segundos o menos. ¿Pero está justificada esta confianza? Cuando se les preguntó, solo el 40 por ciento de las organizaciones con capacidad de encriptación usan la tecnología de forma exhaustiva para proteger información sensible – con un tercio de los emails que deberían estar encriptados siendo enviados por vías abiertas. Más preocupante es que la mayoría de las vulneraciones pasan desapercibidas, y que el 61 por ciento de los empleados admite enviar información confidencial en emails desencriptados.

La confianza es crucial

Mark Carney, gobernador del Banco de Inglaterra, dice que mantener la seguridad y la confianza del público es el rol primario de los bancos centrales. Además, el “pasado, presente y futuro” de las instituciones financieras depende de la confianza del público.[1]

Y para ser fidedigno, de acuerdo con un reporte reciente de Javelin, un banco debe ser fiable en cuanto a cómo protege la información sensible de sus clientes. Esta fiabilidad se traduce a cómo se almacena la información personal, las medidas proactivas tomadas para prevenir accesos indeseados a sus cuentas y las fórmulas de compensación implementadas en caso de pérdida o fraude. [2]

¿Tendrá algún impacto la GDPR?

Con la reciente adopción de la GDPR en la UE, ahora las instituciones deberán publicar cualquier vulneración dentro de las 72 horas de su ocurrencia. Es casi seguro que esto afectará la percepción de los consumidores acerca de los bancos y sus medidas de seguridad, particularmente desde que la opinión pública está en desacuerdo sobre este tema: 1 de 4 instituciones han sido hackeadas, sin embargo solo el 3 por ciento de los clientes cree que sus propias instituciones han sufrido esta suerte. Y hablando de la naturaleza efímera de la confianza, Mark Carney ha dicho, “La confianza llega a pie, pero se va en una Ferrari.”[i] Como consecuencia de la GDPR, más instituciones pueden llegar a entender esto.

Datos del cliente: un activo y una responsabilidad

La confianza en las instituciones financieras lleva a más clientes a estar dispuestos a compartir sus datos. El 60 por ciento de los consumidores está dispuesto a intercambiar información personal por beneficios – un precio más bajo en un producto financiero, por ejemplo. Los millennials son el grupo más dispuesto a compartir sus datos; también son el grupo que está más consciente de datos y de cómo los bancos los obtienen. La generación del boom de natalidad y los más ancianos tienen altos niveles de confianza, pero esto no se traduce a una predisposición a compartir información.

Las instituciones financieras saben que el 65 por ciento de los clientes elige su institución financiera basándose en la privacidad y la seguridad. Y, como resultado, más de la mitad de los clientes confía en su institución financiera principal.[1]

¿Pero cuán duradera es la confianza en caso de una vulneración? El 86 por ciento de los clientes indicó que cambiarían de institución financiera si esta sufriera una vulneración de información, y aquellos que le dan prioridad a la privacidad y la seguridad estarían en posición de hacerse de algunos de estos clientes.

En la práctica, claro, muchos clientes encontrarían que cambiar de proveedor sería una inconveniencia. Pero mientras que estos clientas podrían no irse, si limitarían sus negocios:  el 35 por ciento de los clientes dijo que reducirían el número de transacciones que hacen; 28 por ciento redistribuiría algunos activos a otro proveedor; y 28 por ciento sería más precavido al realizar inversiones adicionales con su institución. En todos estos escenarios, el banco sufriría un impacto financiero.

Los bancos aún pueden construir confianza digital

Existen muchas maneras para que los bancos construyan la confianza digital del consumidor, lo que en cambio resultaría en una mayor participación y retención de clientes. He aquí algunas de las más cruciales:

  1. Enfoque en el cliente. Los bancos deberían enfocarse en los servicios digitales que los clientes necesitan y que más les convienen. Esta visión cliente-centrista debería ser evidente en todos los niveles de la institución.
  2. Quitar fricción. Remueva errores y agilice los servicios digitales. Trabaje para entender porque los clientes están teniendo dificultades: esto ayudará a garantizar que se obtengan soluciones duraderas.
  3. Marque las comunicaciones seguras. Los clientes jamás deberían confundirse al utilizar comunicaciones digitales, estas incluyen desde tasas hasta declaraciones electrónicas. Los emails maliciosos imitan sus comunicaciones legitimas para engañar a sus clientes. Cualquier comunicación segura necesita marcas adecuadas y opciones de lenguaje.
  4. Proteja a sus clientes. Implemente políticas para proteger y resguardar la privacidad del cliente. Defienda activamente contra amenazas de ciberseguridad utilizando medidas proactivas – como la encriptación.

