Categoría: Information Security

03 Abr 2019
customer centric encryption

Por qué el enfoque cliente-centrista en encriptación importa en el ámbito de los servicios financieros

Antes de que la encriptación de mensajes se generalice con su incorporación a plataformas de mensajería populares, como WhatsApp, y a regulaciones de privacidad famosas como la Regulación General de Protección de Datos (RGPD) de la UE, la industria de servicios financieros podía salirse con la suya implementando opciones de seguridad excesivamente complejas que no eran para nada amigables con el usuario. Los clientes simplemente no sabían que proteger sus datos podía ser simple y prácticamente invisible.

Ahora lo saben y esperan soluciones de encriptación centradas en el cliente – en especial de las organizaciones de servicios financieros que protegen sus datos más sensibles.

Las firmas de servicios financieros no deberían tener que elegir entre seguridad y experiencia de usuario. Si uno mira las especificaciones de la encriptación, notará que los algoritmos no son el diferenciador principal en ninguna solución de email seguro. Casi todos los productos de seguridad actuales utilizan encriptación RSA de 2048 bits, encriptación AES de 256 bits y funciones SHA2.

El verdadero diferenciador es la experiencia de usuario— ¿cuán fácil es para los clientes y empleados usar la solución de encriptación? ¿Y, obtienen la increíble experiencia del consumidor que han llegado a esperar?

Cinco maneras en las que la encriptación puede asegurar la innovación cliente-centrista

Los diferenciadores de experiencia de usuario que las organizaciones de servicios financieros de nivel empresarial deberían buscar en una solución de encriptación son:

  • Políticas determinables para controlar que comunicaciones requieren encriptación y como se las envía.
  • Múltiples y flexibles métodos de entrega para distintos tipos de comunicaciones seguras encriptadas.
  • Experiencia de usuario simple y fluida para empleados y clientes, independientemente de cuan expertos sean (o no) en tecnología.
  • Múltiples opciones de marca e idioma para alineación de marca y cumplir con las expectativas de los clientes, reforzando su confianza en una solución segura y fiable.
  • Soporte dedicado de cuenta para ayudar a las organizaciones a entender como la encriptación de emails entra en sus modelos de negocios.

 

La experiencia del consumidor es tan importante porque se relaciona directamente con la confianza—la nueva divisa en las actividades bancarias. Sus clientes necesitan confiarle su información más personal y—le guste o no—las experiencias de usuario torpes erosionan la fe de los clientes en su capacidad de proteger sus datos. Y cuando los clientes pierdan la fe y ya no confíen en su marca, se irán. Una reciente encuesta de Echoworx revelo que el 80 por ciento de los clientes considera abandonar una marca luego de que esta sufra una vulneración de datos. Con tantos CEOs preocupados por la reputación de la compañía, no tiene sentido conformarse con una solución de encriptación que no incluya una experiencia de usuario asombrosa—el riesgo para la marca es simplemente muy alto.

Además de beneficiar a su modelo de negocios cliente centrista, existen beneficios monetarios adicionales en adoptar una solución de encriptación flexible y fluida. Un reciente estudio de Impacto Económico Total™ realizado por Forrester, reveló que una organización promedio puede ahorrarse $2.7 millones de su balance total empleando nuestra flexible solución de encriptación OneWorld.

Acceda al estudio completo de Impacto Económico Total™ de OneWorld realizado por Forrester, aquí.

Alcanzar tanto el cumplimiento regulatorio como el cliente-centrismo

Como todas las compañías, las organizaciones de servicios financieros están sujetas a regulaciones de privacidad como el RGPD. Pero esa es solo la punta del iceberg—y el incumplimiento de estas leyes de privacidad viene con gravísimas y costosas penalizaciones.

Regulaciones a las que las compañías de servicios financieros están sujetas[1] o de las que deberían estar al tanto[2] son:

  • Directrices FINRA
  • Ley Gramm-Leach-Bliley (GLBA)
  • SEC 17A-3 y 17A-4
  • Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)
  • Reglas Federales de Procedimiento Civil (FRCP)
  • Ley Sarbanes-Oxley (SOX)
  • Regulación General de Protección de Datos de la UE (GDPR)
  • Instrumentación Nacional de Administradores de Valores de Canadá 31-303 (CSA NI)
  • Asociación de Agentes de Inversión de Canadá (IDA29.7)
  • Requisitos Modelo para el Manejo de Registros Electrónicos (MOREQ)
  • Ley de Privacidad del Consumidor de California (CCPA)
  • Regulación de Ciberseguridad del Departamento de Servicios Financieros de Nueva York (NYDFS)

 

Ya que el cumplimiento es tan importante en la industria de servicios financieros, es beneficioso para su organización elegir una solución de encriptación que tenga ‘privacidad por diseño’; esto significa que su plataforma de email seguro resuelve como enviar mensajes basada en las políticas que usted define durante la personalización inicial del servicio. Por ejemplo, un socio comercial recibe encriptación transparente a través de TLS, un cliente recibe un resumen de cuenta mensual en la forma de un archivo adjunto seguro de tipo PDF y un banco europeo puede requerir emails con PGP porque sus empleados tienen software PGP instalado en sus PCs de escritorio.

Lo que la encriptación cliente-centrista significa para su balance final

En el ámbito de los servicios financieros, proporcionar una experiencia de usuario fluida y segura no es opcional para alcanzar una comunicación segura y optimizada. Pero existen beneficios económicos adicionales en la elección e implementación de una solución de encriptación flexible. Por ejemplo, un reciente estudio de Impacto Económico Total™ (IET) realizado por Forrester sugiere que una organización promedio, utilizando la plataforma de encriptación OneWorld de Echoworx, puede eliminar casi $320 mil de su balance final con la adopción de autosoporte, como reinicios de contraseña automáticos – incrementando la productividad del call-center y eliminando la necesidad de gastos adicionales.

La encriptación cliente-centrista ayuda a las organizaciones de servicios financieros a construir y mantener la confianza de sus clientes, mantenerse en cumplimiento y reducir costos. ¿Acaso no es tiempo ya de aprovechar este comprobado diferenciador de competitividad?

La Diferencia Echoworx

En Echoworx, encriptar es todo lo que hacemos. Nuestra plataforma de encriptación OneWorld es una extensión natural para la mayoría de los sistemas existentes y ofrece una amplia gama de métodos de encriptación de entrega flexibles, adaptables y confiables para ser utilizados en corporaciones de nivel empresarial.

Conozca más acerca de la rentabilidad de la Encriptación OneWorld de Echoworx aquí.

Por Christian Peel, VP Ingeniería, Echoworx

 

——

[1] https://www.echoworx.com/project/encryption-technologies-financial-services/

[2] https://www2.deloitte.com/us/en/pages/regulatory/articles/banking-regulatory-outlook.html

22 Mar 2019
Customer Satisfaction

Cómo propiciar la interacción digital con los clientes

En el mundo fuera de internet, las organizaciones construyen sus clientelas lentamente a lo largo del tiempo, y estos clientes generalmente se vuelven y mantienen leales a la compañía—a menos de que haya un inconveniente importante. Pero no funciona así en el mundo digital; aunque la competencia es dura, los clientes digitales son fáciles de captar, pero difíciles de mantener. Incluso la más pequeña incomodidad les puede hacer partir.

La interacción digital con el cliente—que depende en gran medida de las comunicaciones digitales—juega un rol importante en la experiencia y satisfacción del cliente. Las organizaciones tienen que crear un ambiente digital atractivo que propicie la interacción y construya confianza. Si bien es cierto que la confianza digital es fácil de ganar, también es fácil de perder e imposible de recuperar.

Tomando esto en cuenta, sugerimos que su ambiente digital debe mantener estos cuatro elementos: seguridad, experiencia de usuario, mitigación de costos, y cumplimiento. Con estos elementos funcionando, tener interacción digital con sus clientes es más seguro y fácil que nunca.

Comunicaciones seguras

Los clientes esperan recibir seguridad de datos integrada, y a pesar de esto, el 69% de los clientes no creen que las organizaciones hagan todo lo que pueden para proteger la información de sus clientes. Su organización se puede destacar sobre su competencia al cumplir la promesa de las comunicaciones seguras. Una manera de garantizar comunicaciones seguras para todos los remitentes y destinatarios es utilizar una solución de cifrado con métodos flexibles de envío, incluyendo TLS, S/MIME, PGP, y portales web seguros. El cifrado es una propuesta de valor para negocios que quieres ganarse la confianza del cliente mientras se protegen a sí mismos de costosas fugas de datos.

Experiencia de usuario

Los clientes reciben una buena experiencia de usuario cuando la protección de datos está integrada en el proceso. Hacer que el cifrado sea la opción por defecto es aprovechar la condición humana—normalmente seguimos el camino de menor resistencia. Ahórrele al cliente el inconveniente de agregar un paso más—si es que se acuerdan o tienen el tiempo—sin dejar que el cifrado dependa del azar. Su elección de cifrado también puede proteger a sus clientes ante ataques de phishing y de spear phishing, donde terceros maliciosos fingen la identidad de su marca por correo electrónico para robar información privada o instalar software malicioso. El cifrado que puede manejar múltiples marcas, con múltiples métodos de envío y múltiples idiomas reafirma a los clientes que sus mensajes seguros vienen de una fuente confiable—no son spam.

Mitigación de costos

La interacción con el cliente es deseable como parte de un servicio optimizado que ayude a sus clientes y apoye su modelo de negocios. Pero si los sistemas de interacción con el cliente le atan al mismo antiguo y torpe hardware, más recursos de IT y más personal de apoyo al cliente, los costos pueden rápidamente hacerse más pesados que los beneficios. La buena noticia es que no tiene por qué ser así. Por ejemplo, según un estudio reciente solicitado por Echoworx, mover su sistema PGP a un ambiente de cifrado en la nube puede mitigar en casi $800.000 lo gastado en sistemas locales heredados—sin causar incomodidades al cliente.

Vea el reporte completo aquí.

Cumplimiento legal

Las organizaciones deben apegarse a múltiples regulaciones de privacidad—RGPD, PIPEDA y HIPAA—dependiendo en dónde tengan sede y dónde vivan sus clientes. Violar estas regulaciones implica multas y castigos. Por ejemplo, las violaciones al RGPD pueden costar hasta $20 millones o 4% de las ganancias anuales (lo que sea mayor). Estas regulaciones también hacen que sea obligatorio reportar cualquier fuga de datos. Para ilustrar cuán efímera es la confianza digital, la mayoría de los clientes se van para siempre cuando escuchan que hubo una fuga de datos. Al seleccionar una plataforma de cifrado, asegúrese que incluya características que garanticen el cumplimiento legal—y que haga sentir seguros a sus clientes mientras interactúen con usted por internet.

Es más difícil y más importante que nunca mantener la confianza digital. Apunte al éxito mediante la implementación de sistemas como el cifrado para apoyar y estimular sus actividades de interacción con el cliente.

La Diferencia de Echoworx

En Echoworx, nos enfocamos únicamente en el cifrado. Nuestra plataforma de cifrado, OneWorld, es una extensión natural a la mayor parte de los sistemas existentes, y ofrece una amplia variedad de métodos de envío flexibles, adaptables, y confiables, para ser utilizados en corporaciones con grandes volúmenes de negocio.

Conozca más acerca de los métodos de envío cifrado de Echoworx OneWorld aquí.

Por Alex Loo, Vicepresidente de Operaciones de Echoworx

15 Mar 2019

Un 10 perfecto? He aquí porque una encriptación flexible es importante para su negocio

Según Forrester, “los consumidores usan tecnologías que priorizan la conveniencia y le dan mayor valor a la XC (experiencia del consumidor).[i]” Y como bien saben los profesionales de bancos, servicios financieros, servicios de salud, legales y de cumplimiento, los clientes esperan que esa experiencia incluya comunicaciones encriptadas y protección de datos. Si su organización utiliza un producto de seguridad de email listo para usar con encriptación de email integrada, entonces ha comenzado con buen pie.

Pero si usted lidera una organización con obsesión por el cliente, un enfoque personalizado hacia la encriptación esté probablemente más alineado con los valores de su negocio a diferencia de una solución lista para usar. Implementar una solución de encriptación flexible como extensión natural a su estructura de encriptación existente lleva su seguridad informática y su confianza digital de buena a grandiosa.

He aquí cuatro razones de negocios por las que adoptar un modelo de encriptación flexible:

  1. Incrementar la agilidad y alineamiento continuo con los procesos de negocios– Los procesos de negocios varían dependiendo de la organización. Un grupo envía millones de resúmenes de cuenta mensuales mientras que otros envían documentos sensibles uno a la vez a destinatarios internos o externos. Habilitar una plataforma de encriptación con controles flexibles para cada escenario le da la posibilidad de crear una experiencia de usuario personalizable para remitentes y destinatarios, pero manteniendo el control sobre los mensajes que están en tránsito y en reposo.

 

  1. Construya confianza instantáneamente, con múltiples opciones de idioma y branding– Si su organización opera internacionalmente, una experiencia de usuario excelente incluye comunicaciones en el idioma de preferencia de su cliente. Y no hace falta decir que todas las comunicaciones deben estar alineadas a su marca independientemente de que línea de negocio las envíe. Con el 79 por ciento de la gente tomándose menos de 30 segundos para evaluar la seguridad de un email, los emails legítimos pero sin branding, pueden rápidamente ser categorizados como spam y poner en duda la confiabilidad digital de su organización. Con OneWorld de Echoworx, una extensión de encriptación natural para soluciones empresariales comunes, usted puede fijar políticas de idioma para aplicar automáticamente a comunicaciones encriptadas basadas en el remitente, la marca, la ubicación o los atributos del destinatario.

 

  1. Adelántese a su competencia en administración de seguridad de la información– En una encuesta reciente de profesionales de TI y tomadores de decisiones de TI, encontramos que si bien la encriptación es una prioridad para la mayoría de las organizaciones, menos de la mitad de las organizaciones que disponen de software de encriptación lo utilizan de forma extensiva. Esto significa que, en cualquier industria, es muy probable que utilizar una solución flexible de encriptación pueda ser una ventaja clave para su negocio.

    Y cuando usted elige una opción fácil de usar para el usuario, su encriptación y protección de datos se vuelven una propuesta cliente-centrista. Como por ejemplo las experiencias de usuarios móviles y de escritorio. Con el 80 por ciento de los emails siendo leídos inicialmente en algún tipo de dispositivo móvil, cualquier solución de encriptación debería ofrecer una experiencia de usuario de escritorio idéntica o equivalente.

 

  1. Incremente el rendimiento a largo plazo a través de una gestión de riesgos proactiva– El informe de la Encuesta del Estado Global de la Seguridad de la Información de 2018 sugiere que el rendimiento económico a largo plazo es más probable cuando las compañías incrementan su resistencia a los riesgos en lugar de simplemente intentar evitarlos.[ii] Esto sucede porque las compañías resistentes— las que disponen de planes de recuperación para desastres o planes de continuidad de negocios— pueden recuperarse más rápido de un incidente desafortunado que aquellas que no lo son. Desde un punto de vista de ciberseguridad, el manejo de riesgos proactivo incluye una encriptación que soporte múltiples métodos de entrega seguros con soluciones alternativas efectivas, procedimientos seguros de encriptación de contraseñas y una experiencia de usuario optimizada que haga que utilizar encriptación sea lo más fácil y predeterminado.

 

En una cultura de negocios obsesionada con el cliente, las organizaciones deben ser proactivas al alcanzar y exceder las expectativas del cliente al mismo tiempo que mantienen sus datos seguros. Adoptar una encriptación segura en toda su organización nunca fue más fácil y necesario. Asegurar la información sensible es lo correcto— y tiene un fuerte fundamento desde el punto de vista del negocio.

La Diferencia Echoworx

En Echoworx, la encriptación lo es todo. Nuestra plataforma de encriptación OneWorld es una extensión natural para la gran mayoría de los sistemas existentes y ofrece una amplia gama de métodos de entrega seguros, flexibles, adaptables y confiables para ser utilizados en corporaciones de nivel empresarial.

Conozca más acerca de los métodos de entrega de encriptación seguros de Echoworx OneWorld aquí.

Por Christian Peel, VP Ingeniería, Echoworx

——-

[i] https://go.forrester.com/blogs/new-leaders-emerge-as-businesses-are-disrupted-more-rapidly/

[ii] https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks.pdf

 

[i] https://go.forrester.com/blogs/new-leaders-emerge-as-businesses-are-disrupted-more-rapidly/

 

[ii] https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks.pdf

01 Mar 2019
who controls your encryption experience

¿Quién Controla Su Experiencia de Encriptación?

En esencia, la seguridad es un ejercicio de control. La seguridad controla como se utiliza nuestra propiedad, quien te acceso a esta y la mantiene segura. En ciberseguridad, esta noción se refiere generalmente a la protección de los recursos digitales de una organización – manteniendo su información sana y salva.

Pero, ¿qué sucede con esta sensación segura de control cuando la información va más allá de su alcance – fuera de su perímetro digital? Se la encripta.

He aquí algunos puntos a considerar para una encriptación efectiva – sin ceder control:

  1. Cumplir con las normas a través de la encriptación

Bajo las normas internacionales de privacidad, como el RGPD, el incumplimiento puede derivar en multas gigantescas que no podrá costear. Y, si bien los métodos de entrega como el TLS o el PGP son efectivos para proteger información en tránsito y de extremo a extremo, no sirven para cualquier situación – se necesitan opciones adicionales. Si una conexión TLS no se encuentra disponible, quizás quiera disponer de un procedimiento auxiliar automático, tal como portal web o adjunto encriptado – garantizando que la información sensible siempre esté protegida.

Explore los pros y los contras de los diferentes métodos seguros de entrega.

  1. Las políticas proactivas dejan menos lugar para errores internos

La encriptación es una característica de cualquier diseño de ciberseguridad serio – pero su aplicación en el mundo real aun sufre retrasos, según la información de Echoworx. Cuando una plataforma no es intuitiva y encriptar un mensaje es difícil, los remitentes tienden a tomar el camino más fácil – enviar información sensible sin protección. Instaurar políticas de encriptación proactivas no solo hace que la encriptación sea obligatoria con reglas predefinidas, sino que también mejora la funcionalidad de la plataforma al automatizar un proceso que puede volverse confuso.

Tome las políticas de encriptación entrante, por ejemplo. Cuando un cliente envía información sensible a una organización, como el numero de una tarjeta de crédito, a través de un canal abierto o no reconocido, existe la posibilidad que los filtros de email existentes marquen o bloqueen el mensaje por motivos de cumplimiento. Al instaurar políticas de encriptación entrante, los emails que ingresan con información sensible son automáticamente encriptados, antes de ser entregados a la bandeja de entrada del destinatario – sano, salvo y en regla.

 

  1. Mantenga el control de los controles de encriptación

Desde la elección de un proveedor de servicios de email hasta algo tan simple como un tipo de dispositivo, existen una variedad de formas en las que los destinatarios pueden estar involuntariamente controlando su propia experiencia de encriptación. Esto puede resultar ser perjudicial para sus experiencias de usuario – sobre todo si existen mejores métodos de entrega de encriptación para su situación. Utilizando políticas proactivas, su organización puede impulsar métodos de entrega seguros personalizados para clientes específicos. Usted podría, por ejemplo, fijar políticas que restrinjan TLS solo para colaboradores de confianza – o emplear encriptación de adjuntos para la entrega segura de estados de cuenta.

Vea casos de uso específicos de nuestra plataforma de encriptación OneWorld.

  1. Ofrezca una experiencia de encriptación coherente

Parte de una experiencia de usuario optimizada depende de una experiencia de usuario consistente – independientemente de que dispositivo, ubicación o conexión se tenga. Una experiencia de mensajería encriptada, por ejemplo, debería ofrecer la misma experiencia de usuario independientemente de si el mensaje se abre en una computadora de escritorio u offline en un dispositivo móvil – sin la necesidad de aplicaciones de terceros. Esta misma experiencia de usuario consistente también ayuda a optimizar el trabajo en entornos colaborativos.

Los contextos comerciales más comunes, por ejemplo, a menudo implican involucrarse con documentos sensibles a través de múltiples dispositivos y entornos. ¿Acaso el documento se verá y comportará de la misma manera offline y online? ¿Si se trabaja de forma colaborativa en un documento sensible, es la experiencia de usuario la misma para todas las partes involucradas?

Explore los distintos métodos de entrega que ofrece la plataforma de encriptación OneWorld de Echoworx.

  1. Sea capaz de retirar mensajes encriptados

La habilidad de retirar un mensaje comprometido aun después de que haya sido leído es una característica simple pero fundamental que proporciona control sobre una experiencia de encriptación. Ya sea que el mensaje haya sido enviado al destinatario incorrecto o que el mensaje ya no sea seguro, usted no debería perder control sobre un mensaje solo por presionar ‘enviar.’

  1. El branding es más que cambiar el color

El branding y la separación de las marcas es crucial para cualquier conglomerado de empresas. La habilidad de separar, segmentar y aplicarle branding a las interacciones del usuario según la marca puede significar cualquier cosa, desde cómo se recibe un mensaje seguro hasta el idioma deseado. Las marcas deberían aislarse también para prevenir que otras unidades de negocios espíen.

Conozca más acerca de la encriptación con OneWorld.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

25 Feb 2019
NHS goes fully digital

¡Adiós Fax Británica! ¿Acaso está llegando una nueva era sin papel al Sector Publio de Gran Bretaña?

El primero de enero de 2019, el Servicio Nacional de Salud de Gran Bretaña (NHS) hizo una gran movida digital – no más máquinas de fax. Si bien esto puede parecer insignificante, el mensaje subyacente es profundo: un total compromiso a los canales de mensajería digitales. Y, siendo el más grande empleador del sector público en el Reino Unido, con 1.2 millones de almas, las implicaciones de semejante movida podrían ser aún más profundas.

Contexto

Por varios años, el NHS ha estado amenazando con migrar hacia lo digital, eliminando gradualmente sus lentas comunicaciones por correo y poniendo en línea su sistema de salud nacional de más de 70 años. Y con problemas leves de usabilidad hasta los más serios, como la pérdida de 900,000 cartas de pacientes al final del 2017, el escándalo más grande del NHS hasta la fecha, las cosas tuvieron un comienzo turbulento.

Pero, encabezado por Matt Hancock, anterior ‘Ministro de Entretenimiento’, actual Ministro de Salud, ‘El Plan a Largo Plazo del NHS’ permanece inalterado y firme en su compromiso con todo lo digital. En términos de adopción digital, el informe de 136 páginas tiene un comienzo fuerte: “Prácticamente cada aspecto de la vida moderna ha sido, y continuará siendo, reformado radicalmente por la innovación y la tecnología – y la atención sanitaria no es la excepción.”[1]

El Fax ya no importa en lo más mínimo

Para 2020, el NHS apunta a librar su sistema completamente de las máquinas de fax – con una meta de eliminación total para marzo del año que viene. Entre otras cosas, esto significa que están desplazando su dependencia a un entorno completamente digital – impulsando su necesidad de una solución de encriptación efectiva a un nivel crítico. El Ministro Hancock incluye la necesidad de encriptación en la propuesta de un plan para construir una arquitectura digital para el NHS que pueda proveer una base fuerte para una nueva generación de servicios digitales.

Los ahorros son grandes

Migrar a un sistema sin papel a través de comunicaciones digitales les agrega un valor enorme a organizaciones como el NHS. Entre 2013 y 2016, por ejemplo, el NHS ahorró £136 millones (aproximadamente $178 millones) con su Servicio de Recetas Electrónicas (EPS) – un servicio de comunicación digital utilizado actualmente por el 93 por ciento de las consultas de medicina clínica en Gran Bretaña. Y se espera que algo tan simple como reservar turnos a través de canales digitales le ahorre al NHS unos ₤50 millones adicionales (aproximadamente $65 millones) por año.[2]

Una segunda ventaja de un futuro digital sin papel para el NHS es promover un servicio como un entorno líder para organizaciones de servicios sanitarios innovadoras. Siendo una plataforma de Salud y

Por Christian Peel, VP de Ingeniería, Echoworx

[1] https://www.longtermplan.nhs.uk/wp-content/uploads/2019/01/nhs-long-term-plan.pdf

[2] https://www.longtermplan.nhs.uk/wp-content/uploads/2019/01/nhs-long-term-plan.pdf

22 Feb 2019

¿Tiene información danesa? La Encriptación ahora es obligatoria en Dinamarca

Encriptar o no encriptar: esa ya no es la cuestión en Dinamarca – donde nuevas interpretaciones del Reglamento General de Protección de Datos (RGPD) están haciendo historia. A partir del primero de enero de 2019, todas las organizaciones que trabajen en cualquier medida con Dinamarca deberán aplicar una encriptación aceptable cuando comuniquen datos sensibles.

¿Por qué Dinamarca?

Si bien la RGPD aplica a todos los miembros de la UE y a sus ciudadanos, independientemente de donde residan, cada país tiene interpretaciones propias de partes especificas del reglamento. En el caso de Dinamarca, se ha adoptado una definición más literal de la Sección 9 del RGPD, abordando el ‘procesamiento de categorías especiales de datos personales.’ Como resultado de esto, cualquier información sensible en tránsito que entre en jurisdicción danesa debe estar protegida – lo que significa encriptación obligatoria.

¿Qué significa esto para los comercios daneses?

Cualquier organización con actividad comercial en Dinamarca o que involucre a ciudadanos daneses, aunque sea de forma tercerizada, deberá proteger su información ya sea con TLS o encriptación de extremo a extremo. Pero el cómo se apliquen las medidas de protección de datos también es importante. Una conexión TLS eventual, por ejemplo, donde las conexiones fallidas recurren al texto plano, no ofrece protección adecuada. Aquellos que no acaten a las nuevas reglas pueden recibir sanciones, o peor, multas aplastantes en las secuelas de una filtración. Se espera que esta novedad en el RGPD resulte en medidas similares en otros países de la UE.

Conozca más acerca de encriptación de métodos de entrega.

¿Qué medidas puede tomar una organización?

Desde que el RGPD entro en vigencia el mayo pasado, el mensaje desde Europa ha sido simple y claro: Proteja los datos personales o haga negocios en otro lado. Y, al adoptar políticas proactivas de privacidad por diseño, con el RGPD como punto de partida, una organización puede asegurarse de estar cumpliendo en la UE y en cualquier otro lugar donde existan políticas de privacidad similares. Por lo tanto este nuevo desarrollo danés debería ser visto como una ventaja competitiva – no un impedimento.

Si bien un sistema cerrado teóricamente podría funcionar para las compañías danesas que interactúen únicamente con ciudadanos daneses, esta mentalidad puede generar problemas de compatibilidad apenas se realicen actividades comerciales en el exterior. Una plataforma flexible de mensajes seguros puede ayudar a evitar problemas de compatibilidad y mantenerse en cumplimiento de las normativas.

Conozca más acerca de las funciones flexibles de la plataforma de encriptación OneWorld de Echoworx.

Por Christian Peel, VP de Ingeniería, Echoworx

25 Ene 2019
Protecting sensitive incoming data

Encriptación Entrante: El Cómo y el Porqué

Si bien su organización posee sistemas para encriptar emails salientes, ¿qué sucede cuando recibe un email que contiene información sensible? Si acaso no se encontrara encriptado, ¿lo rechazaría? ¿Acaso es captado por sus filtros de conformidad? Y de ser así, ¿qué mensaje está usted enviando al rechazarlo?

¿Qué es la encriptación entrante?

La encriptación entrante es el proceso mediante el cual los emails que contienen información sensible, como por ejemplo números de tarjetas de crédito, son encriptados antes de ser almacenados en los servidores de correo de una organización. Los filtros de encriptación entrante escanean todos los emails comparándolos contra un set establecido de reglas, revisando el contenido y los adjuntos, así también como a los destinatarios.

¿Por qué es necesaria la encriptación entrante?

Los estándares de seguridad PCI establecen que los emails que contienen información de titulares de tarjetas de crédito deben estar encriptados durante su transmisión a través de redes públicas abiertas y que la información de los titulares debe protegerse mientras esté almacenada. Esto significa que la información personal o sensible como los números de tarjeta de crédito no puede guardarse en su red sin estar encriptada.

Por ejemplo, usted puede dirigir una gran organización de venta minorista a la cual los clientes le envían consultas vía emails que contienen información sensible – como datos de tarjetas de crédito. A fin de cumplir con la legislación PCI, su filtro de correo podría estar configurado para bloquear o eliminar este tipo de emails. A su vez, esto podría conducir a la disconformidad de sus clientes al ver que sus emails no reciben respuesta – resultando en pérdida de ganancias y daño no intencional a su marca.

¿Cómo funciona la encriptación entrante?

Utilizar un sistema de entrega de PDFs Seguros les permite a las organizaciones minimizar su riesgo PCI. En lugar de hacer ellos mismos la encriptación, emplean un servicio tercerizado que provee encriptación de emails sobre la marcha accionada por políticas automatizadas en una plataforma con certificación PCI. Cuando los mensajes que contienen información sensible llegan encriptados y seguros, es menos probable que sean bloqueados por los servicios existentes de filtrado de emails.

Cualquier email entrante que active una política automatizada es automáticamente encriptado dentro de un PDF Seguro, junto con cualquier adjunto, antes de ser entregado directamente a la bandeja de entrada del destinatario. Luego de recibir el email, el destinatario simplemente descarga los adjuntos encriptados e ingresa una contraseña autorregistrada para autenticar, abrir y leer los contenidos.

Qué buscar en una solución de encriptación entrante efectiva

Proporcionar una alternativa de encriptación segura para todo el correo entrante no tiene por qué ser complicado. Utilizar un sistema de entrega de PDF Seguro no solo garantiza almacenamiento seguro para la información sensible, sino que también asegura que su organización cumplirá con las normas de privacidad y los estándares de seguridad.

Conozca más acerca de la encriptación entrante con Echoworx OneWorld.

Además de la entrega de PDFs Seguros, cualquier solución de encriptación que valga la pena debe ofrecer métodos adicionales de entrega segura, desde Portal Web hasta Archivos Adjuntos Seguros, SMIME/PGP y TLS. Aunque las respuestas y cualquier diálogo adicional se realicen a través de funciones de Respuesta Segura integradas, sus empleados podrán optar también por opciones adicionales para comunicarse de forma segura con sus clientes.

Conozca más acerca de los métodos de entrega de encriptación segura de Echoworx OneWorld.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

11 Ene 2019
Generation Z, Personal Data and Digital Trust: Unlike Any Before

Generación Z, Información Personal y Confianza Digital: Como Ninguna Otra Antes

Resuelva este acertijo: siempre estoy conectado – pero evito las situaciones sociales. Demuestro prestarles atención firme a los detalles – pero tengo la capacidad de concentración de un pez dorado. Brindo información personal de forma libre – pero exijo que se proteja. No confío en las corporaciones – pero me comunico con ellas como si fueran familia.

¿Quién soy?

Si adivinó que se trataba de un Millennial, usted va por el camino correcto. Pero estas características son más atribuibles a los miembros de la Generación Z – la primera generación de nativos digitales que nacieron a mediados de los 90 y en los 2000, y que florecerán en el mercado de consumo. Y dado a que conformarán un enorme 40 por ciento del total de los consumidores para el 2020 [1] con un poder adquisitivo de $44B, [2] este es el grupo para el que su organización tiene que prepararse – especialmente cuando se trata de la protección de datos.

¿Cómo comparte información digital la Generación Z?

Como nativos digitales, los Gen Z no conocen la vida sin estar conectados al mundo digital. Y ya que han pasado la mayor parte de sus vidas en línea, algunos de ellos hasta haciendo su primera aparición por selfi a través de un ultrasonido subido desde el vientre, se sienten mucho más cómodos con que sus datos más íntimos estén disponibles con el clic de un mouse. Están ‘siempre en línea’, y algunos miembros de la Generación Z chequean sus redes sociales cientos de veces por día o más. Esto se refleja en cómo comparten información digital.

Según datos de Echoworx, el nivel de confort con el que la Generación Z comparte información personal en línea está a la par o excede a las métricas de los Millennials. Por ejemplo, el 56 por ciento de la Generación Z no se opone a publicar su puntaje de crédito en las redes sociales. Esta misma métrica es considerablemente más baja para los Millennials, con 44 por ciento estando cómodos, y sigue bajando a través de las generaciones más viejas.

¿Los de la Generación Z son más crédulos? ¿O simplemente son más rápidos?

La capacidad de concentración promedio de la Generación Z es de 8 segundos según los datos del Digital Marketing Institute. Y como nativos digitales ansían recibir gratificación instantánea pagando el precio de los datos personales – sin considerar demasiado las consecuencias a largo plazo o preguntarse para qué se están usando sus detalles. Pero debido a su poca capacidad para prestar atención, los Gen Z son expertos en filtrar y retener la información que se les presenta. [3]

Entonces, ¿son crédulos? No. Pero esto no necesariamente significa que son responsables. Y su velocidad digital de relámpago puede conllevar a prácticas desprolijas cuando de proteger sus datos se trata. Por ejemplo, según datos de Echoworx, casi la mitad de los Gen Z cambian sus contraseñas digitales con regularidad. Compare esta misma figura con la de los Millenials; casi tres cuartos de ellos actualizan sus credenciales de ingreso en línea regularmente.

¿Los Generación Z son descuidados con sus datos personales digitales?

Para poder entender el punto de vista de un Gen Z, necesita ver las cosas desde su perspectiva. Por ejemplo, ¿les confiaría a sus padres su SIN? ¿Le pediría consejos a su hermana sobre la mejor forma de pelar una manzana? Si contesto que sí, simplemente substituya a su pariente por un influencer en línea o por una de sus marcas favoritas. Si siempre está en línea, usted vive en línea.

Y usted confía en las personas que le importan para que lo dirijan en la dirección correcta. Es por esto que los Gen Z se sienten tan cómodos con proveerles detalles o recibir consejos por parte de marcas o influencers.

Cuando lo ve desde esta perspectiva, el divulgar información personal en línea sin reparos no es tan loco como suena para las generaciones más antiguas.

Y las generaciones más antiguas tampoco son perfectas. Según una reciente Gallup Poll, casi un cuarto de estadounidenses fueron víctimas del cibercrimen en el 2018. [4] Esto es a pesar del reclamo que el 71 por ciento de las personas encuestadas que se preocupan por el cibercrimen y dos tercios de estadounidenses hace, según los datos del American Bankers Association (ABA), de que toman medidas para proteger datos sensibles. [5]

La confianza digital es un juego frágil para jugar

A diferencia de sus equivalentes fuera de línea, la confianza digital tiene su propia presunción en que si es fácil de obtener, es aún más fácil de perder y casi imposible de recuperar. De hecho, según datos de Echoworx, más de tres cuartos de la Generación Z considera dejar las marcas luego de una brecha de información. ¿Entonces cómo se juega el juego?

Fácil. Los protege.

Según Deloitte, las expectativas de los clientes en línea están atravesando un pico histórico, y sus clientes exigen tener control sobre sus datos personales. Y un gran 69 por ciento del total de los clientes no cree que las organizaciones estén haciendo todo lo que pueden para proteger sus datos. [6] Pero según los datos del ABA, casi la mitad de los estadounidenses sigue confiando en industrias tradicionales como los bancos y la industria del cuidado de la salud. [7]

Mientras que algunos tal vez vean a esta nueva fascinación con la obtención de datos personales como algo perjudicial para hacer negocios – su organización debería verla como un diferenciador competitivo. Si su marca se lanza de lleno en una misión para proteger los datos de los clientes, empleando las mejores prácticas proactivas como por ejemplo, una experiencia de encriptación personalizada y enfocada en el cliente para los documentos sensibles en tránsito, sus clientes lo notarán.

Conozca más sobre mantener la confianza digital de sus clientes.

Por Nicholas Sawarna, Especialista Sr. de Marketing de Contenido, Echoworx
——
[1] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog
[2] https://www.forbes.com/sites/kristinwestcottgrant/2018/05/09/data-privacy-social-media-visual-content-adobe-through-the-lens-of-generation-z/#5c812c243a9c
[3] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog
[4] https://bankingjournal.aba.com/2018/12/gallup-poll-quarter-of-americans-victimized-by-cybercrime/
[5] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/
[6] https://www2.deloitte.com/insights/us/en/industry/technology/digital-media-trends-consumption-habits-survey.html
[7] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

28 Dic 2018

¿Año Nuevo? ¡Nuevos Desafíos de Seguridad de la Información!

A medida que nos vamos acercando al Año Nuevo, reflexionamos sobre las pruebas, tribulaciones y desafíos que se enfrentaron el año pasado – antes de esbozar las resoluciones específicas para estos problemas. En el mundo de la seguridad de la información, estas mejoras normalmente se encuentran dentro de los dominios de identificar las amenazas, prevenir los problemas de ciberseguridad y mantenerse al día con lo último y mejor de la tecnología de protección de datos.

¡Y qué año tan ocupado ha sido este! Desde la introducción de nueva legislación para construir privacidad como la GDPR o la AB 375 de California, hasta la introducción de leyes que destruyen la privacidad como las nuevas leyes de encriptación de Australia que exigen puertas traseras para los datos, ha sido una verdadera montaña rusa. También hemos visto cómo las brechas de datos y las instancias de ransomware hacen que incluso los conglomerados masivos como Marriot se pongas de rodillas.

Así que, ¿qué es lo que tiene que hacerse en el 2019?

La desafortunada realidad del mundo de la seguridad de la información es que parece que las nuevas amenazas y estafas, y los nuevos y preocupantes actores maliciosos aparecen de la nada todos los días. Mantenerse al día con esta información que constantemente cambia es suficiente para hacer que alguien se vuelva loco. Y las consecuencias de quedarse atrás pueden ser perjudiciales para su negocio,  su reputación y finalmente, sus clientes.

Este último año, nuestro Distinguido Ingeniero de Software en Echoworx, Slava Ivanov, ha hecho de su misión reunir y coagular los últimos trucos y consejos en ciberseguridad en un conciso documento serial 101 de definiciones. Desde temas más livianos como la nueva tecnología japonesa emergente de ‘autenticación posterior’, que otorga acceso a un sistema o máquina por medio de ‘huellas de trasero’, a problemas de seguridad de la información más serios como el spearfishing o problemas de protección de datos como la criptografía pez globo que se usa en la encriptación, el índice de términos de Slava le ofrece un excelente manual básico a cualquiera que esté empezando a investigar un término.

Así que, antes de formalizar las resoluciones de Año Nuevo de su organización este año, ¡considere echarle un vistazo rápido al ‘Information Security 101’ de Slava para ver si hay algo de lo que se perdió en el 2018!

Haga clic aquí para buscar los términos y definiciones de la seguridad de la información con mayor tendencia el año pasado.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

18 Dic 2018
Australia demands encryption backdoors

Problemas en la Tierra de Oz: Las nuevas y controversiales puertas traseras de la información en Australia

Poderosas amenazas a nuestro derecho a la privacidad se están creando en Australia – una nación tradicionalmente conocida por su dedicación a los valores democráticos del Commonwealth. A partir de diciembre de 2018, Australia tiene una nueva legislación que permite que los servicios de inteligencia estatales y los organismos de seguridad y de orden público exijan tener acceso información sensible encriptada perteneciente a organizaciones específicas.

A medida que otros gobiernos simpatizantes vayan tomando nota de estos sucesos, esta legislación podría significar el comienzo de tiempos difíciles para la privacidad digital y para el modo en que almacenamos y compartimos información sensible.

Pero antes – un poco de contexto:

Desde su creación, los miembros del colectivo de organizaciones de inteligencia y orden público denominado ‘Five Eyes’, provenientes del Reino Unido, Estados Unidos, Canadá, Nueva Zelanda y Australia, han estado cabildeando por años para tener más acceso a sus ciudadanos. Obtener acceso a los datos privados de los ciudadanos representa no solo la oportunidad de vigilar a aquellos pocos entre nosotros que poseen intenciones maliciosas – sino también la oportunidad de controlar a sus poblaciones.

En tiempos recientes, esto se ha manifestado en el ámbito digital – desde la creación de legislación, como la Ley PATRIÓTICA del gobierno de los Estados Unidos o la Ley de Regulación de Poderes de Investigación del Reino Unido, al uso de peligrosos eufemismos como “encriptación responsable”. La información digital sensible es un tesoro rico para los “Five Eyes”, quienes por años han estado impacientes ante la idea de hacerse con ella.

Las puertas traseras siguen siendo puertas

En términos simples, la nueva legislación de privacidad aprobada por el Parlamento Australiano exige que los proveedores tercerizados de servicios digitales creen puertas traseras, con las que los organismos estatales puedan acceder a información completamente encriptada cuando sea solicitado. Si bien es cierto que pueden hacer estos requerimientos de manera formal a las distintas organizaciones, cabe señalar que ahora también tienen el poder de dirigirse a individuos dentro de organizaciones específicas, desde Sally la CEO hasta Bill el empleado de TI, para que estos provean el acceso de puerta trasera cuando les sea pedido.

Y estas demandas tienen serias consecuencias.

Si una organización rechaza una solicitud de un organismo estatal australiano, como una agencia de seguridad y orden público, enfrentarán multas de millones de dólares. Los individuos que no cumplan con estas normativas enfrentarán la posibilidad de pasar tiempo en prisión.

¿Suena atemorizante?

Se pone peor.

El impacto global de estas nuevas leyes de privacidad

Como miembro de los “Five Eyes”, Australia es un actor importante en la comunidad global de inteligencia. Este país y su legislación no solo ayudan a sentar una parte considerable del estándar en cuanto a lo que es aceptable que hagan los organismos de inteligencia de los gobiernos – sino que también han creado un peligroso precedente que podría servir de ejemplo para otros miembros del colectivo “Five Eyes”.

El peligro de medir la profundidad de un río con ambos pies

Una consecuencia no deseada de crear estas puertas traseras son las nuevas potenciales vulnerabilidades que representan para las organizaciones del gobierno australiano que las solicitan. Aunque alegan haber resuelto problemas de seguridad nacional importantes, con su nueva habilidad para espiar a sus propios ciudadanos, irónicamente el gobierno australiano ha creado peligrosas vulnerabilidades en sus propios sistemas, listas para ser explotadas por agentes maliciosos.

¿Qué puede hacerse al respecto?

En Echoworx, así como en toda la comunidad de ciberseguridad, creemos firmemente en la protección de la información encriptada. Sin la posibilidad de enviar y recibir información confidencial a través de plataformas digitales, la privacidad de todos está en riesgo, y lo que es peor, podríamos estar abriendo puertas para los mismos criminales que intentamos detener.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

01 Dic 2018
Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

DICIEMBRE |

P: ¿CONFUNDIDO CON LA INTERNET, LA WEB PROFUNDA O LA WEB OSCURA?

R: La Internet consiste de recursos en línea que se encuentran disponibles por medio de motores de búsqueda, como por ejemplo, los sitios web que usamos para hacer compras, llevar nuestra banca o socializar. La Web Profunda es la parte de Internet que no está indexada por los principales motores de búsqueda. Para visitar tales lugares, usted necesitaría ir directamente a la fuente. No es necesariamente maliciosa, solo demasiado grande para indexarse. La Web Oscura es la parte de la Web Profunda que no solamente está sin indexar sino que también requiere acceso especial. A menudo la Web Oscura está basada en subredes adicionales, como la Tor o la Freenet, y a menudo está asociada con actividades criminales.

P: ¿QUÉ ES LA ‘AUTENTICACIÓN POSTERIOR’?

R: Cuando hablamos de seguridad biométrica, normalmente nos referimos al reconocimiento de rostro o a las huellas digitales – pero este método de autenticación se trata enteramente de su trasero. Unos investigadores japoneses han desarrollado un asiento con 360 sensores que aparentemente miden el hueco de su asiento, en otras palabras, ‘la huella del trasero’, o la presión del trasero. Los investigadores alegan una precisión del 98% en la identificación correcta de la persona sentada. Nada mal, ¿eh? Este método de autenticación podría tener aplicaciones en efectivos sistemas antirrobo para nuestros autos o inclusive ser otro método más para ingresar a su dispositivo una vez que esté sentado detrás de su escritorio.

P: ¿QUÉ ES UN KEYLOGGER?

R: Los keyloggers también se conocen como registradores de teclas. Hay muchos tipos de keyloggers con base en una variedad de métodos de registro de teclas que incluyen a dos que son muy conocidos: los keyloggers basados en software y los keyloggers basados en hardware. Los keyloggers de hardware normalmente se acomodan entre un teclado y un dispositivo. Como funcionan enteramente con hardware, los software de seguridad no podrían detectarlos. Los keyloggers de software se pueden crear en rootkits o en otras formas menos detectables. Si bien los programas son legales, muchos de ellos se usan con el propósito de robar información confidencial. Detectar cualquier tipo de keylogger es una tarea difícil ya que están diseñados para permanecer escondidos.

NOVIEMBRE |

P: ¿QUÉ ES LA INGENIERÍA SOCIAL?

R: La ingeniería social es el arte de manipular a la gente con el objetivo de que revelen información confidencial. Incluso los sistemas más seguros que no pueden ser penetrados por medios digitales o criptográficos pueden ser comprometidos simplemente llamando por teléfono a un empleado de la organización como blanco del ataque, haciéndose pasar por un compañero o un empleado del equipo de TI. Algunas de las técnicas de ingeniería social más conocidas son el phishing, el clickjacking, el vishing y el baiting. No existe una solución simple para prevenir un ataque de ingeniería social, pero la mejor defensa es educar al usuario y generar consciencia en seguridad.

P: VULNERABILIDAD VS. EXPLOIT: ¿CUÁL ES LA DIFERENCIA?

R: Una vulnerabilidad de seguridad es una falla no intencional de software o en un sistema que lo deja abierto para un abuso potencial, como por ejemplo, un acceso no autorizado o comportamientos maliciosos tales como virus, worms y otros malware. Exploit es otro término que se usa para describir una vulnerabilidad de seguridad; sin embargo, es un problema real y existente, contrario a uno potencial. Por ejemplo, una cerradura rota en la puerta de su cabaña o casa de campo sería una vulnerabilidad que debe ser tratada más pronto que tarde, pero una puerta con la cerradura rota en una gran ciudad sería un ejemplo de exploit – puede haber personas en el área tratando activamente de aprovechar esta conocida vulnerabilidad.

P: ¿QUÉ ES UN PENTEST?

R: Pen test es la abreviatura de test de penetración. Es un ejercicio de seguridad donde un experto en ciberseguridad de confianza intenta encontrar las vulnerabilidades de un sistema antes que atacantes maliciosos las puedan aprovechar. Para producir un reporte pentest, el sistema es blanco de ataques simulados: fuerza bruta, inyecciones SQL, etc. Los resultados se comparten con el equipo de seguridad de la compañía para la implementación de parches y arreglos posteriores. A fin de mantener seguro al sistema, el pen test debería realizarse regularmente, en especial cuando se añaden nuevas tecnologías.

P: ¿QUÉ TIENE QUE VER LA CIA CON LA CIBERSEGURIDAD?

R: En Seguridad Informática, la triada CIA significa Confidentiality, Integrity and Availability, Confidencialidad, Integridad y Disponibilidad por sus siglas en inglés – a no confundir con la Agencia Central de Inteligencia de los Estados Unidos. Confidencialidad – mantener segura la información sensible; la encriptación es una solución confiable para garantizar la confidencialidad. Integridad – mantener la información intacta; los hasheos criptográficos y las firmas digitales se utilizan para verificar que la información no haya sido alterada. Disponibilidad – mantener la información accesible; El planeamiento estratégico y la distribución de los recursos garantiza que los servicios y aplicaciones estén disponibles las 24 horas del día, los siete días de la semana. Esto incluye planes de respaldo, recuperación de datos y escalabilidad de servicios.

OCTUBRE |

P: ¿QUÉ ES UN BOTNET?

R: La palabra Botnet” es una combinación de las palabras robot y network (red). El botnet se conoce por ser un grupo de dispositivos conectados a internet – Internet de las cosas, dispositivos móviles, computadoras y redes – afectadas por malware. Cada dispositivo comprometido se llama “bot” y puede ser controlado remotamente por un originador, al cual se lo conoce como “bot master”. Los cibercriminales rentan los Botnets cada vez más como bienes y comúnmente, los utilizan en ataques de DDoS. Los Botnets son capaces de aprovechar el poder de procesamiento colectivo de un grupo de computadoras, enviando grandes volúmenes de spam, robando credenciales en masa o espiando gente y organizaciones.

P: ¿ EL CRYPTOJACKING ES UNA NUEVA AMENAZA EN LA SELVA?

R: Cryptojacking es el uso no autorizado de la computadora de una víctima para minar criptomonedas. Según un reporte de seguridad reciente de Symantec, el cryptojacking salió de la nada y explotó como nada lo hizo antes. Los hackers lo ven como un modo fácil y barato de hacer más dinero con menos riesgo.  A diferencia de otros tipos de malware, el cryptojacking no daña la computadora ni la información de la víctima. Pero, ya que roba recursos de procesamiento del CPU, el dispositivo de la víctima vera su ciclo de vida reducido, un mayor consumo de energía y problemas generales de desempeño.

P: ¿QUÉ ES EL SPYWARE?

R: El Spyware es un tipo de software malicioso que se instala en su computadora, a menudo sin que usted lo sepa. Está diseñado para monitorear sus actividades y recolectar y reportar datos a compañías para fines de mercadeo. La recolección de datos a menudo incluye su información personal, como su nombre, dirección, hábitos de navegación, preferencias, intereses y descargas. Además de ser una invasión de privacidad, este software puede causar serios problemas de rendimiento.

P: ¿QUÉ ES EL ATAQUE DE CUMPLEAÑOS?

R: El Ataque de Cumpleaños es un tipo de ataque de fuerza bruta basado en la paradoja del cumpleaños, la cual dicta que, de 253 personas en una habitación, hay un 50% de posibilidad de que alguien tenga su misma fecha de nacimiento; sin embargo, solo 23 personas necesitan estar en la habitación para que haya un 50 % de probabilidad de que 2 personas cualquiera compartan el mismo cumpleaños. Esto es porque los emparejamientos se basan en pares. Este fenómeno estadístico también aplica para encontrar colisiones en algoritmos de hasheo porque es mucho más difícil encontrar algo que colisione con cualquier hasheo que encontrar dos ingresos cualesquiera que tengan el mismo valor de hasheo.

P: ¿QUÉ ES LA POLÍTICA DE MISMO ORIGEN?

R: En informática, la Política de Mismo Origen es un mecanismo de defensa del navegador que garantiza que ciertas condiciones se cumplan antes que algún contenido (usualmente JavaScript) sea ejecutado cuando se lo obtiene de cualquier aplicación web. Bajo esta norma, el navegador permite que un script de una página acceda a información en otra página solo cuando ambas tienen el mismo origen; ya que el origen es una combinación de protocolo de recursos de red, dominio y puerto.

SEPTIEMBRE |

P: ¿SON LOS PROYECTOS DE CÓDIGO ABIERTO MÁS SEGUROS QUE LOS DE PROPIETARIOS?

R: Un concepto erróneo muy común es que los proyectos de código abierto son más seguros, ya sea porque todos pueden inspeccionar el código fuente, o porque tantos ojos están viéndolo. Y, viceversa, un producto comercial de una bien conocida compañía es más segura porque todos confían en ella. La seguridad del proyecto proviene de una combinación de muchos factores, incluyendo cuantos desarrolladores están trabajando en él, cuáles son sus antecedentes, control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones horriblemente inseguras provenientes de ambos campos.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: La Falsificación de Petición de Sitios Cruzados (Cross-site Request Forgery) es el tipo de ataque en una página web donde un intruso se hace pasar por un usuario de confianza. Por ejemplo, la etiqueta de una imagen en una página web puede estar comprometida y dirigir a una URL asociada con una acción; cuando el usuario carga la página, el navegar ejecuta esta acción y el usuario puede no estar al tanto de que tal ataque ocurrió. El ataque puede ser usado para modificar la configuración del cortafuegos, publicar información no autorizada en un foro o realizar transacciones financieras fraudulentas.

P: ¿POR QUÉ MI IDENTIDAD PKI INCLUYE DOS CLAVES?

R: un par de claves públicas y privadas es un par de claves asimétricas que realizan las funciones de cifrado/descifrado de una transmisión segura de datos. La Clave Pública es pública y está disponible para todos. Por otro lado, el respectivo dueño de la Clave Privada debe mantenerla confidencial. Al encriptar datos, se usa la clave pública del destinatario – y solo el receptor podrá descifrarla. Al firmar, la clave privada se usa para confirmar la identidad del remitente.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: la Falsificación de Petición en Sitios Cruzados (CSRF) es un tipo de ataque que se lleva a cabo en un sitio web donde un intruso se camufla como usuario legítimo y de confianza. Por ejemplo, una etiqueta de imagen de página web puede estar comprometida y dirigir hacia una URL asociada con alguna acción; cuando el usuario carga esta página, el navegador ejecuta esta acción y es posible que el usuario no sepa que dicho ataque se produjo. El ataque puede usarse para modificar la configuración del firewall, publicar datos no autorizados en un foro o realizar transacciones financieras fraudulentas.

P: ¿SON LOS PROYECTOS DE FUENTE ABIERTA MÁS SEGUROS QUE LOS PRIVADOS?

R: un concepto erróneo común es que los proyectos de fuente abierta son más seguros, ya sea porque cualquiera puede inspeccionar el código fuente o porque muchos ojos lo están viendo. Y viceversa, se cree que un producto comercial de una empresa conocida es más seguro porque todos confían en ella. La seguridad del proyecto proviene de una combinación de varios factores, incluyendo cuántos desarrolladores están trabajando en él, cuáles son sus antecedentes, el control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones terriblemente inseguras que provienen de ambos campos.

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

AGOSTO |

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

JULIO |

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

JUNIO |

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

MAYO |

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

ABRIL |

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

MARZO |

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

FEBRERO |

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

ENERO |

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO

27 Nov 2018
protecting your customers is more than just building a bigger firewall

¿El Mundo Dado Vuelta? Confianza Digital, Paradoja y Encriptación

Ganarse la confianza de un cliente es una recompensa obtenida solamente después de muchos años de cuidadosa promoción de la marca, servicio y calidad de producto superior. Y un cliente confiado es un cliente leal con quien usted puede contar para trabajar – en las buenas y en las malas.

¿No?

No exactamente.

Cuando se trata de adquirir confianza digital, los enfoques tradicionales pueden volverse patas arriba rápidamente. Paradójicamente, a diferencia de las delicadas relaciones offline que uno nutre tan cuidadosamente, obtener confianza digital es pan comido – un pan viscoso y empalagoso – donde es más probable que los usuarios compartan más detalles personales con usted que con la persona con la que están saliendo. De hecho, según la investigación de Echoworx, el usuario promedio se toma tan solo 30 segundos para evaluar la seguridad de un email antes de envíalo junto con su información más personal.

¿Suena atractivo? Lo es. Quizás incluso demasiado atractivo – ya que la facilidad con la que se logra que los clientes confíen en su marca online viene con un enorme precio de responsabilidad que es demasiado para manejar para aquellos desprevenidos digitalmente. Y usted está tan solo a un desliz de perderlos para siempre –  con el 80 por ciento de los clientes que consideran dejar su marca luego de una vulneración.

Así que, asumiendo que su organización invirtió tanto dinero y tiempo en construir su marca, ¿por qué arriesgarse a no proteger adecuadamente la información sensible para evitar que todo se desmorone? Aquí es cuando repentinamente las inversiones preventivas en ciberseguridad comienzan a tener sentido – en el sentido organizativo.

En el pasado, la ciberseguridad era tradicionalmente vista más como un asunto interno. En términos simples, el mantra era, si mantiene a los malos afuera, el dinero permanece en el banco. Pero, dada la visión cliente-centrista actual sobre la proveeduría de servicios digitales, las reales amenazas de ataques de ransomware, esta visión ha evolucionado a un problema organizativo – una crisis de marca.

Entonces, ¿cómo se previene la perdida de los clientes?

Fácil: Se los protege.

Y proteger a sus clientes es más que solo construir un cortafuegos más grande. También debe considerar a la información que sale de su jardín amurallado de información. Si bien la encriptación es una forma efectiva de asegurar sus Comunicaciones, las soluciones toscas pueden hacer que sus mensajes se vean como spam – en detrimento del cliente o usuario final y por lo tanto frustrando el propósito.

Los mensajes seguros encriptados deberían lucir auténticos y ser flexibles para atender las necesidades de su base de clientes. La identificación de su marca, idiomas, y cualquier otro detalle especifico a su organización deberían ser personalizables para no afectar la experiencia del usuario. Esto no solo elimina la confusión (algo con lo que los estafadores prosperan) sino que también es sinónimo de buen servicio al cliente.

También debe considerar ofrecer múltiples métodos de entrega para satisfacer las distintas necesidades de sus clientes. Por ejemplo, a veces usted querrá encriptar un documento, no el mensaje entero. Podría buscar un método de entrega que permita solamente encriptación de archivos adjuntos.

Mientras más imiten sus mensajes encriptados la imagen y sensación de sus comunicaciones normales, sin sacrificar la experiencia del usuario, más confiaran sus clientes en sus interacciones digitales con usted. Y mientras más los proteja, menos probable será que usted sufra una devastadora vulneración. Así es como invertir en privacidad de datos no solo es bueno para proteger su infraestructura organizativa – sino que también es bueno para su negocio, su marca y es simplemente, buen servicio al cliente.

Por Lorena Magee,  la Vicepresidenta de Marketing en Echoworx

27 Nov 2018
TLS encrypted delivery

¿Es TLS lo suficientemente bueno para emails seguros?

En lo que a recolección de información sensible del cliente respecta, uno simplemente no puede correr riesgos. Sus clientes confían en usted y usted debe protegerlos – y a sus detalles más personales. Pero si bien proteger su perímetro digital es importante, su organización también necesita garantizar que la información sensible permanezca segura durante el tránsito.

Una forma de lograr esto es promover una solución de encriptación TLS. Pero, ¿qué es TLS exactamente? ¿Cómo funciona? ¿Y cuándo es lo suficientemente bueno para un email seguro?

He aquí lo que debe saber acerca de TLS:

¿Qué es TLS?

En otras palabras, TLS, abreviatura de ‘Transport Layer Security’, es un método para encriptar la conexión entre dos partes que se están comunicando a través de internet – imagine un túnel encriptado. TLS puede aplicarse al email para prevenir que ojos indeseados vean los mensajes en tránsito – o de acceder a datos trasmitidos entre un usuario y un sitio web. La simpleza de este tipo de encriptación la convierte en uno de los tipos de entrega más populares.

¿Cuándo es necesaria más seguridad en los mensajes?

TLS es uno de los principales y más simples métodos de entrega de mensajes seguros. ¿Pero es lo suficientemente seguro? Depende – díganoslo usted.

¿Tiene usted acceso a métodos de encriptación alternativos si una conexión TLS no se encuentra disponible? ¿Cuáles son exactamente sus necesidades de seguridad? Está preocupado por terceros, como Google vía Gmail, ¿escaneando su correspondencia? ¿Está preocupado por un ataque de tipo “man-in-the-middle”, donde una comunicación segura se encuentra comprometida? Estas son solo algunas de las preguntas que debe hacerse al momento de determinar si TLS es lo suficientemente Seguro para usted.

¿Cómo se obtiene más seguridad en mensajes?

Si bien los mensajes con encriptación TLS regular tienen sus beneficios, este método de entrega no siempre cumple con todas y cada una de las necesidades de sus clientes. Es por eso que Echoworx OneWorld va más allá, ofreciendo automáticamente más métodos de encriptación. OneWorld también ofrece flexibilidad dentro del entorno TLS – con la posibilidad de crear políticas específicas para el uso de TLS y pies de página de emails personalizados con su marca destacando que un mensaje ha sido entregado exitosamente.

¿Existen alternativas seguras a TLS?

En instancias donde TLS no es lo más recomendable, usted necesita tener otras opciones – para garantizar que ningún mensaje salga sin encriptación o hacia un entorno comprometido. Y existe una variedad de otras opciones de entrega segura disponibles, desde métodos de encriptación de llave publica, como S/MIME Y PGP, a Portales Web Seguros.

La Plataforma de Encriptación OneWorld de Echoworx ofrece todas estas opciones, además de archivos adjuntos encriptados. Y, ya que OneWorld chequea si TLS se encuentra disponible previo al envío, los mensajes sensibles nunca son enviados sin encriptación.

Vea más métodos de entrega de mensajes seguros.

Por Christian Peel, VP de Ingeniería, Echoworx

22 Oct 2018
Am i a data controller or data processor

UNA PAREJA FORMADA EN LA NUBE: EL CONTROLADOR DE DATOS Y EL PROCESADOR DE DATOS

La Regulación General de Protección de Datos (GDPR) entró en vigencia el 25 de mayo de 2018. Particularmente, la RGPD les da a los individuos más control sobre su información personal, y requiere que las compañías sean claras sobre porque recolectan información. Bajo la RGPD, las corporaciones que acceden a información de clientes son definidas como controladores y/o procesadores. Cualquier corporación que haga negocios dentro de la UE o con ciudadanos o residentes de la UE deben cumplir con la RGPD, aun si está radicada fuera de Europa.

¿Cuál es la relación entre controladores y procesadores?

El controlador es la persona, compañía o agencia que determina que información será recolectada, de quien y para qué fin. El controlador También determina donde y como se almacena la información personal. El procesador es la persona compañía o agencia que procesa información en nombre del controlador. En efecto: el controlador busca almacenamiento de datos, y el procesador provee el almacenamiento. Pero ambos están sujetos a las normativas de la RGPD.
En la mayoría de los casos, los controladores cargaran datos a un procesador. A su vez el procesador, procesara dicha información y la almacenara en la nube. Pero, ya que el controlador retiene el control sobre la información, la confianza en el procesador es esencial.

He aquí algunas preguntas a considerar:

  • ¿Sabe Usted donde están localizados los servidores del procesador?
  • ¿Cumple su procesador con la RGPD?
  • ¿Son sus procesos en la nube seguros? ¿Pueden probarlo con auditorias hechas por terceros?
  • ¿Su procesador está certificado por WebTrust? ¿Cumple con la normativa SOC 2?

Los controladores también deben ser claros acerca de las políticas de retención de datos. Los individuos deben saber durante cuánto tiempo su información será almacenada, y la información no puede ser retenida más de lo necesario. Al finalizar dicho periodo, toda la información debe ser destruida. Los procesadores que almacenan datos en múltiples sistemas deben tener procedimientos establecidos para asegurar que los datos puedan ser eliminados.
Como procesador de datos, Echoworx solo entrega emails a usuarios finales. Almacenamos todos los emails de forma encriptada, y los eliminamos inmediatamente. Cumplimos totalmente con la RGPD.

¿Qué significa esto para mí?

Existen muchas instancias donde las organizaciones pueden encontrar puntos de contacto en la relación controlador/procesador. Las actividades bancarias, por ejemplo: Usted puede ser un gran banco que simplemente tiene demasiados clientes para proveer encriptación de datos confiable y efectiva de forma local. Su banco firma un acuerdo contractual con un tercero que se encargue de encriptar y enviar grandes volúmenes de informes financieros. Ya que Usted retiene el control sobre el contacto con el cliente y los detalles de los informes, su rol en esta relación es el de un controlador de datos – en cambio la plataforma de encriptación del tercer, que procesa los datos para un tránsito seguro, es el procesador de datos.

En última instancia, Usted es responsable por garantizar la seguridad de los detalles confidenciales del cliente – desde algo simple como su dirección hasta algo más complejo como su historial financiero. Y, bajo normativas como la RGPD, e incluso nuevas regulaciones, como la AB 375 de California, Usted también es responsable de garantizar que los terceros que actúen como sus procesadores se atengan a sus estándares de seguridad.
Para ayudar a establecer un punto de partida sobre lo que es necesario, Usted tal vez quiera considerar invertir en una auditoria de ciberseguridad llevada a cabo por un tercero – he aquí lo que necesita saber.

El Foro de Intercambio de Liderazgo en Ciberseguridad (CLX Forum) provee conocimiento adicional

Una discusión sustancial sobre la RGPD y sus implicaciones se dio en CLX Forum, una comunidad de pensadores lideres canadiense, en su libro Ciberseguridad Canadiense 2018: una Antología de las Perspectivas a nivel Empresa de los CIO/CISO. Entre muchas observaciones interesantes, Edward Kiledjian, VP de Seguridad de la Información, Conformidad y CISO en OpenText, analiza la cuestión de quien es propietario de la información personal. Mientras que esto aún debe ser definido en Norte América, la RGPD es clara en tanto que, en Europa, los ciudadanos son ahora dueños de su información. En cualquier momento, un ciudadano de la UE puede revocar el derecho de una organización de almacenar sus datos personales. Y si un ciudadano de la UE le pide a una organización que destruya sus datos, la organización debe hacerlo dentro del mes siguiente. También es importante notar que la información recolectada previamente no está exenta de estas normativas. Si su organización ha recolectado datos de residentes de la UE en el pasado, los controladores deben obtener consentimiento para el uso actual de esa información. [1]
Otro aspecto importante de la RGPD es que su agencia reguladora evalúa activamente la seguridad. Como parte de este proceso, también mide como responden las compañías a los ataques. Como lo indica Amir Belkhelladi, Socio y Asesor de Riesgo en Deloitte Canadá, las juntas directivas corporativas son directamente responsables a los ojos de la agencia reguladora de la RGPD. Las juntas deben entender como la información es recolectada, utilizada, almacenada y destruida. También deben garantizar que la administración siga estas nuevas normativas. [2]

Multas con dientes

Antes de la RGPD, las compañías se preocupaban principalmente por el impacto reputacional de una vulneración de ciberseguridad. Ahora, en adición a un altísimo daño a la marca, existen serias implicaciones financieras por fallas de seguridad. Las compañías que no protegen adecuadamente la información pueden recibir multas de hasta 20 millones de Euros, o el 40 por ciento de sus ingresos globales anuales, lo que sea más alto. Las compañías tienen tan solo 72 horas para reportar una vulneración, y están obligadas a notificar a los clientes “sin demora innecesaria” luego de percatarse de una vulneración.

Las compañías que no provean bienes o servicios a residentes de la UE no están obligadas a cumplir con la RGPD. Pero el protocolo RGPD también aplica a residentes de la UE que vivan en el exterior y a compañías que contraten a terceros con conexiones con países de la UE. Para aquellos que continúen haciendo negocios en Europa, la privacidad por diseño se convertirá en su nuevo lema. Las organizaciones deben garantizar que sus sistemas cumplan con estos exigentes estándares. ¿Acaso algunas organizaciones pequeñas tomaran la decisión de que ya no pueden hacer negocios con ciudadanos de la UE? Casi con toda certeza. Pero para cada organización que opere en Europa, cumplir con estas normativas debería ser obligatorio. Y ya que la RGPD es el más exigente conjunto de normativas jamás promulgadas, las compañías que cumplan pueden estar seguras de que están cubiertas a nivel mundial.

Por Nicholas Sawarna, Especialista en Contenido de Marketing Sr. Echoworx

——

[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

¿Como es ‘la confianza’ la nueva divisa de los bancos?

Una encuesta reciente de Echoworx reveló que casi la mitad de los clientes envían información personal vía email y confían en la seguridad de un email en 30 segundos o menos. ¿Pero está justificada esta confianza? Cuando se les preguntó, solo el 40 por ciento de las organizaciones con capacidad de encriptación usan la tecnología de forma exhaustiva para proteger información sensible – con un tercio de los emails que deberían estar encriptados siendo enviados por vías abiertas. Más preocupante es que la mayoría de las vulneraciones pasan desapercibidas, y que el 61 por ciento de los empleados admite enviar información confidencial en emails desencriptados.

La confianza es crucial

Mark Carney, gobernador del Banco de Inglaterra, dice que mantener la seguridad y la confianza del público es el rol primario de los bancos centrales. Además, el “pasado, presente y futuro” de las instituciones financieras depende de la confianza del público.[1]

Y para ser fidedigno, de acuerdo con un reporte reciente de Javelin, un banco debe ser fiable en cuanto a cómo protege la información sensible de sus clientes. Esta fiabilidad se traduce a cómo se almacena la información personal, las medidas proactivas tomadas para prevenir accesos indeseados a sus cuentas y las fórmulas de compensación implementadas en caso de pérdida o fraude. [2]

¿Tendrá algún impacto la GDPR?

Con la reciente adopción de la GDPR en la UE, ahora las instituciones deberán publicar cualquier vulneración dentro de las 72 horas de su ocurrencia. Es casi seguro que esto afectará la percepción de los consumidores acerca de los bancos y sus medidas de seguridad, particularmente desde que la opinión pública está en desacuerdo sobre este tema: 1 de 4 instituciones han sido hackeadas, sin embargo solo el 3 por ciento de los clientes cree que sus propias instituciones han sufrido esta suerte. Y hablando de la naturaleza efímera de la confianza, Mark Carney ha dicho, “La confianza llega a pie, pero se va en una Ferrari.”[i] Como consecuencia de la GDPR, más instituciones pueden llegar a entender esto.

Datos del cliente: un activo y una responsabilidad

La confianza en las instituciones financieras lleva a más clientes a estar dispuestos a compartir sus datos. El 60 por ciento de los consumidores está dispuesto a intercambiar información personal por beneficios – un precio más bajo en un producto financiero, por ejemplo. Los millennials son el grupo más dispuesto a compartir sus datos; también son el grupo que está más consciente de datos y de cómo los bancos los obtienen. La generación del boom de natalidad y los más ancianos tienen altos niveles de confianza, pero esto no se traduce a una predisposición a compartir información.

Las instituciones financieras saben que el 65 por ciento de los clientes elige su institución financiera basándose en la privacidad y la seguridad. Y, como resultado, más de la mitad de los clientes confía en su institución financiera principal.[1]

¿Pero cuán duradera es la confianza en caso de una vulneración? El 86 por ciento de los clientes indicó que cambiarían de institución financiera si esta sufriera una vulneración de información, y aquellos que le dan prioridad a la privacidad y la seguridad estarían en posición de hacerse de algunos de estos clientes.

En la práctica, claro, muchos clientes encontrarían que cambiar de proveedor sería una inconveniencia. Pero mientras que estos clientas podrían no irse, si limitarían sus negocios:  el 35 por ciento de los clientes dijo que reducirían el número de transacciones que hacen; 28 por ciento redistribuiría algunos activos a otro proveedor; y 28 por ciento sería más precavido al realizar inversiones adicionales con su institución. En todos estos escenarios, el banco sufriría un impacto financiero.

Los bancos aún pueden construir confianza digital

Existen muchas maneras para que los bancos construyan la confianza digital del consumidor, lo que en cambio resultaría en una mayor participación y retención de clientes. He aquí algunas de las más cruciales:

  1. Enfoque en el cliente. Los bancos deberían enfocarse en los servicios digitales que los clientes necesitan y que más les convienen. Esta visión cliente-centrista debería ser evidente en todos los niveles de la institución.
  2. Quitar fricción. Remueva errores y agilice los servicios digitales. Trabaje para entender porque los clientes están teniendo dificultades: esto ayudará a garantizar que se obtengan soluciones duraderas.
  3. Marque las comunicaciones seguras. Los clientes jamás deberían confundirse al utilizar comunicaciones digitales, estas incluyen desde tasas hasta declaraciones electrónicas. Los emails maliciosos imitan sus comunicaciones legitimas para engañar a sus clientes. Cualquier comunicación segura necesita marcas adecuadas y opciones de lenguaje.
  4. Proteja a sus clientes. Implemente políticas para proteger y resguardar la privacidad del cliente. Defienda activamente contra amenazas de ciberseguridad utilizando medidas proactivas – como la encriptación.

La confianza atrae clientes y los anima a quedarse. La confianza le da acceso a los bancos a la información que les ayuda a mejorar sus servicios. La confianza es la divisa que los clientes valoran por sobre todo lo demás. No hay lugar para la duda: las instituciones que aprovechan la confianza, que la hacen central en su modo de hacer negocios, prosperarán, incluso en un panorama desafiante con amenazas en constante evolución.

Por Derek Christiansen, Gerente de Compromiso, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf