Categoría: Information Security

27 Nov 2018
protecting your customers is more than just building a bigger firewall

¿El Mundo Dado Vuelta? Confianza Digital, Paradoja y Encriptación

Ganarse la confianza de un cliente es una recompensa obtenida solamente después de muchos años de cuidadosa promoción de la marca, servicio y calidad de producto superior. Y un cliente confiado es un cliente leal con quien usted puede contar para trabajar – en las buenas y en las malas.

¿No?

No exactamente.

Cuando se trata de adquirir confianza digital, los enfoques tradicionales pueden volverse patas arriba rápidamente. Paradójicamente, a diferencia de las delicadas relaciones offline que uno nutre tan cuidadosamente, obtener confianza digital es pan comido – un pan viscoso y empalagoso – donde es más probable que los usuarios compartan más detalles personales con usted que con la persona con la que están saliendo. De hecho, según la investigación de Echoworx, el usuario promedio se toma tan solo 30 segundos para evaluar la seguridad de un email antes de envíalo junto con su información más personal.

¿Suena atractivo? Lo es. Quizás incluso demasiado atractivo – ya que la facilidad con la que se logra que los clientes confíen en su marca online viene con un enorme precio de responsabilidad que es demasiado para manejar para aquellos desprevenidos digitalmente. Y usted está tan solo a un desliz de perderlos para siempre –  con el 80 por ciento de los clientes que consideran dejar su marca luego de una vulneración.

Así que, asumiendo que su organización invirtió tanto dinero y tiempo en construir su marca, ¿por qué arriesgarse a no proteger adecuadamente la información sensible para evitar que todo se desmorone? Aquí es cuando repentinamente las inversiones preventivas en ciberseguridad comienzan a tener sentido – en el sentido organizativo.

En el pasado, la ciberseguridad era tradicionalmente vista más como un asunto interno. En términos simples, el mantra era, si mantiene a los malos afuera, el dinero permanece en el banco. Pero, dada la visión cliente-centrista actual sobre la proveeduría de servicios digitales, las reales amenazas de ataques de ransomware, esta visión ha evolucionado a un problema organizativo – una crisis de marca.

Entonces, ¿cómo se previene la perdida de los clientes?

Fácil: Se los protege.

Y proteger a sus clientes es más que solo construir un cortafuegos más grande. También debe considerar a la información que sale de su jardín amurallado de información. Si bien la encriptación es una forma efectiva de asegurar sus Comunicaciones, las soluciones toscas pueden hacer que sus mensajes se vean como spam – en detrimento del cliente o usuario final y por lo tanto frustrando el propósito.

Los mensajes seguros encriptados deberían lucir auténticos y ser flexibles para atender las necesidades de su base de clientes. La identificación de su marca, idiomas, y cualquier otro detalle especifico a su organización deberían ser personalizables para no afectar la experiencia del usuario. Esto no solo elimina la confusión (algo con lo que los estafadores prosperan) sino que también es sinónimo de buen servicio al cliente.

También debe considerar ofrecer múltiples métodos de entrega para satisfacer las distintas necesidades de sus clientes. Por ejemplo, a veces usted querrá encriptar un documento, no el mensaje entero. Podría buscar un método de entrega que permita solamente encriptación de archivos adjuntos.

Mientras más imiten sus mensajes encriptados la imagen y sensación de sus comunicaciones normales, sin sacrificar la experiencia del usuario, más confiaran sus clientes en sus interacciones digitales con usted. Y mientras más los proteja, menos probable será que usted sufra una devastadora vulneración. Así es como invertir en privacidad de datos no solo es bueno para proteger su infraestructura organizativa – sino que también es bueno para su negocio, su marca y es simplemente, buen servicio al cliente.

Por Lorena Magee,  la Vicepresidenta de Marketing en Echoworx

27 Nov 2018
TLS encrypted delivery

¿Es TLS lo suficientemente bueno para emails seguros?

En lo que a recolección de información sensible del cliente respecta, uno simplemente no puede correr riesgos. Sus clientes confían en usted y usted debe protegerlos – y a sus detalles más personales. Pero si bien proteger su perímetro digital es importante, su organización también necesita garantizar que la información sensible permanezca segura durante el tránsito.

Una forma de lograr esto es promover una solución de encriptación TLS. Pero, ¿qué es TLS exactamente? ¿Cómo funciona? ¿Y cuándo es lo suficientemente bueno para un email seguro?

He aquí lo que debe saber acerca de TLS:

¿Qué es TLS?

En otras palabras, TLS, abreviatura de ‘Transport Layer Security’, es un método para encriptar la conexión entre dos partes que se están comunicando a través de internet – imagine un túnel encriptado. TLS puede aplicarse al email para prevenir que ojos indeseados vean los mensajes en tránsito – o de acceder a datos trasmitidos entre un usuario y un sitio web. La simpleza de este tipo de encriptación la convierte en uno de los tipos de entrega más populares.

¿Cuándo es necesaria más seguridad en los mensajes?

TLS es uno de los principales y más simples métodos de entrega de mensajes seguros. ¿Pero es lo suficientemente seguro? Depende – díganoslo usted.

¿Tiene usted acceso a métodos de encriptación alternativos si una conexión TLS no se encuentra disponible? ¿Cuáles son exactamente sus necesidades de seguridad? Está preocupado por terceros, como Google vía Gmail, ¿escaneando su correspondencia? ¿Está preocupado por un ataque de tipo “man-in-the-middle”, donde una comunicación segura se encuentra comprometida? Estas son solo algunas de las preguntas que debe hacerse al momento de determinar si TLS es lo suficientemente Seguro para usted.

¿Cómo se obtiene más seguridad en mensajes?

Si bien los mensajes con encriptación TLS regular tienen sus beneficios, este método de entrega no siempre cumple con todas y cada una de las necesidades de sus clientes. Es por eso que Echoworx OneWorld va más allá, ofreciendo automáticamente más métodos de encriptación. OneWorld también ofrece flexibilidad dentro del entorno TLS – con la posibilidad de crear políticas específicas para el uso de TLS y pies de página de emails personalizados con su marca destacando que un mensaje ha sido entregado exitosamente.

¿Existen alternativas seguras a TLS?

En instancias donde TLS no es lo más recomendable, usted necesita tener otras opciones – para garantizar que ningún mensaje salga sin encriptación o hacia un entorno comprometido. Y existe una variedad de otras opciones de entrega segura disponibles, desde métodos de encriptación de llave publica, como S/MIME Y PGP, a Portales Web Seguros.

La Plataforma de Encriptación OneWorld de Echoworx ofrece todas estas opciones, además de archivos adjuntos encriptados. Y, ya que OneWorld chequea si TLS se encuentra disponible previo al envío, los mensajes sensibles nunca son enviados sin encriptación.

Vea más métodos de entrega de mensajes seguros.

Por Christian Peel, VP de Ingeniería, Echoworx

22 Oct 2018
Am i a data controller or data processor

UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

La Regulación General de Protección de Datos (GDPR) entró en vigencia el 25 de mayo de 2018. Particularmente, la RGPD les da a los individuos más control sobre su información personal, y requiere que las compañías sean claras sobre porque recolectan información. Bajo la RGPD, las corporaciones que acceden a información de clientes son definidas como controladores y/o procesadores. Cualquier corporación que haga negocios dentro de la UE o con ciudadanos o residentes de la UE deben cumplir con la RGPD, aun si está radicada fuera de Europa.

¿Cuál es la relación entre controladores y procesadores?

El controlador es la persona, compañía o agencia que determina que información será recolectada, de quien y para qué fin. El controlador También determina donde y como se almacena la información personal. El procesador es la persona compañía o agencia que procesa información en nombre del controlador. En efecto: el controlador busca almacenamiento de datos, y el procesador provee el almacenamiento. Pero ambos están sujetos a las normativas de la RGPD.
En la mayoría de los casos, los controladores cargaran datos a un procesador. A su vez el procesador, procesara dicha información y la almacenara en la nube. Pero, ya que el controlador retiene el control sobre la información, la confianza en el procesador es esencial.

He aquí algunas preguntas a considerar:

  • ¿Sabe Usted donde están localizados los servidores del procesador?
  • ¿Cumple su procesador con la RGPD?
  • ¿Son sus procesos en la nube seguros? ¿Pueden probarlo con auditorias hechas por terceros?
  • ¿Su procesador está certificado por WebTrust? ¿Cumple con la normativa SOC 2?

Los controladores también deben ser claros acerca de las políticas de retención de datos. Los individuos deben saber durante cuánto tiempo su información será almacenada, y la información no puede ser retenida más de lo necesario. Al finalizar dicho periodo, toda la información debe ser destruida. Los procesadores que almacenan datos en múltiples sistemas deben tener procedimientos establecidos para asegurar que los datos puedan ser eliminados.
Como procesador de datos, Echoworx solo entrega emails a usuarios finales. Almacenamos todos los emails de forma encriptada, y los eliminamos inmediatamente. Cumplimos totalmente con la RGPD.

¿Qué significa esto para mí?

Existen muchas instancias donde las organizaciones pueden encontrar puntos de contacto en la relación controlador/procesador. Las actividades bancarias, por ejemplo: Usted puede ser un gran banco que simplemente tiene demasiados clientes para proveer encriptación de datos confiable y efectiva de forma local. Su banco firma un acuerdo contractual con un tercero que se encargue de encriptar y enviar grandes volúmenes de informes financieros. Ya que Usted retiene el control sobre el contacto con el cliente y los detalles de los informes, su rol en esta relación es el de un controlador de datos – en cambio la plataforma de encriptación del tercer, que procesa los datos para un tránsito seguro, es el procesador de datos.

En última instancia, Usted es responsable por garantizar la seguridad de los detalles confidenciales del cliente – desde algo simple como su dirección hasta algo más complejo como su historial financiero. Y, bajo normativas como la RGPD, e incluso nuevas regulaciones, como la AB 375 de California, Usted también es responsable de garantizar que los terceros que actúen como sus procesadores se atengan a sus estándares de seguridad.
Para ayudar a establecer un punto de partida sobre lo que es necesario, Usted tal vez quiera considerar invertir en una auditoria de ciberseguridad llevada a cabo por un tercero – he aquí lo que necesita saber.

El Foro de Intercambio de Liderazgo en Ciberseguridad (CLX Forum) provee conocimiento adicional

Una discusión sustancial sobre la RGPD y sus implicaciones se dio en CLX Forum, una comunidad de pensadores lideres canadiense, en su libro Ciberseguridad Canadiense 2018: una Antología de las Perspectivas a nivel Empresa de los CIO/CISO. Entre muchas observaciones interesantes, Edward Kiledjian, VP de Seguridad de la Información, Conformidad y CISO en OpenText, analiza la cuestión de quien es propietario de la información personal. Mientras que esto aún debe ser definido en Norte América, la RGPD es clara en tanto que, en Europa, los ciudadanos son ahora dueños de su información. En cualquier momento, un ciudadano de la UE puede revocar el derecho de una organización de almacenar sus datos personales. Y si un ciudadano de la UE le pide a una organización que destruya sus datos, la organización debe hacerlo dentro del mes siguiente. También es importante notar que la información recolectada previamente no está exenta de estas normativas. Si su organización ha recolectado datos de residentes de la UE en el pasado, los controladores deben obtener consentimiento para el uso actual de esa información. [1]
Otro aspecto importante de la RGPD es que su agencia reguladora evalúa activamente la seguridad. Como parte de este proceso, también mide como responden las compañías a los ataques. Como lo indica Amir Belkhelladi, Socio y Asesor de Riesgo en Deloitte Canadá, las juntas directivas corporativas son directamente responsables a los ojos de la agencia reguladora de la RGPD. Las juntas deben entender como la información es recolectada, utilizada, almacenada y destruida. También deben garantizar que la administración siga estas nuevas normativas. [2]

Multas con dientes

Antes de la RGPD, las compañías se preocupaban principalmente por el impacto reputacional de una vulneración de ciberseguridad. Ahora, en adición a un altísimo daño a la marca, existen serias implicaciones financieras por fallas de seguridad. Las compañías que no protegen adecuadamente la información pueden recibir multas de hasta 20 millones de Euros, o el 40 por ciento de sus ingresos globales anuales, lo que sea más alto. Las compañías tienen tan solo 72 horas para reportar una vulneración, y están obligadas a notificar a los clientes “sin demora innecesaria” luego de percatarse de una vulneración.

Las compañías que no provean bienes o servicios a residentes de la UE no están obligadas a cumplir con la RGPD. Pero el protocolo RGPD también aplica a residentes de la UE que vivan en el exterior y a compañías que contraten a terceros con conexiones con países de la UE. Para aquellos que continúen haciendo negocios en Europa, la privacidad por diseño se convertirá en su nuevo lema. Las organizaciones deben garantizar que sus sistemas cumplan con estos exigentes estándares. ¿Acaso algunas organizaciones pequeñas tomaran la decisión de que ya no pueden hacer negocios con ciudadanos de la UE? Casi con toda certeza. Pero para cada organización que opere en Europa, cumplir con estas normativas debería ser obligatorio. Y ya que la RGPD es el más exigente conjunto de normativas jamás promulgadas, las compañías que cumplan pueden estar seguras de que están cubiertas a nivel mundial.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

——

[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

¿Como es ‘la confianza’ la nueva divisa de los bancos?

Una encuesta reciente de Echoworx reveló que casi la mitad de los clientes envían información personal vía email y confían en la seguridad de un email en 30 segundos o menos. ¿Pero está justificada esta confianza? Cuando se les preguntó, solo el 40 por ciento de las organizaciones con capacidad de encriptación usan la tecnología de forma exhaustiva para proteger información sensible – con un tercio de los emails que deberían estar encriptados siendo enviados por vías abiertas. Más preocupante es que la mayoría de las vulneraciones pasan desapercibidas, y que el 61 por ciento de los empleados admite enviar información confidencial en emails desencriptados.

La confianza es crucial

Mark Carney, gobernador del Banco de Inglaterra, dice que mantener la seguridad y la confianza del público es el rol primario de los bancos centrales. Además, el “pasado, presente y futuro” de las instituciones financieras depende de la confianza del público.[1]

Y para ser fidedigno, de acuerdo con un reporte reciente de Javelin, un banco debe ser fiable en cuanto a cómo protege la información sensible de sus clientes. Esta fiabilidad se traduce a cómo se almacena la información personal, las medidas proactivas tomadas para prevenir accesos indeseados a sus cuentas y las fórmulas de compensación implementadas en caso de pérdida o fraude. [2]

¿Tendrá algún impacto la GDPR?

Con la reciente adopción de la GDPR en la UE, ahora las instituciones deberán publicar cualquier vulneración dentro de las 72 horas de su ocurrencia. Es casi seguro que esto afectará la percepción de los consumidores acerca de los bancos y sus medidas de seguridad, particularmente desde que la opinión pública está en desacuerdo sobre este tema: 1 de 4 instituciones han sido hackeadas, sin embargo solo el 3 por ciento de los clientes cree que sus propias instituciones han sufrido esta suerte. Y hablando de la naturaleza efímera de la confianza, Mark Carney ha dicho, “La confianza llega a pie, pero se va en una Ferrari.”[i] Como consecuencia de la GDPR, más instituciones pueden llegar a entender esto.

Datos del cliente: un activo y una responsabilidad

La confianza en las instituciones financieras lleva a más clientes a estar dispuestos a compartir sus datos. El 60 por ciento de los consumidores está dispuesto a intercambiar información personal por beneficios – un precio más bajo en un producto financiero, por ejemplo. Los millennials son el grupo más dispuesto a compartir sus datos; también son el grupo que está más consciente de datos y de cómo los bancos los obtienen. La generación del boom de natalidad y los más ancianos tienen altos niveles de confianza, pero esto no se traduce a una predisposición a compartir información.

Las instituciones financieras saben que el 65 por ciento de los clientes elige su institución financiera basándose en la privacidad y la seguridad. Y, como resultado, más de la mitad de los clientes confía en su institución financiera principal.[1]

¿Pero cuán duradera es la confianza en caso de una vulneración? El 86 por ciento de los clientes indicó que cambiarían de institución financiera si esta sufriera una vulneración de información, y aquellos que le dan prioridad a la privacidad y la seguridad estarían en posición de hacerse de algunos de estos clientes.

En la práctica, claro, muchos clientes encontrarían que cambiar de proveedor sería una inconveniencia. Pero mientras que estos clientas podrían no irse, si limitarían sus negocios:  el 35 por ciento de los clientes dijo que reducirían el número de transacciones que hacen; 28 por ciento redistribuiría algunos activos a otro proveedor; y 28 por ciento sería más precavido al realizar inversiones adicionales con su institución. En todos estos escenarios, el banco sufriría un impacto financiero.

Los bancos aún pueden construir confianza digital

Existen muchas maneras para que los bancos construyan la confianza digital del consumidor, lo que en cambio resultaría en una mayor participación y retención de clientes. He aquí algunas de las más cruciales:

  1. Enfoque en el cliente. Los bancos deberían enfocarse en los servicios digitales que los clientes necesitan y que más les convienen. Esta visión cliente-centrista debería ser evidente en todos los niveles de la institución.
  2. Quitar fricción. Remueva errores y agilice los servicios digitales. Trabaje para entender porque los clientes están teniendo dificultades: esto ayudará a garantizar que se obtengan soluciones duraderas.
  3. Marque las comunicaciones seguras. Los clientes jamás deberían confundirse al utilizar comunicaciones digitales, estas incluyen desde tasas hasta declaraciones electrónicas. Los emails maliciosos imitan sus comunicaciones legitimas para engañar a sus clientes. Cualquier comunicación segura necesita marcas adecuadas y opciones de lenguaje.
  4. Proteja a sus clientes. Implemente políticas para proteger y resguardar la privacidad del cliente. Defienda activamente contra amenazas de ciberseguridad utilizando medidas proactivas – como la encriptación.

La confianza atrae clientes y los anima a quedarse. La confianza le da acceso a los bancos a la información que les ayuda a mejorar sus servicios. La confianza es la divisa que los clientes valoran por sobre todo lo demás. No hay lugar para la duda: las instituciones que aprovechan la confianza, que la hacen central en su modo de hacer negocios, prosperarán, incluso en un panorama desafiante con amenazas en constante evolución.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

01 Oct 2018
Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

 

NOVIEMBRE |

 

P: ¿QUÉ ES LA INGENIERÍA SOCIAL?

R: La ingeniería social es el arte de manipular a la gente con el objetivo de que revelen información confidencial. Incluso los sistemas más seguros que no pueden ser penetrados por medios digitales o criptográficos pueden ser comprometidos simplemente llamando por teléfono a un empleado de la organización como blanco del ataque, haciéndose pasar por un compañero o un empleado del equipo de TI. Algunas de las técnicas de ingeniería social más conocidas son el phishing, el clickjacking, el vishing y el baiting. No existe una solución simple para prevenir un ataque de ingeniería social, pero la mejor defensa es educar al usuario y generar consciencia en seguridad.

P: VULNERABILIDAD VS. EXPLOIT: ¿CUÁL ES LA DIFERENCIA?

R: Una vulnerabilidad de seguridad es una falla no intencional de software o en un sistema que lo deja abierto para un abuso potencial, como por ejemplo, un acceso no autorizado o comportamientos maliciosos tales como virus, worms y otros malware. Exploit es otro término que se usa para describir una vulnerabilidad de seguridad; sin embargo, es un problema real y existente, contrario a uno potencial. Por ejemplo, una cerradura rota en la puerta de su cabaña o casa de campo sería una vulnerabilidad que debe ser tratada más pronto que tarde, pero una puerta con la cerradura rota en una gran ciudad sería un ejemplo de exploit – puede haber personas en el área tratando activamente de aprovechar esta conocida vulnerabilidad.

P: ¿QUÉ ES UN PENTEST?

R: Pen test es la abreviatura de test de penetración. Es un ejercicio de seguridad donde un experto en ciberseguridad de confianza intenta encontrar las vulnerabilidades de un sistema antes que atacantes maliciosos las puedan aprovechar. Para producir un reporte pentest, el sistema es blanco de ataques simulados: fuerza bruta, inyecciones SQL, etc. Los resultados se comparten con el equipo de seguridad de la compañía para la implementación de parches y arreglos posteriores. A fin de mantener seguro al sistema, el pen test debería realizarse regularmente, en especial cuando se añaden nuevas tecnologías.

P: ¿QUÉ TIENE QUE VER LA CIA CON LA CIBERSEGURIDAD?

R: En Seguridad Informática, la triada CIA significa Confidentiality, Integrity and Availability, Confidencialidad, Integridad y Disponibilidad por sus siglas en inglés – a no confundir con la Agencia Central de Inteligencia de los Estados Unidos. Confidencialidad – mantener segura la información sensible; la encriptación es una solución confiable para garantizar la confidencialidad. Integridad – mantener la información intacta; los hasheos criptográficos y las firmas digitales se utilizan para verificar que la información no haya sido alterada. Disponibilidad – mantener la información accesible; El planeamiento estratégico y la distribución de los recursos garantiza que los servicios y aplicaciones estén disponibles las 24 horas del día, los siete días de la semana. Esto incluye planes de respaldo, recuperación de datos y escalabilidad de servicios.

 

OCTUBRE |

 

P: ¿QUÉ ES UN BOTNET?

R: La palabra Botnet” es una combinación de las palabras robot y network (red). El botnet se conoce por ser un grupo de dispositivos conectados a internet – Internet de las cosas, dispositivos móviles, computadoras y redes – afectadas por malware. Cada dispositivo comprometido se llama “bot” y puede ser controlado remotamente por un originador, al cual se lo conoce como “bot master”. Los cibercriminales rentan los Botnets cada vez más como bienes y comúnmente, los utilizan en ataques de DDoS. Los Botnets son capaces de aprovechar el poder de procesamiento colectivo de un grupo de computadoras, enviando grandes volúmenes de spam, robando credenciales en masa o espiando gente y organizaciones.

P: ¿ EL CRYPTOJACKING ES UNA NUEVA AMENAZA EN LA SELVA?

R: Cryptojacking es el uso no autorizado de la computadora de una víctima para minar criptomonedas. Según un reporte de seguridad reciente de Symantec, el cryptojacking salió de la nada y explotó como nada lo hizo antes. Los hackers lo ven como un modo fácil y barato de hacer más dinero con menos riesgo.  A diferencia de otros tipos de malware, el cryptojacking no daña la computadora ni la información de la víctima. Pero, ya que roba recursos de procesamiento del CPU, el dispositivo de la víctima vera su ciclo de vida reducido, un mayor consumo de energía y problemas generales de desempeño.

P: ¿QUÉ ES EL SPYWARE?

R: El Spyware es un tipo de software malicioso que se instala en su computadora, a menudo sin que usted lo sepa. Está diseñado para monitorear sus actividades y recolectar y reportar datos a compañías para fines de mercadeo. La recolección de datos a menudo incluye su información personal, como su nombre, dirección, hábitos de navegación, preferencias, intereses y descargas. Además de ser una invasión de privacidad, este software puede causar serios problemas de rendimiento.

P: ¿QUÉ ES EL ATAQUE DE CUMPLEAÑOS?

R: El Ataque de Cumpleaños es un tipo de ataque de fuerza bruta basado en la paradoja del cumpleaños, la cual dicta que, de 253 personas en una habitación, hay un 50% de posibilidad de que alguien tenga su misma fecha de nacimiento; sin embargo, solo 23 personas necesitan estar en la habitación para que haya un 50 % de probabilidad de que 2 personas cualquiera compartan el mismo cumpleaños. Esto es porque los emparejamientos se basan en pares. Este fenómeno estadístico también aplica para encontrar colisiones en algoritmos de hasheo porque es mucho más difícil encontrar algo que colisione con cualquier hasheo que encontrar dos ingresos cualesquiera que tengan el mismo valor de hasheo.

P: ¿QUÉ ES LA POLÍTICA DE MISMO ORIGEN?

R: En informática, la Política de Mismo Origen es un mecanismo de defensa del navegador que garantiza que ciertas condiciones se cumplan antes que algún contenido (usualmente JavaScript) sea ejecutado cuando se lo obtiene de cualquier aplicación web. Bajo esta norma, el navegador permite que un script de una página acceda a información en otra página solo cuando ambas tienen el mismo origen; ya que el origen es una combinación de protocolo de recursos de red, dominio y puerto.

 

SEPTIEMBRE |

 

P: ¿SON LOS PROYECTOS DE CÓDIGO ABIERTO MÁS SEGUROS QUE LOS DE PROPIETARIOS?

R: Un concepto erróneo muy común es que los proyectos de código abierto son más seguros, ya sea porque todos pueden inspeccionar el código fuente, o porque tantos ojos están viéndolo. Y, viceversa, un producto comercial de una bien conocida compañía es más segura porque todos confían en ella. La seguridad del proyecto proviene de una combinación de muchos factores, incluyendo cuantos desarrolladores están trabajando en él, cuáles son sus antecedentes, control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones horriblemente inseguras provenientes de ambos campos.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: La Falsificación de Petición de Sitios Cruzados (Cross-site Request Forgery) es el tipo de ataque en una página web donde un intruso se hace pasar por un usuario de confianza. Por ejemplo, la etiqueta de una imagen en una página web puede estar comprometida y dirigir a una URL asociada con una acción; cuando el usuario carga la página, el navegar ejecuta esta acción y el usuario puede no estar al tanto de que tal ataque ocurrió. El ataque puede ser usado para modificar la configuración del cortafuegos, publicar información no autorizada en un foro o realizar transacciones financieras fraudulentas.

P: ¿POR QUÉ MI IDENTIDAD PKI INCLUYE DOS CLAVES?

R: un par de claves públicas y privadas es un par de claves asimétricas que realizan las funciones de cifrado/descifrado de una transmisión segura de datos. La Clave Pública es pública y está disponible para todos. Por otro lado, el respectivo dueño de la Clave Privada debe mantenerla confidencial. Al encriptar datos, se usa la clave pública del destinatario – y solo el receptor podrá descifrarla. Al firmar, la clave privada se usa para confirmar la identidad del remitente.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: la Falsificación de Petición en Sitios Cruzados (CSRF) es un tipo de ataque que se lleva a cabo en un sitio web donde un intruso se camufla como usuario legítimo y de confianza. Por ejemplo, una etiqueta de imagen de página web puede estar comprometida y dirigir hacia una URL asociada con alguna acción; cuando el usuario carga esta página, el navegador ejecuta esta acción y es posible que el usuario no sepa que dicho ataque se produjo. El ataque puede usarse para modificar la configuración del firewall, publicar datos no autorizados en un foro o realizar transacciones financieras fraudulentas.

P: ¿SON LOS PROYECTOS DE FUENTE ABIERTA MÁS SEGUROS QUE LOS PRIVADOS?

R: un concepto erróneo común es que los proyectos de fuente abierta son más seguros, ya sea porque cualquiera puede inspeccionar el código fuente o porque muchos ojos lo están viendo. Y viceversa, se cree que un producto comercial de una empresa conocida es más seguro porque todos confían en ella. La seguridad del proyecto proviene de una combinación de varios factores, incluyendo cuántos desarrolladores están trabajando en él, cuáles son sus antecedentes, el control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones terriblemente inseguras que provienen de ambos campos.

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

 

AGOSTO |

 

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

 

JULIO |

 

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

 

JUNIO |

 

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

 

MAYO |

 

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

 

ABRIL |

 

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

 

MARZO |

 

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

 

FEBRERO |

 

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

 

ENERO |

 

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO

17 Sep 2018
What is a Chief Data Officer

¿Qué es un Director de Datos?

Vivimos en una era post privacidad.

Nuestra ubicación puede ser precisada con GPS. Nuestras fotos e itinerarios son conocidos al mundo, a través de nuestros smartphones conectados a internet. Posteamos nuestros más íntimos pensamientos y opiniones en las redes sociales para que todos las vean. Navegamos a través de publicidad dirigida específicamente basada en nuestras búsquedas de Google y hábitos de compra online.

Tom Goodwin, director de innovación en Zenith Media, argumenta que nosotros mismos buscamos esta pérdida de privacidad porque disfrutamos los beneficios que nos provee… hasta que una compañía falla en proteger nuestra información.[i] Es ahí cuando nos alzamos en armas en contra de la violación a nuestra privacidad. Es la típica pesadilla en relaciones públicas.

En Echoworx, nuestra propia investigación encuentra otra interrogante acerca de la privacidad de la información: la naturaleza cambiante de los datos personales luego de una vulneración. Las personas están dispuestas a divulgar información cuantitativa, bajo la creencia de que esta está protegida. Esta misma información adquiere características cualitativamente embarazosas una vez que se vuelve publica durante una vulneración – derivando en una perdida fatal de confianza del cliente.

¿Como se supone que los negocios naveguen estas contradicciones? ¿Como pueden las compañías ofrecerle a la gente los beneficios de la era post privacidad sin hacerle sentir que entregaron algo precioso? ¿Como pueden los comercios ganar la confianza para proteger información sensible de forma segura?

Una solución se encuentra en la creciente importancia del Director de Datos.

El auge del Director de Datos

El rol de Director de Datos nació durante la crisis financiera de 2008-09. Luego de las secuelas, había una clara necesidad de una persona que pueda garantizar el cumplimiento de las creciente demandas regulatorias. Mas que nunca en el ámbito bancario y en las finanzas, la información y su declaración a reguladores requirió un mayor control. Por años, la información no fue más que una ocurrencia tardía en la mayoría de las organizaciones. Si acaso la información se hubiera manejado de forma efectiva, habríamos tenido una advertencia de la crisis, o podríamos habernos recuperado de forma más completa.

En la década que transcurrió, sin embargo, el rol del CDO se ha expandido y ha evolucionado en los albores de la era de los Grandes Datos. Súbitamente, el valor de la información como recurso se volvió claro. El CDO era necesario para que se ocupe de maximizar ese valor.

En 2012, la firma de consultoría NewVantage Partners inicio una encuesta anual de ejecutivos de nivel C de Fortune-1000. Ese primer año, solo el 12% de las firmas tenía un CDO. Para 2018, el número había incrementado un 63.4%. Esta tendencia parece decidida a continuar. Según algunas estimaciones, un Director de Datos será considerado un rol “crucial para la misión” en hasta el 75% de las grandes empresas dentro de los próximos 3-5 años. ¡Incluso el Pentágono contrató a su primer CDO!

Porque usted necesita un Director de Datos

Hoy en día, el valor principal del CDO es ser la persona designada para optimizar enormes cantidades de datos generados por las compañías de hoy. Él o Ella puede extraer valor de la información y fomentar innovación alrededor de la Big Data y la analítica. El CDO impulsa las soluciones tecnológicas, mejora la ciberseguridad y aumenta las ganancias. Él o Ella trabaja para eliminar silos de datos y redundancias. El cambio tecnológico es manejado para reducir los costos de la “limpieza de datos” dentro de una compañía.

El CDO planea y ejecuta la estrategia corporativa alrededor de tecnologías emergentes tales como la inteligencia artificial (IA), Machine Learning (aprendizaje automatizado), y Blockchain (cadena de bloques). El CDO también representa una solución ágil a los rápidos cambios en regulaciones y privacidad de datos para los que la administración tradicional puede no estar preparada. A medida que evoluciona la tecnología, también lo hace el rol de CDO.

Privacidad vs valor en un mundo post privacidad

La información es una espada de doble filo. Tiene un enorme valor para las corporaciones. Pero también requiere una cuidadosa protección de la información que se les confió y promete riesgos y responsabilidades (tanto financieras y reputacionales) en el evento de una vulneración.

Al poner toda la información y la actividad relacionada a cargo del CDO, las organizaciones pueden establecer sistemas para garantizar que toda la información recolectada, almacenada, o compartida dentro de una organización sea tratada de forma segura y ética, y en cumplimiento de las regulaciones y leyes locales e internacionales.[ii] El manejo adecuado de la información y la aplicación prudente de medidas de seguridad, tales como encriptación reforzada de datos sensibles, puede ayudar a reducir los riesgos de un emprendimiento. Estas políticas también permiten que las compañías maximicen el valor de la información que recolectan.

En esta era post privacidad, las corporaciones que interactúan con datos sensibles del cliente deben adaptarse si quieren ser exitosas. Si se enfocan en “server mejor a las personas” con pedidos explícitos de permiso, opt-ins claros y concisos, seguridad rigurosa y encriptación, pueden construir un “intercambio de valor a lo largo de una vida” con los clientes Este es el tipo de transformación que el CDO puede aportar a las organizaciones. De esta manera, el CDO ayuda a navegar la línea entre privacidad y post privacidad en un mundo conectado.[iii]

___________

[i] https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world

[ii] https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

 

16 Jul 2018
Ley de privacidad de datos de California

Ley de privacidad de datos de California, AB 375: Es personal

La semana pasada, California aprobó una de las leyes de privacidad más avanzadas de los Estados Unidos, la Ley de Privacidad del Consumidor de California de 2018. Está siendo aclamada como un importante paso adelante con comparaciones como “GDPR llega a Estados Unidos” y otros titulares similares.

Tras su revisión, la ley de California tiene varios desafíos, es decir, no es necesario llegar a una legislación para cambiar las disposiciones de la ley.

Lo que está en la ley

La ley establece algunos nuevos derechos para los residentes de California, y al igual que el GDPR en Europa, se aplica a cualquier empresa que vende o tiene datos personales sobre los residentes de California.

Estos nuevos derechos son:

(1) El derecho de los californianos a saber qué información personal se recopila sobre ellos.

(2) El derecho de los californianos a saber si su información personal es vendida o revelada y a quién.

(3) El derecho de los californianos a decir no a la venta de información personal.

(4) El derecho de los californianos a acceder a su información personal.

(5) El derecho de los californianos a un servicio y precio iguales, incluso si ejercen sus derechos de privacidad.

En resumen, les da a los californianos una manera de optar por controlar los usos secundarios de sus datos, ya sea la venta agregada a intermediarios de datos, el seguimiento u otros usos que no estén directamente relacionados con la prestación de un servicio.

Lo que no está en la Ley

Si bien la ley tiene sanciones por infracciones que resultan de no proteger adecuadamente la información, esta ley en sí misma no contiene ningún requisito sobre cómo las empresas necesitan proteger la información, o el lenguaje para guiar a un tribunal está analizando si la protección fue adecuada.

Impacto en el mercado:

A diferencia del Reglamento General de Protección de Datos Europeo, el Acta de Privacidad del Consumidor de California de 2018 no contiene requisitos específicos que las empresas deben seguir para garantizar la Seguridad del procesamiento. La Ley prescribe cómo las empresas deben obtener el consentimiento para recopilar y usar información, y que no pueden discriminar a los consumidores por ejercer sus derechos.

La Ley de Privacidad del Consumidor de California depende en gran medida de otras leyes federales y de California para brindar orientación sobre estas áreas. Hay una serie de conflictos con estas otras leyes y áreas que probablemente deberían aclararse a través de una guía regulatoria o posibles cambios a la ley.

Además, todavía hay una serie de preguntas sobre cómo la Ley podría ser modificada bajo la presión de las empresas de tecnología y defensores de la privacidad, y qué regulaciones podrían publicarse para apoyar la ley.

En general, la naturaleza exacta de las obligaciones de una empresa no se conocerá durante un tiempo.

Una solución lógica

El cifrado de datos confidenciales es clave para demostrar que la información ha sido adecuadamente protegida bajo cualquier regulación o ley de privacidad.

Echoworx se compromete a cumplir con los requisitos de privacidad y legales de los países en los que opera. Echoworx continúa agregando centros de datos en todo el mundo para garantizar que los datos residan lo más cerca posible del país o la región de origen. Actualmente operamos centros de datos en los EE. UU., El Reino Unido, Irlanda, México y Canadá para garantizar que los datos se puedan almacenar y mantener de acuerdo con las reglamentaciones y la legislación a las que están sujetos nuestros clientes.

19 Jun 2018
privacy protection

UN COMPLETO DESASTRE: LA ENCRIPTACIÓN, LAS CITAS Y LA MEJORA EN LA PROTECCIÓN DE LA PRIVACIDAD

¿Te sentirías cómodo enviando información personal por correo electrónico sin encriptación? ¿Te sientes tímido respondiendo “SI”? No estás solo. De hecho, cerca del 50 por ciento de las personas eligen enviar información personal confidencial por internet. Y a menudo se da por sentada nuestra confianza en las personas y empresas a las que los enviamos.

Usted debe estar sorprendido al saber cuán expuestos están sus clientes realmente.

En una encuesta reciente que se le hizo a algunos profesionales y responsables tomar decisiones en IT realizada por Echoworx, la veta en la importancia atribuida al cifrado fue clara, con el 75% de los encuestados respondiendo afirmativamente que su organización tiene una estrategia de encriptación. Asimismo, menos de la mitad de estos encuestados respondieron afirmativamente que sus organizaciones efectivamente usan el cifrado de forma extensa y que su aplicación real es cuestionable.

En otras palabras: ¿esa información personal es brindada por sus clientes a un grupo heterogéneo de bancos, profesionales de salud y organismos gubernamentales? Hay una chance de que sus destinatarios, que incluso podrían ser su propio personal, la almacenen sin filtro, que sea accesible y se esté desprotegida dentro de sus servidores.

Barriers that are Preventing More Extensive Use of EncryptionAterrador, ¿verdad?

Para ayudar a entender la otra cara de la moneda, le planteamos algunas preguntas a los clientes sobre su disposición a proporcionar información personal tanto digitalmente como en las primeras citas. Los resultados fueron sorprendentes – los encuestados estuvieron más que dispuestos a proporcionar información personal, desde su nombre completo hasta su tarjeta SIN en ambas situaciones.

¿Entonces qué?

Cuando se mezclan, nos quedamos con dos narrativas que cuentan una historia de dos ciudades. Y esto es un desastre, pero no tan cifrado como parece. Por el contrario, parece haber una desconexión entre nuestras ganas de adoptar el cifrado y la aplicación en nuestras vidas laborales.

Por ejemplo, más de la mitad de los profesionales IT encuestados respondieron favorablemente a adoptar el cifrado -perfilando la tecnología de privacidad como lo más importante o crucial para sus organizaciones. Y cerca de tres cuartos de este grupo indicaron que están activamente construyendo estrategias de cifrado. ¿Parece progresivo?

Y la realidad impacta: solo la mitad de ellos están a favor del mejoramiento de la privacidad de la información. La otra mitad, casi un 50 por ciento definido, admiten que defienden el cifrado para satisfacer las regulaciones de privacidad y evitar infracciones costosas – no porque realmente estén preocupados por proteger los datos confidenciales de los clientes.

La falta de entusiasmo por aplicar el cifrado se extiende a través de todas sus organizaciones – con el solo 40 por ciento de las organizaciones usando de sus tecnologías de cifrados existentes extensivamente. Y el área en la que hacen énfasis en el cifrado, en las comunicaciones externas, aparentemente no es suficiente ya que muchas organizaciones ahora están trasladando sus servidores de correo electrónico a la nube – lo cual hace aún que las comunicaciones internas se conviertan en externas por naturaleza.

Aun así, los clientes siguen confiando en ti sin cifrado.

Mientras tres cuartas partes de los clientes saben lo que significa el cifrado y por qué existe, el 45 por ciento de ellos continúa enviando datos personales a través de correo electrónico abierto – y confían mucho en las personas a las que se los envían. Como por ejemplo, la seguridad de un correo electrónico. A pesar del aumento de spear phishing y otros ataques relacionados con el correo electrónico para extraer datos personales, la persona promedio evalúa la seguridad de un correo electrónico en menos de treinta segundos.
¿Tú entregarías información personal a alguien en la calle en menos de 30 segundos? Suena loco, pero de acuerdo con la información de las encuestas, la persona promedio lo haría. ¿Sabías que, por ejemplo, cerca de un cuarto de las personas comúnmente comparten sus verdaderas fechas de cumpleaños, correos electrónicos, nombres completos y números de teléfonos en la primera cita? Y estas cifras preocupantes son aún más elevadas entre los hombres, el 12 por ciento de los cuáles tienen la misma probabilidad de revelar su número de tarjeta SIN en una primera cita para presumir de su salario.

Y esto no termina ahí.

Cuando se trata de formularios online, más de tres cuartos de sus clientes admiten proporcionar datos personales confidenciales. Y, considerando que ellos se toman medio minuto para inspeccionar si el formulario online es seguro, la cantidad de detalles que ellos proveen es alarmante.

¿Sabía que, por ejemplo, más del 10 por ciento de sus clientes están cómodos entregando sus números PIN bancario a través de formularios online?  ¿O que otro 34 por ciento de ellos ha dado su número de tarjeta SIN? ¿Y que un pequeño, pero más confiado 5% divulga voluntariamente su número de pasaporte cuando se lo solicitan formularios sin rostro?

¿Pero por qué esto importa en tu negocio al final del día?

Las filtraciones de datos son líos costosos de arreglar y ocurren más a menudo de lo que cree – casi un cuarto de las personas admite haber sido víctima de robo de información personal. Además de las masivas multas que ascienden a decenas de millones de dólares y las grandes demandas colectivas, una infracción de alto perfil puede causarle un daño irreparable a la confianza en su marca.

El proporcionarles a sus clientes y empleados una solución de cifrado concisa pero compleja y de alto rendimiento puede ayudar a aliviar algunos de los problemas de privacidad que existan en su organización, especialmente en dispositivos móviles. Las nuevas plataformas de cifrado se integran fácilmente con los sistemas de IT existentes y ofrecen múltiples métodos flexibles para proteger la información en tránsito.

En resumen, el cifrado importa, y los profesionales de IT lo entienden – incluso si sus razones se encuentran al final de su conformidad. Sin embargo, realmente aplicar el cifrado en toda su organización es un problema completamente diferente y se basa en hacer que su proceso de privacidad sea más optimizado y menos molesto para los usuarios. Aun así, los beneficios de prepararse para la privacidad son enormes – y sus esfuerzos se notarán.

Descubra algunas de las creativas maneras en las que las organizaciones están usando nuestra plataforma de cifrado Echoworx OneWorld para asegurar el tránsito seguro de la entrega de millones de declaraciones electrónicas hasta de documentos de incorporación de nuevos clientes. Las aplicaciones proactivas del cifrado son infinitas y son automatizadas, ideales para aquellas ocasiones en las que comportamiento de sus empleados no puede serlo.

 

Por Nicholas Sawarna, ‎Especialista Senior en Marketing de contenidos, Echoworx

10 Abr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

La calma antes de la tormenta: “la ley de la nube” (Cloud Act)

Los últimos acontecimientos en el juicio entre el Gobierno de E.E.U.U. y Microsoft tienen impacto sobre las compañías que ofrecen servicios a nivel mundial. La Ley del Uso de Información en el Extranjero para Clarificar la Legalidad (Cloud Act) apunta a simplificar la forma en la que los grupos de garantes de la aplicación de la ley pueden conseguir información personal almacenada por compañías tecnológicas estadounidenses.

Qué Ha Ocurrido:

En diciembre del 2013, un Juez Magistrado de los Estados Unidos emitió una orden judicial apoyándose en la Ley de Comunicaciones Almacenadas (SCA) para que Microsoft divulgara información que tenía almacenada en un Centro de Datos en Irlanda[i]. Microsoft se negó a cumplir con la orden judicial que le requería entregar información almacenada en su Centro de Datos en Irlanda y alegó que dicha orden violaba la Ley Europea.

Microsoft apeló la decisión en el Tribunal para el Segundo Circuito, donde se recibieron peticiones de apoyo a Microsoft de varias partes. El Gobierno irlandés presentó un informe declarando que la orden violaba la Directiva General de Protección de Datos de la Unión Europea y las propias Leyes de Privacidad de Irlanda, y que el Gobierno estadounidense debería haber usado el antiguo Tratado de Asistencia Legal Mutua que existe entre ambos países. El tratado permite que se la colecte información según lo dicten las órdenes judiciales locales. El Segundo Circuito estadounidense falló a favor de Microsoft y el Ministerio de Justicia de los Estados Unidos apeló en la Corte Suprema.

Los alegatos orales sobre el caso fueron escuchados el día 27 de febrero. Sin embargo, en marzo, el Congreso de los Estados Unidos aprobó y el Presidente firmó la Ley del Uso de Información en el Extranjero para Clarificar la Legalidad[ii] (Ley CLOUD). Esta ley emendó la Ley de Comunicaciones Almacenadas (SCA) para poder exigirle a los proveedores de servicios estadounidenses que entreguen los datos que tienen en su poder sin importar en qué parte del mundo se encuentre los mismos. Respaldándose en este acontecimiento, el Ministerio de Justicia de los Estados Unidos le pidió a la Corte Suprema que desestimara el caso como obsoleto y Microsoft no se opuso.

Inclusive desde antes de esta decisión, se plantearon preguntas importantes con respecto al acceso que el Gobierno estadounidense tiene a la información de los ciudadanos en otros países. El Grupo de Trabajo del Artículo 29[iii] había difundido un informe[iv] cuestionando la adherencia de los Estados Unidos a los requisitos de los acuerdos del Escudo de Privacidad entre E.E.U.U. y la UE. En el informe, se recomendó que E.E.U.U. y la UE negocien nuevamente con el fin de desarrollar un plan para cerrar algunas brechas identificadas. Si no se toma acción, el Grupo de Trabajo advirtió que llevaría el problema a juicio para que el acuerdo del Escudo de Privacidad quede invalidado.

Impacto sobre el Mercado:

Todo esto está ocurriendo en el contexto de la entrada en vigor de la Regulación para la Protección General de Datos de la UE que tiene requisitos estrictos para las compañías que trabajan con la información de los residentes de la UE. Específicamente, el Artículo 48 de la Regulación para la Protección General de Datos de la UE afirma que:

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Esto directamente contradice a los requisitos de la Ley CLOUD que anulan de forma directa la necesidad de usar el enfoque contemplado por el MLAT.

Naturalmente, esto deja muchas preguntas sin resolver, como qué leyes y las de quiénes tienen mayor relevancia y en qué estado quedan los tratados sobre los que ya se habían hecho acuerdos anteriormente, entre otras preguntas más. También es probable que las compañías estadounidenses se vean afectadas significativamente a medida que los usuarios se vayan cambiando a proveedores de servicios de nube en sus jurisdicciones locales – o al menos aquellos usuarios en jurisdicciones sin semejantes enredos legales.

Por David Broad CISSP, Auditor Jefe de Sistemas de Gestión de la Seguridad de la Información, Echoworx

Referencias:

[i] https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)

[ii] https://www.congress.gov/bill/115th-congress/house-bill/4943/text

[iii] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

[iv] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782

07 Mar 2018
Echoworx | Email Encryption Solutions | Encryption, helping address GDPR compliance

EL CIFRADO, AYUDANDO AL ESFUERZO POR CUMPLIR CON GDPR

A partir del 25 de mayo de 2018, todas las empresas que se ocupan de datos personales en la Unión Europea (UE) deben emplear un alto nivel de seguridad para salvaguardar la información de los ciudadanos de la UE. Según el Reglamento General de Protección de Datos (GDPR), las empresas que no tomen medidas adecuadas para proteger los datos de quienes residen en los 28 países de la UE (antes del Brexit), enfrentan multas de hasta 20 millones de euros ($ 21,9 millones) o 4% de los ingresos anuales globales de una empresa. Las autoridades reguladoras tendrán mayores poderes para actuar contra las empresas que no cumplan.

El GDPR establece las bases
David Broad, Responsable de Auditoría y Seguridad de la Información de Echoworx, dice que el GDPR establece las bases de cómo las compañías deben proteger su propia información y la de sus clientes. Las prácticas de seguridad de referencia también deben ser coherentes con cualquier servicio de terceros que la empresa utilice (como Amazon), incluso si la empresa se encuentra fuera de la UE. Las regulaciones en toda la UE “solían ser un mosaico bastante amplio”, dice Broad, y el GDPR armonizará esas reglas. La UE siempre ha tenido regulaciones estrictas, pero había problemas significativos si una empresa estaba haciendo negocios en varios países, ya que las reglas podían diferir en cada una de ellas.

“Era visto por muchos como una desventaja y un impedimento para los negocios”, dice Broad. “Ahora, habrá un estándar que todos entiendan y conozcan”.

Una solución lógica
El cifrado es una solución lógica para estas empresas y, si bien no es una solución obligatoria o la única, el GDPR fomenta su uso como una práctica recomendada para proteger la información sensible de las infracciones. Cada vez más, el cifrado se considera el método de partida para proteger las comunicaciones en tránsito y salvaguardar la información almacenada, según Jacob Ginsberg, Director Senior de Echoworx.
Ginsberg dice que las empresas están reconociendo la importancia del cifrado y la seguridad para frustrar los ataques cibernéticos y las violaciones de datos. El GDPR alienta la idea de la seguridad y la privacidad por diseño desde las primeras etapas de desarrollo, agrega. Esos dos aspectos, la privacidad y la seguridad, no siempre funcionaban en conjunto y el GDPR ayudaría a alinearlos. El cifrado puede desempeñar un papel en la alineación de estos aspectos.

La importancia del cifrado
Proteger la información en tránsito, ya sea a través de correo electrónico o intercambio de archivos grandes, puede ser un desafío para algunas organizaciones, ya que pueden no controlar la red o el servidor de correo electrónico, y el servidor puede no estar en la UE, dice Broad.
“No se puede simplemente enviar datos de clientes a través de una red de la que no se tiene control”, dice. Una organización puede usar algún tipo de cifrado para datos en tránsito u optar por no enviar datos cifrados por correo electrónico. En cambio, podría enviar un mensaje benigno a un cliente diciéndole al cliente que inicie sesión en el portal de la compañía para recuperar la información pertinente.

No todas las empresas quieren construir un portal debido a la gran inversión en tecnología requerida, o porque pueden no necesitarlo todo el tiempo. Por ejemplo, algunas empresas pueden solo necesitar un portal por un corto tiempo cada año, como para recibir documentos tributarios anuales.

Así como Amazon ofrece soluciones de comercio electrónico para vendedores que no desean gestionar logística, pagos, hardware y almacenamiento de datos, los proveedores de cifrado como Echoworx pueden ayudar a las empresas a cumplir con el GDPR al proporcionar soluciones de cifrado y servicios para ayudar a los clientes a proteger datos.

Vamos a conectarnos
Mis colegas estarán en la Cumbre Anual de IdentityNorth en el Mattamy Athletic Center en Toronto, Canadá, en junio. Si planeas estar en la ciudad, ven a conocer al equipo de Echoworx. Presentaremos casos de uso reales de cómo las organizaciones están ganando valor al integrar el cifrado en sus procesos comerciales, al tiempo que aseguran las comunicaciones. Regístrese hoy, únase a nosotros para un chat!

Por Christian Peel, ‎VP de Ingeniería del Cliente, Echoworx

26 Feb 2018
Echoworx | Email Encryption Solutions | Is there a certainty to security?

¿Hay certeza en la seguridad?

La elección entre Protección + Prevención frente a Detección + Respuesta es una ilusión. Como profesionales de seguridad, todos aprendimos que la defensa en profundidad era clave. Sin embargo, nos enfocamos demasiado en la defensa como solo una pared o línea que nos protegería. Este tipo de pensamiento ha demostrado ser insuficiente una y otra vez. Primero, pusimos firewalls y pensamos que estábamos a salvo. Luego nos dimos cuenta de que necesitábamos IDs y eventualmente IPs. Los SIEM y otras herramientas fueron los siguientes. Estos cumplen con partes de la ecuación, pero no con todas.  Una vez que sus defensas son estáticas y no evolucionan en función de la retroalimentación de lo que realmente está sucediendo, se pueden solucionar. Al alinearse con solo una de Protección + Prevención o Detección + Respuesta se dejarán huecos.

Si las amenazas modernas nos han enseñado algo, es que ninguna solución resolverá todos los problemas.  Necesitamos enfoques combinados que implementen herramientas para proteger nuestros perímetros, y también otras herramientas y sistemas que puedan detectar tráfico anómalo y sintonizar redes para responder.

Ningún estándar significativo de Seguridad de la Información, ya sea ISO 27001, el Marco de Seguridad Cibernética NIST, Webtrust u otros, tiene solo un aspecto de la seguridad. La clave es mantenerlos equilibrados y alimentados con herramientas, recursos y fondos para mejorar las capacidades en todos los ámbitos.

Muchas empresas piensan que una vez que tienen algunas herramientas implementadas para controlar su perímetro, ya están listas.  Pero, ¿qué tan efectivas son estas herramientas que han desplegado?  El hecho de que las herramientas no detecten nada no significa que no haya nada allí.   Para cada herramienta que se implementa, las empresas deben pensar en cómo van a medir su eficacia. ¿Cómo se veía el tráfico antes de desplegarse? ¿Cómo se ve después? ¿Qué aspecto tendría si no funcionara? ¿Qué podría faltar?

Comprender las limitaciones de las herramientas que se implementan es clave para comprender qué más se debe supervisar y poder incluir esto en sus procesos de Gestión de Riesgo para pronosticar las próximas herramientas que debe implementar. Reaccionar después de un ataque es demasiado tarde. El daño está hecho.

No se trata de Protección + Prevención o Detección + Respuesta, es más una cuestión de Protección + Prevención + Detección + Respuesta. La esperanza sería que si está monitoreando sus herramientas actuales, detectará lagunas antes de que sean un problema y la respuesta será una actualización o implementación planeada en lugar de una investigación de incidentes.

Por David Broad, Responsable de Auditoría y Seguridad de la Información, Echoworx

23 Nov 2017
Financial Security

Confía en que soy el buen banco

Hey bancos, los millenials tienen problemas de confianza. Sí, estas personas sofisticadas, bien viajadas y altamente educadas tienen relaciones conflictivas con la información personal.

Una nueva encuesta de OnePoll dirigida por Echoworx reveló que los millennials son más cuidadosos con sus parejas sentimentales que con las instituciones financieras. Casi el 50 por ciento de los encuestados de entre 18 y 35 años no daría a una pareja su dirección hasta después de al menos cinco citas. Sin embargo, el 56 por ciento había compartido información confidencial por correo electrónico con sus banqueros y corredores, sin darse cuenta de que el correo electrónico puede ser fácilmente pirateado y filtrado para robar identidades e información clave. Y no es por analizar mucho la situación, pero menos del 60 por ciento de los millennials encuestados podría definir con precisión el “cifrado”.

Todos tus clientes esperan que los trates bien, por lo que tu capacidad para hacerlos confiar en ti radica en qué tan bien lo haces. Y una gran parte de eso es tener una seguridad cibernética fuerte para que no tengan que preocuparse por la pérdida o el robo de sus datos.

Cambio de cultura de la información

Las contradicciones de los millenials en torno a la información personal tienen sentido cuando piensas en cómo las interacciones humanas han cambiado. Hoy en día, las citas no solo se tratan de conocer a alguien a través de pasatiempos, trabajo o amigos; también puedes hacerlo a través de aplicaciones. Pero con las aplicaciones, las relaciones con la comunidad no están ahí, por lo que los millennials son naturalmente cuidadosos al revelar donde viven. Por otro lado, están tan acostumbrados al refinamiento continuo de la tecnología, especialmente en los negocios, que confían en que funcione para ellos.

Las personas nacidas en las décadas de 1980 y ’90s crecieron con dispositivos de mano que mutaron en los portales multimedia que son ahora. Ellos toman la comodidad digital por sentado de la misma manera que dan por hecho sus propias manos y pies, y debido a eso, no tienen la misma desconfianza de sus padres sobre los dispositivos y el software. Pero ellos también no tiene la sagacidad mediática que tiene la siguiente generación, que comenzó a aprender sobre la privacidad y la seguridad en Internet desde la escuela primaria.

Lo bueno, lo malo y lo no comprometido

Los millennials esperan que las instituciones financieras integren sus procesos sin problemas en los dispositivos móviles, y eso ha creado una batalla clásica entre el bien y el mal.

En el lado del mal, hay personas que hacen todo lo posible para robar información. Del lado bueno están las empresas que usan los protocolos de seguridad más altos en todas sus comunicaciones. Pero entre el bien y el mal, encontrarás a otros que simplemente esperan no afectarse cuando las cosas van mal.

Los millennials ahora son tu principal fuerza de trabajo y base de clientes, y como lado malo explotarán cada oportunidad que dejes abierta. Todas las comunicaciones en el lugar de trabajo son objetivos, por lo que una encriptación fuerte es fundamental para las líneas frontales, back-end y todas las herramientas de medios internas.

Las relaciones comerciales, tal como las relaciones románticas, prosperan en la confianza, y es mucho más difícil reconstruirlas que comportarse responsablemente desde el principio. Sé el mejor: comunicaciones seguras, encripta todo al más alto nivel y nunca solicites información a través de correo electrónico no seguro o aplicaciones.

Y visita nuestro portal Getting Personal para aprender más sobre los riesgos y las oportunidades de compartir información confidencial.

Por Neyson Lins, Analista de marketing y líder de campaña, Echoworx

15 Nov 2017
hacked

Exposición Indecente y Hacking Robótico

¿Enviarías una selfie sin ropa por correo electrónico? Muchos de diríamos ‘no’ porque estamos conscientes de lo que podría salir mal. ¿Qué sucede si la persona a quien le envías el mensaje accidentalmente (o deliberadamente) lo comparte con otra persona? ¿Qué tal si tu cuenta de correo electrónico o la suya es hackeada? Hemos visto demasiadas figuras públicas humilladas cuando sus correos privados han sido expuestos.

Pero incluso si no compartimos ciertas fotografías, muchos de nosotros ignoraremos el sentido común del siglo  21 y compartiremos otra información extremadamente personal por correo electrónico, simplemente porque un banco, corredor u otro proveedor de servicios nos lo solicitó. Maldita sea, si nos dicen que hagamos esto, debe estar bien, ¿no?

Gente, tus temores viscerales están en lo correcto.

En una nueva encuesta de OnePoll efectuada por Echoworx, al 45 por ciento de los jóvenes de la generación millenial se les pidió que enviaran información confidencial por correo electrónico a sus bancos y el 85 por ciento de los jóvenes de millenials informaron que se les había pedido específicamente sus números de seguridad social por correo electrónico. Casi el 60 por ciento cuestionó si usar el correo electrónico para enviar esta información era una buena idea y al 55 por ciento de estos les robaron su información personal o sospecharon que se les había robado.

Sin embargo, aún compartían estos detalles personales por correo y sin garantía segura. Y, por cierto, menos del 60 por ciento podría definir con precisión la palabra “cifrado”, que es el proceso de convertir información en código para que las personas equivocadas no lo vean.

Los hackers robóticos son reales.

Más de cinco millones de registros personales se pierden o son robados todos los días debido a que no están almacenados ni encriptados adecuadamente. Y cuando estás transfiriendo información de tu billetera a tu banco, puede aumentar la probabilidad de que te conviertas en víctima, especialmente si usas correo electrónico.

La mayoría de los servicios de correo electrónico pueden ser pirateados fácilmente. Esto no se debe a que algún genio malvado esté detrás de ti, específicamente; es porque cualquier cantidad de habitantes extraños están creando bots (software de robot con código malicioso) que van tras todo el mundo, simultáneamente. Esos bots tienen bases de datos que incluyen todas las contraseñas pirateadas, además de diccionarios e idiomas y otras fuentes de texto que las personas pueden usar, como contraseñas e inicios de sesión. Los bots buscan rápidamente a través de combinaciones de contraseñas e inicios de sesión hasta que entran en tu cuenta y luego la filtran para obtener información personal.

Realmente, es casi así de fácil.

Cómo hacerlo de forma segura

Si bien las compañías financieras no pueden controlar su correo electrónico, pueden controlan sus propios procesos, interfaces, servidores y cifrado. De hecho, hay una gran cantidad de regulaciones en todo el mundo que guían a las compañías con respecto a cómo deben hazlo o de lo contrario, enfrentan las consecuencias. Por ejemplo, una regulación conocida como la GDPR se aplica a todas las personas que hacen negocios en Europa (por ejemplo, la mayoría de las grandes compañías financieras de EE. UU.), con multas de 20 millones de euros por no proteger los datos de los clientes. Sin embargo, parece que algunas de nuestras confiables instituciones arriesgarían más consecuencias que la creación proactiva de interfaces seguras a través de las cuales podríamos enviar y recibir información personal por correo electrónico.

Entonces, ¿qué puedes hacer para protegerte? Comienza por negarte a intercambiar información privada por correo electrónico no seguro. Pregunte qué hace tu institución para proteger tus comunicaciones sensibles de correo electrónico y piensa dos veces sobre las que no tienen políticas y prácticas claras. Y visita nuestro portal Getting Personal para aprender más sobre los riesgos y las oportunidades de compartir información confidencial.

 

By Alex Loo, VP Operations, Echoworx

04 Oct 2017
personal details

Conociéndonos: Confianza, Nuevos Amantes e Internet

Eres una mujer soltera en tu primera cita con un chico nuevo. La conversación fluye, se ríe de tus bromas, pero no te sientes cómoda compartiendo tu nombre completo ni revelando exactamente dónde vives.

Sin embargo, es posible que hayas compartido fácilmente información personal en un formulario en línea o en un correo electrónico, con una entidad del ciberespacio que no conoces.

Una nueva encuesta, efectuada por Echoworx y realizada por la empresa de investigación de mercado OnePoll, descubrió que aunque la mayoría de las personas no revela detalles personales a una pareja potencial hasta después de un promedio de dos citas y media, están mucho más dispuestas a proporcionar información confidencial en línea. El estudio, realizado en agosto de 2017, encuestó a 2,000 adultos de todos los Estados Unidos.

¿Te sorprende saber que muchas personas están más dispuestas a proporcionar detalles personales en línea que con alguien que están conociendo?

Si eres como la mayoría de las estadounidenses en la encuesta, solo te llevará 20 segundos decidir si un correo en tu bandeja de entrada es seguro. Tardas 28 segundos para determinar si es seguro ingresar tus datos personales en un formulario en línea. Si un artículo en un sitio de compras en línea atrae tu interés, demorará 31 segundos para decidir si el sitio web es seguro o no para realizar una compra con tarjeta de crédito. Sin embargo, es probable que no le des la dirección de tu casa a una potencial pareja de citas hasta después de un promedio de cuatro citas y no discutirás tu salario hasta después de seis citas y media. Puedes ser una de cada tres que no te sientas cómoda hablando sobre tu salario después de cualquier cantidad de citas.

¿Ha compartido datos confidenciales o personales al completar un formulario en línea o en un correo electrónico?
No estás sola. Tres cuartas partes de las encuestadas admitieron haber compartido información personal al completar un formulario en línea y, en promedio, comparten tres piezas de información personal por correo electrónico cada semana.

Es posible que hayas enviado información en línea a un proveedor de atención médica, a un banco o a un funcionario del gobierno. Pero si eres como la mayoría de la gente, dices que una compra en línea, quizás esos fabulosos Manolo Blahniks, fueron la razón principal por la cual compartiste tus datos en línea. Otras razones incluyen solicitar un trabajo o solicitar una hipoteca o un seguro.

Si compartiste tu información en línea, es posible que hayas cuestionado qué tan seguro era. El treinta por ciento de las encuestadas se siente incómoda con la distribución de información en línea. ¿Has enviado un correo electrónico que luego lamentaste? También les ha pasado al 40 por ciento de las encuestadas.

Es posible que te hayan robado tu información personal (el 24 por ciento lo admite) o sospeche que ha sucedido (22 por ciento) o que te hayan pirateado tu computadora, como uno de cada cinco estadounidenses. Es posible que no sepas lo que significa el cifrado, a pesar de que es una poderosa herramienta para proteger tus datos confidenciales.

Ahora, de regreso a esa primera cita. Si el romance continúa, compartirás tu dirección, fecha de nacimiento, historial médico y otros detalles personales con esta pareja potencial, pero serás prudente y te tomarás tu tiempo.

Cuando se trata de información, como tu número de seguro social y datos bancarios, tal vez sea mejor ejercer la misma precaución antes de divulgar tus datos en línea.

Antes de retirarte, asegúrate de visitar nuestro portal Getting Personal para aprender más sobre los riesgos y oportunidades asociados con el intercambio de información confidencial.

08 Sep 2017
privacy by design

Privacidad por diseño, o por desastre

¿Tienes algún negocio europeo? Si es el caso, el RGPD podría dispararte multas de 20 millones de euros después del 25 de mayo de 2018, a menos que hayas construido los niveles más altos de protección de privacidad en tus sistemas.

El Reglamento General de Protección de Datos (RGPD) protege la privacidad y los derechos humanos de las personas y entra en vigencia en mayo. Aplica a las empresas con sede en la UE, además de las empresas extranjeras que realizan negocios en la UE. El alcance abarca una amplia gama de datos personales, por ejemplo, nombres, direcciones de correo electrónico, redes sociales, detalles bancarios o direcciones IP de la computadora.

Para las empresas que no cumplen con el RGPD, hay multas de hasta 20 millones de euros o hasta el 4 por ciento de sus ganancias anuales en todo el mundo , un gran mordisco en su balance final. La buena noticia es que hay una directiva para guiarlo, conocida como Privacidad por Diseño, o “PbD, por sus siglas en inglés”.

Privacidad por Diseño
Cumplir con el RGPD significa seguir los siete principios de PbD que se incluyen casi literalmente en la regulación.

  1. Proactivo no reactivo; preventivo no correctivo
    Piensa en esto como “privacidad por diseño o desastre”. Si creas privacidad, cifrado y ciberseguridad general adecuadas en tus productos y servicios, es menos probable que tengas una infracción en el lado del desastre que implica multas, demandas colectivas y daños a tu reputación.
  2. Privacidad como configuración predeterminada
    La mayoría de las personas no lee los contratos de licencia de usuario final ni los extensos documentos legales de las instituciones financieras. Haz que tus ofertas sean más fáciles de usar, de forma predeterminada con los niveles más altos de privacidad y cifrado, y pide claramente permiso específico para usar los datos del cliente para cualquier otra cosa que no sea la que pretenden. Por ejemplo, mantén vacías las casillas de opción para que el usuario final distraído no otorgue el permiso por accidente.
  3. Privacidad integrada en el diseño
    ¿Qué tan bien están cifradas tus aplicaciones y sistemas de administración de datos? Esto debe ser un hecho predeterminado, sin elección, incorporado a toda tu arquitectura de datos.
  4. Funcionalidad completa – suma positiva, no suma cero
    Existe el argumento de que la seguridad total y la privacidad total no son compatibles, pero está mal: un cifrado fuerte te permite tener ambas cosas. Además, cuando tus clientes sepan que lo estás usando, tendrán un mayor nivel de confianza en ti y estarán más dispuestos a compartir sus datos.
  5. Seguridad de extremo a extremo: protección completa del ciclo de vida Con tu sistema diseñado para respetar y mantener la privacidad en cada contacto, ¿qué sucede cuando terminas de usar los datos? Desde el momento en que un cliente da su nombre, hasta el cierre de la cuenta, debes asegurarte de que sus datos se administren de forma segura y, finalmente, se destruyan.
  6. Visibilidad y transparencia: mantenlo abierto
    Ser capaz de demostrar que estás usando los datos como está previsto en cada paso. Pero también debes estar dispuesto a compartir todos los datos que ha recopilado sobre alguien con esa persona, porque los datos les pertenecen. Y poder verlo significa que pueden corregir las imprecisiones, haciéndolo mucho más útil para ti.
  7. Respeto a la privacidad del usuario: mantenlo centrado en el usuario
    Estar centrado en el usuario significa que tu empresa y tus arquitectos de datos son proactivos a la hora de proteger la privacidad del cliente. Pero la incorporación de un cifrado de datos sólido y la ciberseguridad en general no se trata solo de estar seguro. La inversión en estas tecnologías y prácticas fomentará el respeto y la confianza de tus clientes, lo cual es bueno sin importar dónde hagas negocios.

 

By Alex Loo, VP Operations, Echoworx 

[Reference links]