La confianza atrae clientes y los anima a quedarse. La confianza le da acceso a los bancos a la información que les ayuda a mejorar sus servicios. La confianza es la divisa que los clientes valoran por sobre todo lo demás. No hay lugar para la duda: las instituciones que aprovechan la confianza, que la hacen central en su modo de hacer negocios, prosperarán, incluso en un panorama desafiante con amenazas en constante evolución.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

27 Sep 2018
cybersecurity audits

¿Por qué son importantes las auditorías de ciberseguridad?

El ambiente de la ciberseguridad está cambiando. Las tasas de emails maliciosos, spam y malware siguen aumentando, y nuevas amenazas, como la minería de criptomonedas, están surgiendo. Mientras tanto, los ataques de ransomware se han vuelto tan comunes que ciertos grupos de ataque los usan como señuelos para cubrir otros tipos de ataque más serios.

En un mar de ciberamenazas en constante evolución, ¿podrá tu empresa mantenerse a flote?

Si crees que un firewall es todo lo que debes tener en cuenta al evaluar la ciberseguridad de tu perímetro digital, probablemente te equivoques. Después de todo, los ciberataques modernos son cuestión de tiempo, y no existe una solución universal a todos los problemas. Es aquí donde tener una segunda opinión puede hacer una diferencia en entender el panorama contemporáneo de amenazas a la ciberseguridad, entender las defensas disponibles, terceros riesgos y nuevas regulaciones.

Introduciendo las auditorías de seguridad.

De acuerdo a asesores de Ritcher, hoy en día, “un firewall es solo la punta del iceberg de la seguridad”. Hoy más que nunca, necesitas saber a qué amenazas se enfrenta tu empresa, pues los ciberataques son cuestión de tiempo. En lugar de preguntarte si tu empresa sufrirá un ciberataque, pregúntate cuándo.

¿Por qué realizar auditorías de ciberseguridad de terceros?

La ciberseguridad es una compleja red de sistemas y procesos que deben evolucionar en respuesta a las amenazas. Las auditorías de ciberseguridad de terceros externos ayudan a brindar claridad y entendimiento. En algunas organizaciones, puede que exista una falta de conciencia sobre cuán a menudo se deben revisar las políticas de seguridad y por qué. Es posible que los departamentos de TI carezcan de las herramientas necesarias para garantizar que sus sistemas estén seguros. Peor aún, a veces ni siquiera se dan cuenta de esto. Incluso cuando la ciberseguridad es un elemento clave en la cultura organizativa,  concentrarse en tablas de resultados y en métricas de negocios solo mantiene la atención en amenazas ya enfrentadas en el pasado. Al contrario, las empresas deben mirar al futuro para anticipar las amenazas que no hayan surgido tomando medidas proactivas de ciberseguridad para la privacidad desde el diseño. Este concepto es conocido como privacidad desde el diseño.

¿Cómo te ayudarán las auditorías de ciberseguridad?

Hay cuatro razones principales por las que tu empresa se beneficiará de las auditorías de ciberseguridad.

  1. Brindan conocimiento y validación. Los auditores cuentan con una extensa experiencia, y ofrecen las mejores prácticas para fortalecer los programas de las empresas. Los auditores estudian las nuevas regulaciones (como la GDPR). Pueden asegurar que los sistemas y procesos cumplan con los estándares regulatorios actuales. Además, los auditores pueden señalar problemas potenciales y sugerir mejoras.
  2. Ofrecen evaluaciones neutras y objetivas de los programas. Estas evaluaciones objetivas muestran además una mejor visión de cuán atractiva puede ser una empresa para los hackers.
  3. Las auditorías de terceros pueden ser más precisas. Ya que los auditores no están asociados directamente a la empresa, pueden tener una visión más precisa de toda la estructura organizativa, incluyendo políticas de BYOD (trae tu propio dispositivo) y equipos móviles que no sean oficialmente parte del flujo de trabajo de la organización.
  4. Ayudan a validar tus políticas de privacidad ante posibles terceros aliados, y viceversa.

¿Qué busca un tercero auditor de ciberseguridad?

Evaluar la ciberseguridad requiere un conjunto de habilidades específicas. Los auditores deben examinar la configuración de servidores, realizar pruebas de penetración y revisar el reglamento de gestión de eventos de seguridad. No todos los departamentos de TI tienen al personal con la capacidad y el conocimiento para realizar estas tareas.

Adicionalmente, existen regulaciones complejas en lo referente a la protección y privacidad de los datos, y tu organización debe seguir dichas regulaciones en cada jurisdicción en la que haga negocios.  Por ejemplo, la recién aprobada GDPR, requiere que cualquier filtración de información que involucre datos de residentes de la Unión Europea sea revelada públicamente en menos de 72 horas. ¿Reconocería tu empresa una filtración así en caso de ocurrir? ¿Qué tan segura está la información personal de identificación (PII) que guarda tu empresa? ¿La información que almacena tu empresa es accesible a sus aliados, proveedores o clientes? ¿Especifican tus contratos cómo los proveedores y distribuidores manejarán esta información? ¿Tienen estas organizaciones los sistemas adecuados para mantener tu información segura? Una auditoría de terceros observa todas las relaciones de negocios y ofrece una evaluación completa de amenazas y riesgos.

¿Por qué son importantes las auditorías de ciberseguridad?

Un informe reciente de PWC indica que 87% de los CEO globales creen que invertir en ciberseguridad es importante para generar confianza en los clientes. Aun así, menos de la mitad de todos los negocios del mundo cuentan con auditorías de los terceros que manejan su información personal recolectada. Dicho de otro modo, hay un 54% de posibilidades de que una organización que recolecte información personal no esté segura de si su esta información está protegida adecuadamente, sin importar que sus CEO reafirmen la importancia de hacerlo.

Si una empresa cree en la protección de la información personal, o al menos desea evitar una costosa filtración de información, deberá hacer las diligencias pertinentes al momento de elegir a sus terceros proveedores. Es por esto que llevar a cabo auditorías de ciberseguridad es tan importante. Una organización necesita saber dónde y cómo se almacena su información, pues al final del día, cualquier organización que recolecte información personal es responsable de cualquier reclamación de protección de datos, y estas reclamaciones pasan a ser responsabilidad de los terceros.

¡Practicamos lo que predicamos!

En Echoworx respiramos encriptación, y trabajamos cada día para ayudar a organizaciones a proteger su información delicada en tránsito. Lógicamente, invertimos en los más altos niveles de ciberseguridad. Es por esto que toda nuestra organización, de arriba a abajo, es examinada regularmente por terceros auditores para asegurar la hermeticidad de la información. ¡Nos enorgullecemos de nuestras certificaciones SOC2 y Web Trust!

Comprueba por ti mismo nuestras calificaciones en ciberseguridad.

Por Alex Loo, VP de Operaciones, Echoworx

17 Sep 2018
What is a Chief Data Officer

¿Qué es un Director de Datos?

Vivimos en una era post privacidad.

Nuestra ubicación puede ser precisada con GPS. Nuestras fotos e itinerarios son conocidos al mundo, a través de nuestros smartphones conectados a internet. Posteamos nuestros más íntimos pensamientos y opiniones en las redes sociales para que todos las vean. Navegamos a través de publicidad dirigida específicamente basada en nuestras búsquedas de Google y hábitos de compra online.

Tom Goodwin, director de innovación en Zenith Media, argumenta que nosotros mismos buscamos esta pérdida de privacidad porque disfrutamos los beneficios que nos provee… hasta que una compañía falla en proteger nuestra información.[i] Es ahí cuando nos alzamos en armas en contra de la violación a nuestra privacidad. Es la típica pesadilla en relaciones públicas.

En Echoworx, nuestra propia investigación encuentra otra interrogante acerca de la privacidad de la información: la naturaleza cambiante de los datos personales luego de una vulneración. Las personas están dispuestas a divulgar información cuantitativa, bajo la creencia de que esta está protegida. Esta misma información adquiere características cualitativamente embarazosas una vez que se vuelve publica durante una vulneración – derivando en una perdida fatal de confianza del cliente.

¿Como se supone que los negocios naveguen estas contradicciones? ¿Como pueden las compañías ofrecerle a la gente los beneficios de la era post privacidad sin hacerle sentir que entregaron algo precioso? ¿Como pueden los comercios ganar la confianza para proteger información sensible de forma segura?

Una solución se encuentra en la creciente importancia del Director de Datos.

El auge del Director de Datos

El rol de Director de Datos nació durante la crisis financiera de 2008-09. Luego de las secuelas, había una clara necesidad de una persona que pueda garantizar el cumplimiento de las creciente demandas regulatorias. Mas que nunca en el ámbito bancario y en las finanzas, la información y su declaración a reguladores requirió un mayor control. Por años, la información no fue más que una ocurrencia tardía en la mayoría de las organizaciones. Si acaso la información se hubiera manejado de forma efectiva, habríamos tenido una advertencia de la crisis, o podríamos habernos recuperado de forma más completa.

En la década que transcurrió, sin embargo, el rol del CDO se ha expandido y ha evolucionado en los albores de la era de los Grandes Datos. Súbitamente, el valor de la información como recurso se volvió claro. El CDO era necesario para que se ocupe de maximizar ese valor.

En 2012, la firma de consultoría NewVantage Partners inicio una encuesta anual de ejecutivos de nivel C de Fortune-1000. Ese primer año, solo el 12% de las firmas tenía un CDO. Para 2018, el número había incrementado un 63.4%. Esta tendencia parece decidida a continuar. Según algunas estimaciones, un Director de Datos será considerado un rol “crucial para la misión” en hasta el 75% de las grandes empresas dentro de los próximos 3-5 años. ¡Incluso el Pentágono contrató a su primer CDO!

Porque usted necesita un Director de Datos

Hoy en día, el valor principal del CDO es ser la persona designada para optimizar enormes cantidades de datos generados por las compañías de hoy. Él o Ella puede extraer valor de la información y fomentar innovación alrededor de la Big Data y la analítica. El CDO impulsa las soluciones tecnológicas, mejora la ciberseguridad y aumenta las ganancias. Él o Ella trabaja para eliminar silos de datos y redundancias. El cambio tecnológico es manejado para reducir los costos de la “limpieza de datos” dentro de una compañía.

El CDO planea y ejecuta la estrategia corporativa alrededor de tecnologías emergentes tales como la inteligencia artificial (IA), Machine Learning (aprendizaje automatizado), y Blockchain (cadena de bloques). El CDO también representa una solución ágil a los rápidos cambios en regulaciones y privacidad de datos para los que la administración tradicional puede no estar preparada. A medida que evoluciona la tecnología, también lo hace el rol de CDO.

Privacidad vs valor en un mundo post privacidad

La información es una espada de doble filo. Tiene un enorme valor para las corporaciones. Pero también requiere una cuidadosa protección de la información que se les confió y promete riesgos y responsabilidades (tanto financieras y reputacionales) en el evento de una vulneración.

Al poner toda la información y la actividad relacionada a cargo del CDO, las organizaciones pueden establecer sistemas para garantizar que toda la información recolectada, almacenada, o compartida dentro de una organización sea tratada de forma segura y ética, y en cumplimiento de las regulaciones y leyes locales e internacionales.[ii] El manejo adecuado de la información y la aplicación prudente de medidas de seguridad, tales como encriptación reforzada de datos sensibles, puede ayudar a reducir los riesgos de un emprendimiento. Estas políticas también permiten que las compañías maximicen el valor de la información que recolectan.

En esta era post privacidad, las corporaciones que interactúan con datos sensibles del cliente deben adaptarse si quieren ser exitosas. Si se enfocan en “server mejor a las personas” con pedidos explícitos de permiso, opt-ins claros y concisos, seguridad rigurosa y encriptación, pueden construir un “intercambio de valor a lo largo de una vida” con los clientes Este es el tipo de transformación que el CDO puede aportar a las organizaciones. De esta manera, el CDO ayuda a navegar la línea entre privacidad y post privacidad en un mundo conectado.[iii]

___________

[i] https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world

[ii] https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

 

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

¿Es vulnerable su negocio contra amenazas de ciberseguridad?

En 2017, Deloitte fue calificada la mejor consultora de ciberseguridad en el mundo por quinto año consecutivo. Pero más tarde ese mismo año, surgieron noticias de que la misma Deloitte estaba siendo víctima de un hackeo que duro casi un año entero[1].

¿Como pudo revertirse esto tan dramática y rápidamente?

Cualquier compañía es vulnerable a un ciberataque. Mientras más grande la compañía, más grande el blanco. Para la mayoría de las compañías es solo cuestión de tiempo.

Los hackers apuntan a robar datos sensibles tales como secretos corporativos, datos personales y propiedad intelectual. También lanzan ataques de sabotaje. El daño financiero a la economía mundial excede los $575 billones anualmente—más que el PBI de muchos países.

¿Cuán vulnerable es su negocio?

Ciberseguridad = vigilancia constante

He aquí algunas vulnerabilidades de ciberseguridad para notar:

  • Desconfiguración de seguridad. Esta es la más común y peligrosa falla porque reside en aprovechar simples errores informáticos, tales como correr software desactualizado, utilizar parámetros de configuración y contraseñas de fábrica , y cuentas por defecto.
  • Desbordamientos de buffer. Cuando una aplicación intenta poner más datos en un buffer de los que este puede manejar, el buffer se desborda. Esto puede permitir que un atacante sobrescriba bloques de memoria para corromper datos, hacer que fallen programas, o instalar código malicioso. Estos ataques son comunes y difíciles de detectar, pero también son más difíciles de realizar que un ataque de vulnerabilidad de inyección.
  • Exposición de datos sensibles. Esto hace referencia a cualquier instancia en la que un hacker obtiene acceso a datos sensibles, ya sea directamente desde un sistema, o mientras están en tránsito entre un usuario y un servidor. La falla más directa que puede ser aprovechada es la falta de encriptación, o encriptación que esté en peligro por contraseñas débiles o falta de autenticación de multifactor. Cualquier organización que maneje datos sensibles puede ser vulnerable a este tipo de ataque.
  • Autenticación dañada y manejo de sesiones. Cuentas expuestas, contraseñas, IDs de sesión representan filtraciones o fallas en los procedimientos de autenticación. Los hackers las usan para para hacerse con cuentas y hacerse pasar por usuarios legítimos.
  • Infraestructura o software de seguridad anticuado. El equipo más Viejo no soporta adecuadamente las aplicaciones modernas, y no es fácil de proteger contra las amenazas actuales.

La amenaza de hackers continúa creciendo a medida que las técnicas más sofisticadas de vuelven más comunes. Una encuesta reciente ha mostrado que 7 de cada 10 organizaciones dijeron que su riesgo de seguridad a ciber amenazas aumento en 2017 con respecto al año anterior. El 54% de las compañías fue víctima de uno o más hackeos exitosos en 2017. Y el 77% de esos ataques aprovecho vulnerabilidades como las mencionadas previamente (también llamadas técnicas “sin archivo”) sin adjuntos maliciosos o archivos .exe.

La forma más reciente de ciberataque es el crypto-jacking. También conocido como minería de criptomoneda, esto es el uso no autorizado de computadoras para minar criptomonedas. Los hackers implantan código en una computadora usando hipervínculos maliciosos en emails o sitios web infectados. Symantec advierte que la actividad de minar criptomoneda se incrementó en un 34,000% durante 2017, y que la detección de mineros de criptomonedas aumento un 8,500%. Para fines de 2017 la actividad de minería de criptomoneda también fue detectada en dispositivos móviles, y probablemente crecerá en este ámbito también.

Defender su negocio

Aunque ningún sistema está 100% seguro de un ataque, una encriptación fuerte es una herramienta de defensa efectiva contra el hackeo.

Tenga estos tips en mente:

  • Encripte toda la información sensible que los hackers o criminales puedan obtener.
  • Mantenga sus credenciales de ingreso confidenciales y protegidas con contraseñas.
  • Utilice autenticaciones de multifactor siempre que sea posible.
  • Emplear hasheo fuerte de contraseñas.

Nosotros usamos la nube. Es segura, ¿verdad?

Los servicios en la nube no lo protegen de un riesgo. Tal y como lo señala Sandra Liepkalns, CISO en LoyaltyOne, la información aún debe ser almacenada físicamente, y “la nube” solo significa que usted está usando servidores externos. ¿Sabe usted donde se encuentran esos servidores? ¿Si sus servidores se encuentran en los Estados Unidos, tienen las credenciales necesarias para manejar información con protección GDPR de Europa? ¿Y qué sucede con las amenazas físicas? ¿Están los servidores ubicados en lugares vulnerables a inundaciones o incendios forestales? ¿Y qué hay de huracanes? ¿O terremotos?

Al final del día, cada organización es responsable de proteger la información de sus clientes. Después de todo, no se trata sobre si su organización será violada o no, si no cuando. ¡No se deje atrapar desprevenido! Minimice los riesgos y haga que su seguridad sea integral a todos sus sistemas y procesos.

Por Randy Yu, Gerente de Implementación en Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails