2018 un año de incidentes en Latinoamérica

«Es urgente contar con aliados estratégicos expertos y con capacidad de apoyarnos en la prevención, detección y control de los incidentes.»

El 2018 fue un año en el que la Ciberseguridad tomó gran importancia, debido a varios factores, como la puesta en marcha de normas para la protección de los datos personales en la Comunidad Europea, el uso inapropiado de redes sociales en campañas políticas, incremento de vulnerabilidades en dispositivos móviles, ataques dirigidos a países y la exposición en medios de muchos de los incidentes, esto sin duda está generando una conciencia colectiva sobre la importancia de proteger nuestra información.

Latinoamérica no es ajena a esta problemática, como se evidencia en el informe de estado de la ciberseguridad en el sector financiero, que publicó a principio de año la OEA, demostrando que el 92% de las entidades han sido víctimas de ataques cibernéticos. Sin lugar a dudas, los incidentes de México y Chile fueron los más sonados, por su impacto económico y su avanzadas características técnicas, como el malware detectado en operaciones contra sitios web de la banca chilena, que saltaba las protecciones de smartscreen que se usan.

Pero este no es el único tipo de ataque orientado a la región, que según estudios presentados en la conferencia de CyberCrimeCon, en la región de Latinoamérica se incrementó en un 60% el número de incidentes, logrando una medía de 9 detecciones por segundo, usando el ransomware y el cryptojacking como las principales herramientas de ataque, debido principalmente  la lenta implementación de las empresas en controles efectivos a las nuevas amenazas, convirtiéndolas en un blanco fácil para el crimen organizado.

En un estudio de Ransomware que realizo ESET en Latinoamérica, se puede ver que Colombia tiene el 30% de las detecciones de este tipo de malware en la región, debido a un evento puntual que inicio en agosto y que prácticamente iba dirigido contra ese país, situándolo en el séptimo puesto mundial de los países afectados por Ransomware.

Y fue un ransomware llamado Crysis o Crytowall, que en agosto inicio el ataque contra Latinoamérica, pero principalmente Colombia, usando técnicas de phishing e ingeniería social, lograban engañar a sus víctimas con un correo electrónico que indicaba una deuda con alguna entidad privada o estatal con un documento adjunto que contenía los detalles de la deuda. Y con este engaño Colombia pasó a ser el país más afectado por ransomware en agosto, disminuyendo paulatinamente en el resto del año.

Sin embargo, en la no deseada lista le siguen México y Perú, donde también fueron afectados por campañas puntuales, pero más diversas. En el caso de Perú son dos versiones diferentes de malware con los que han sido atacadas las empresas del país, pero con un agravante pues adicional a ser Ransomware tienen características de un malware denominado RAT, que permite control remoto a los atacantes sobre las maquinas infectadas.

En México es muy variado el espectro de malware usado para los incidentes, detectando los usados en Colombia y Perú se le suma GandCab, el cual es un peligroso Ransomware que tiene la particularidad de mutar según las necesidades del atacante y de las características de la víctima en un Cryptojacking que aproveche el hardware afectado para minar ilegalmente criptomonedas. Con lo cual se vieron afectadas varias instituciones en el país, generando perdidas no solo de datos sino economicas al no poder facturar sus labores por periodos prolongados de tiempo.

En el mundo móvil

Las organizaciones criminales usan las tendencias de tecnología para así mismo migrar sus atacas a estas plataformas, por lo que en los últimos 10 años se han enfocado en usar las tiendas de aplicaciones de iOS y de Android para desplegar malware y robar información. Por supuesto el 2018 no fue la excepción, pero con unas características diferentes, pues se han detectado menos muestras de malware pero más peligrosas. Como se ve en las imágenes a continuación del informe de ciberseguridad del segundo semestre generado por ElevenPaths

Donde para Android el 18% de las detecciones generan una calificación de riesgo igual o superior a 7 sobre 10 y en iOS el 56% tiene una calificación de riesgo igual o superior a 7 sobre 10. Detectando que cerca de la tercera parte de las aplicaciones con malware que se cargan en Google Play están disponibles por un plazo entre 22 y 42 días.

Esto supone un riesgo crítico para las empresas, teniendo en cuenta que la mayoría de los empleados usan sus dispositivos móviles para desarrollar procesos laborales sin ningún tipo de protección ni control por parte de las empresas.

Nuestros datos personales

Por último, este 2018 fue el año donde las fugas de información y el uso de datos personales sin autorización generó la mayor cantidad de noticias, siendo Facebook el centro de la mayoría de estas notas, pero desafortunadamente no es el único que tuvo estos incidentes, pues Google, Twitter, Equifax, Marriot, entre otros, expusieron la información de sus clientes y con ella su reputación.

El año pasado propició que estás empresas y las de su sector tomaran medidas de seguridad contundentes, como en el caso de Facebook, que cambió toda su política de seguridad en TLS, lo que supone una inversión considerable de desarrollo e implementación, aunque de cara al usuario no genera impacto ni entrega una sensación de mejoría en su privacidad, esta medida permite controlar mejor la seguridad de las conexiones y del cifrado de los datos en curso.

Google tomó una medida que se podría calificar como más drástica, al anunciar el cierre definitivo de Google+, su red social, debido a la exposición de la información de más de 500 millones de sus usuarios, en incidentes presentados en Octubre y en Diciembre.

Estos incidentes cada vez más comunes tienen unos costos económicos y reputacionales muy altos para  las empresas afectadas, según un informe de IBM en promedio a una empresa le cuesta US$148 cada dato filtrado, por lo que incidentes como los antes mencionados tienen unas repercusiones multimillonarias para las empresas y ahora con normas como el GDPR estos incidentes deben ser reportados en menos de 72 horas a cada uno de los usuarios afectados.

¿Qué podemos hacer?

Es evidente que las amenazas del mundo de la ciberseguridad crecen a un ritmo alarmante y que las medidas de control no se implementan con la velocidad y capacidad suficiente para contener de manera eficiente los riesgos. Por lo que, los expertos recomiendan que se tome un papel activo en las medidas de control, que no se espere que el incidente ocurra, sino que se tengan mecanismos para prevenirlos, detectarlos y controlarlos en el menor tiempo posible. Para que esto sea efectivo no pueden seguir actuando como “el llanero solitario en el salvaje oeste”, es obligatorio y necesario, tener aliados estratégicos expertos y con capacidad de apoyar a las empresas y organizaciones en la prevención, detección y control de los incidentes, solo así podrán combatir de manera efectiva las principales amenazas en ciberseguridad.

Escrito por:

Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths Cybersecurity Unit Telefónica
@dsespitia

Imagen Principal: Pixabay

La transformación digital y la ciberseguridad de tus datos médicos

Con la transformación digital a nadie nos sorprende que cuando visitas a un médico o un hospital, muchos datos sobre la historia clínica, facturación, medicamentos,imágenes radiológicas, entre otros; son almacenados en una computadora centralizada –servidor– que permite desde la toma de decisiones para una enfermera suministrar medicamentos hasta que revises toda tu información clínica desde cualquier parte de Internet.

La movilidad y la tecnología avanzan de manera acelerada y juegan un papel fundamental en nuestra sociedad. Como usuarios seguimos utilizando, almacenando y gestionando información de todo tipo en nuestros dispositivos, desde entretenimiento y ocio hasta llegar a datos financieros y ahora de la salud. Además, nosotros como pacientes dependemos de dispositivos (equipo de tomografía) y programas (por ejemplo aplicativos que gestionan y almacenan datos de equipamiento hospitalario) cuando estamos en estas instalaciones, que ya de por si, infringen en un riesgo por mal funcionamiento o similares.

¿Y qué hay de los riesgos de seguridad informática en esta industria? En base a la importancia que en la actualidad este tipo de instalaciones, catalogadas en el mundo de la ciberseguridad como infraestructuras críticas, las amenazas y los atacantes están constantemente intentando irrumpir sus controles de seguridad para poder robar datos de pacientes, extraer investigación de laboratorios o ¨secretos¨, secuestrar equipos (casos de ransomware) y entre otras actividades maliciosas.

En Elevenpaths hemos estado investigando en varios ámbitos donde se han encontrado fallos de fabricantes, principalmente en software médico para gestionar imágenes radiológicas o registros médicos (EHR/EMR). A su vez hemos identificados en base a experiencias, conversaciones y compartir con la comunidad que estos sistemas muchos de ellos están descentralizados en las instalaciones de salud de los países, gestionan diferentes tipos de implementaciones, mantienen bajos estándares de seguridad y sumado a todo esto el incremento de este tipo de servicios en la nube y dispositivos médicos conectados (IoT) a sus redes para convergencia sus servicios.

Al igual que muchos, vemos con preocupación que para este tipo de industria tan relevante en la vida de las personas continúe implementándose más tecnología sin los controles necesarios o al menos mínimos de seguridad, ya que, a diferencia de otros sectores, en el hospitalario se pone en riesgos aspectos más críticos que perdidas monetarias a través de un posible ataque informático.

La comunidad establece muchos esfuerzos en explorar estas nuevas implementaciones y buscar fallos de seguridad que sirvan como retroalimentación para las empresas propietarias de los dispositivos o aplicaciones para seguir despertando la conciencia en el sector y que brinden las soluciones integrales necesarias para que los usuarios sientan mayor seguridad de sus datos, o porque no, de su vida.

Carlos Avila

Chief Security Ambassador

[email protected]

@badboy_nt

Imágenes: Pixabay

WiFi en sitios públicos ¿Cuán segura es la red gratuita a la que nos conectamos?

Al salir de casa o de la oficina la posibilidad de acceder a una red Wifi sin costo es una oferta tentadora porque no consumimos el plan de datos y seguimos conectados. Lo que menos consideramos al conectar el dispositivo móvil es la seguridad.

Durante la competencia deportiva que atrae a gran parte de las personas en el mundo, el beneficio de conectarse en cualquier lugar para disfrutar un partido es realmente atractivo. Los sitios destino lo saben e incluyen en sus ofertas la conexión gratuita durante los partidos. Y que decir de la propuesta de Rusia al permitir a los aficionados en los estadios conectarse a Wifi gratuito para que puedan compartir sus instantáneas e impresiones de lo que acontece durante su permanencia en el recinto deportivo. Conectar un dispositivo móvil es una demanda de los usuarios que se toma muy en cuenta en las estrategias de mercadeo y servicio al cliente.

La tecnología de redes inalámbricas es cada día la forma más usual con la que nos conectamos a Internet, lo que ha generado que centros comerciales, cafés, hoteles, restaurantes y empresas brinden dentro de sus servicios usuales una conexión de este tipo para atraer clientes o satisfacer a sus empleados. Sin embargo, ¿Cuántas de estas redes brindan un servicio seguro o garantizan que la información de sus usuarios está protegida?

Para muchas empresas la gestión de la seguridad de la red inalámbrica no es más sino colocar un portal donde sus clientes entreguen datos de usuarios y contraseñas, pero la seguridad de la comunicación es mucho más que solo controlar el acceso a la red, es necesario usar un cifrado que permita que las comunicaciones no puedan ser interceptadas en el aire.

La Alianza WiFi ha ido creando desde 1997 estándares orientados para que las comunicaciones inalámbricas siempre sean cifradas, siendo el primer protocolo el WEP (Wired Equivalent Privacy), el cual dejó de considerarse seguro en el 2001, aunque actualmente es posible encontrar cientos de redes que usan este mecanismo obsoleto.

Debido a la fragilidad de WEP, la alianza desarrolla el protocolo de seguridad WPA (WiFi Protected Access) en 2003. Sin embargo, errores de seguridad hicieron que saliera una segunda versión en 2004, llamada WPA2, la cual es la más usada en las redes actualmente.

Pero tras 13 años sin modificaciones y entregando garantía en la seguridad de las redes inalámbricas, unos investigadores encontraron una vulnerabilidad crítica que expone la seguridad de todas las comunicaciones inalámbricas. Desde noviembre de 2017, la alianza anunció que se trabajaba en la versión 3 de este protocolo para restablecer la seguridad y confianza en las redes inalámbricas.

Tras 8 meses de espera, se ha lanzado oficialmente la versión 3 del protocolo de cifrado de comunicaciones inalámbricas WPA3, que trae varias modificaciones para que las empresas puedan gestionar de mejor forma la seguridad con la que sus clientes se conectan a la red. Actualizando el protocolo no solo para las redes de hogar sino enfocando esfuerzos en seguridad de redes empresariales y redes para Internet de las Cosas, dentro de las que destacan las siguientes:

  • Seguridad en redes públicas abiertas: Esta característica es muy importante para las empresas que brindan servicio de conexión a Internet a sus clientes, como son restaurantes, centros comerciales, hoteles y demás, porque la seguridad de la conexión a sido mejorada con cifrado individualizado en el tráfico entre cada dispositivo y el punto de acceso a la red inalámbrica.
  • Secreto Asegurado: Debido a que uno de los ataques que vulnero la seguridad de WPA2 fue la posibilidad de descifrar tráfico capturado posteriormente, en esta versión del protocolo se implementó una capa de seguridad que evita que si un atacante captura tráfico, pueda posteriormente descifrarlo, limitando a los atacantes a descifrar en tiempo real y aumentando la complejidad de este ataque.
  • Cifrado fuerte opcional: Pensado para las redes empresariales que transmiten información sensible o que tienen dispositivos de IoT con información confidencial, es posible mejorar el nivel de cifrado de la red, mitigando cualquier intento de descifrar esta información.
  • Protección a Fuerza Bruta: Uno de los ataques comunes que se usan para encontrar la contraseña de conexión es llamado fuerza bruta, la cual se basa en probar diferentes contraseñas hasta encontrar la que es válida, pero con el nuevo protocolo este ataque se ve controlado, limitando no solo los ataques a la conexión sino también a los ataques sin conexión, haciendo mucho más complejo que se encuentre la contraseña por parte de los atacantes.

Estas nuevas características buscan que la nueva versión del protocolo sea rápidamente usada por empresas y hogares, mejorando la seguridad de las comunicaciones en Internet inalámbrico y no solo garantizando controles de acceso como muchos lugares ofrecen hoy en día a sus clientes.

Se espera que, con el lanzamiento oficial por parte de la alianza de Wifi, todos los fabricantes inicien los procesos de actualización de sus dispositivos y chips de conexión, en dispositivos convencionales y en los dispositivos de Internet de las Cosas.

Recuerde la seguridad en todo momento,  si es posible utilice una VPN para navegar de forma más segura. Al conectar su dispositivo móvil  a una red tome  en cuenta las medidas de seguridad. No olvide actualizar los antivirus de sus equipos portátiles. Piense en seguridad antes de pedir la contraseña de la red Wifi y acceder a ella desde una conexión pública o privada que no conoce.

 

 

 

 

 

 

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador ElevenPaths

@dsespitia

¿Cómo preparar su negocio para los retos en Ciberseguridad?

Uno de los retos más grandes a los que nos afrontamos es preparar nuestro negocio para hacerle frente a las posibles debilidades que tenga en materia de ciberseguridad.

No hay duda que el activo más importante de las empresas es su información. Tanto porque es necesaria para gestionar la propia empresa, como por la relevancia que puede tener para nuevos productos basados en el Big data.

Los ataques cibernéticos cuestan en la actualidad a la economía global más de US$ 445 mil millones al año, según el informe Net Losses: Estimating the Global Cost of Cybercrime, producido por Center for Strategic and International Studies (CSIS).

Algunos ataques recopilan cada vez más información de las redes sociales, de páginas maliciosas, mails con links ocultos, entre otros, con el objetivo de obtener acceso a datos y sistemas críticos, y se perfeccionan cada día. Otros se hacen directamente hacia los sistemas de las empresas, donde sorprendentemente, la principal vía de acceso a la información de éstas son los móviles individuales de los empleados.

Estas intervenciones maliciosas afectan el desempeño de las empresas sin importar su tamaño, ya que ocasionan interrupción del trabajo, daños a los equipos, pérdida de datos e información y perjuicios financieros por transacciones no autorizadas.

Para prevenir estos ataques, las empresas deben implantar un Plan Director de Seguridad. Es un plan integral que incluye acciones preventivas desde el uso de contraseñas, pasando por protocolos de acceso tanto en terminales móviles como PCs, hasta soluciones más avanzadas de Token (Latch) y de encriptación de los datos y su blindaje (Smart Shield).

Para las empresas dejó de ser opcional implantar programas contra malware y spyware, con niveles adecuados de protección. Se pueden encontrar servicios gratuitos hasta los más avanzados y complejos. La decisión dependerá del nivel de exigencia y de cuánto se está dispuesto a invertir en la seguridad de la empresa.

Finalmente, es importante que todo el personal asuma un compromiso en cuanto al uso responsable de sus equipos y a mantener la seguridad de la información, lo que cual se logra tanto con cursos e información, como con herramientas gestionadas por las áreas de Seguridad de las empresas.

Aunque es imposible estar 100% inmune a los ataques cibernéticos, la suma de protección dificulta el trabajo de los delincuentes y le ayudará a mantenerlos lejos de la información de su empresa.

Rafael Cisneros

Director de Empresas y Negocios

Telefónica Business Solutions Centroamérica

 

 

 

 

Fuente de referencia: http://destinonegocio.com/economia/seguridad)

 

Reconocimiento Facial ¿Cuán segura es la tecnología biométrica?

Con frecuencia leemos en la red comentarios acerca del reconocimiento facial y de lo negativo o perjudicial que puede ser esta tecnología, considerada por sus detractores como altamente invasiva. Igualmente, leemos acerca de las bondades y propuestas de aquellos que las apoyan ¿Pero cuán ciertos son esos comentarios? ¿Cuán seguro es el reconocimiento facial? ¿Logrará superar a sus detractores y establecerse como una norma en lugar de un caso excepcional?

Antes de pasar al tema central de este artículo, ¿Les parece si consideramos unas definiciones que son básicas para comprender el tema que nos ocupa?

Biometría es una tecnología de identificación basada en el reconocimiento de una característica física e intransferible de las personas, la cual incluye otras áreas del cuerpo humano además de la vista u ojos, por ejemplo, la huella digital, el reconocimiento del patrón venoso del dedo y evidentemente el tema que nos interesa: el reconocimiento facial.

Es tecnología inteligente, ya que la Biometría es un sistema automatizado de reconocimiento humano basado en las características físicas y el comportamiento de las personas. Se trata del mismo sistema que utiliza el cerebro humano para reconocer y distinguir una persona de otra. ¿Interesante cierto?

Identificación por iris del ojo:  No hay dos iris iguales. Incluso el iris del ojo izquierdo es diferente al del derecho de una misma persona. Estas características hacen de este sistema uno muy fiable. Según sus propulsores tiene tal grado de certeza, que estadísticamente es aún más seguro que el ADN.

Si ha escuchado o dicho la frase: “hablas con los ojos”, al referirse a personas que tienen la particularidad de expresar con la mirada más de lo que otros podemos, seguro le interesará saber que hay un elemento que pasamos por alto y que es muy importante para el reconocimiento biométrico:  el lenguaje gestual, ese que utilizamos, ese que transmite y comunica cuando miramos.

El lenguaje gestual que es parte del lenguaje no verbal y consiste en la emisión de mensajes carentes de palabras. Los mensajes de esta índole pueden transmitirse a través de los canales visuales y táctiles. Esta modalidad de comunicación se expresa a través de las expresiones faciales, todo tipo de gestos y el contacto visual. Lo usamos cada minuto, incluso cuando enviamos mensajes verbales, es habitual acompañarlos de algún tipo de lenguaje no verbal que complete la información. El lenguaje corporal incluye señales que se envían de forma consciente o inconscientemente. Dicho esto, podemos intuir que el lenguaje gestual es un elemento biométrico al que prestarle atención.

¿Sabía que cómo tal, viene desarrollándose desde la década de los 60? Es tan amplio su estudio que siguen investigándolo.  Los estudios e investigaciones aplicadas a la tecnología y las telecomunicaciones nos ayudan a entender cómo una persona responde positiva o negativamente a los estímulos que se pueden producir desde un anuncio o desde una oferta en una web. Examinando o escaneando los cambios visuales, es decir en las pupilas y el iris que hacen las personas cuando están frente al computador o el dispositivo móvil apreciando un contenido especifico. Claro está, todo a través de inteligencia artificial y tecnología inteligente. Con nuestra autorización y muchas veces sin haber leído el “disclaimer” de la página que visitamos ¡Nos observan más de lo que creemos!

Ahora sí, les invito a repasar juntos cuatro escenarios donde la biometría aplicada al aspecto facial de las personas, se encuentra cada vez más cerca de nosotros.

Haremos referencia al uso diario de nuestros dispositivos móviles, el uso en la red social más utilizada del mundo y las aplicaciones para seguridad laboral y bancaria.

1. Reconocimiento Facial en dispositivos móviles

Los dos gigantes en el desarrollo y comercialización de dispositivos móviles cuentan con reconocimiento facial en sus teléfonos y otras compañías siguen sus pasos.  El uso que le dan estas empresas a la tecnología biométrica aplicada al rostro va desde desbloquear el teléfono hasta reconocer al usuario en caso de pérdida del dispositivo.

Cuando se hizo el lanzamiento oficial del primer teléfono inteligente con esta característica algunas personas se atemorizaron. La lluvia de comentarios no se hizo esperar, pero ¿Sabía usted, que miles de estas personas que hablaron al respecto, olvidaron que durante años han estado frente a aplicaciones similares sin siquiera tomarlo en cuenta? Solo recuerde cuando sale de viaje y hace su proceso de entrada a un país donde (utilizan esta tecnología) le piden mirar la cámara. En efecto, la fotografía no es para otra cosa que un registro facial con elementos de biométrica para uso de seguridad, que aunado al de las huellas dactilares que también Ud., accede a suministrar cuando realiza el proceso de inmigración le permiten al país que visita saber que en efecto quien está ingresando es usted.  Lo que proponen los teléfonos inteligentes es utilizar una huella única que todos poseemos para dejarnos acceder a ellos o utilizarla en nuestro beneficio.

Por otra parte, investigando encontré un comentario que me llamó poderosamente la atención: «Podríamos considerar que el reconocimiento facial será el futuro de la biometría, gracias a la facilidad de capturar una cara con la cámara de cualquier dispositivo. No puede haber método más natural y fiable para reconocer una identidad. Por ello, se estima que en 2020 esta tecnología llegue al 100% de los dispositivos móviles. Con la identidad biométrica, no será necesario disponer de identidad física y será posible hacer cualquier transacción desde cualquier parte sin necesidad de contraseñas» – Salvador Martí, presidente de la compañía especializada en biometría FacePhi.

Cuando le consulté a nuestro colaborador experto en seguridad sobre el tema, nos dijo: “El problema no es que sea malo, sino que para que realmente sea seguro se requiere de una calidad de cámara e imagen muy alta, cosa que los dispositivos móviles no tienen, lo que hace que sean sistemas vulnerables y que no garanticen una identificación plena e irrefutable de los usuarios.” – Diego Espitia|ElevenPaths

Para personas que viajan con muchísima frecuencia estos procesos pasan desapercibidos, hemos llegado a verlos tan naturales que nos enoja cuando nos piden hacer el proceso de cero o cuando la base de datos de ese país o destino visitado por negocios con frecuencia “no nos reconoce”

2.  Reconocimiento facial en la banca y en el trabajo

El momento es propicio para compartirles que OPENFUTURE_ tiene entre sus emprendimientos dos dedicados a reconocimiento facial y aplicados a temas de pagos una es Saffe bajo la acogida de Wayra Alemania y la otra es ENVISIONA, startup peruana que ofrece una Suite de apps biométricas para mejorar la seguridad ciudadana (Facial, de Voz, Emociones, Iris) y empoderar otros proyectos que lo necesiten. Al entrar al sitio Saffe.co su introducción nos pregunta ¿Qué pasaría si pudieras pagar con solo una selfie? Saffe es una aplicación de pago móvil que aprovecha la tecnología de reconocimiento facial de clase mundial para hacer su vida más fácil y más segura. Si es un comerciante, le permitimos recibir pagos en el punto de venta directamente con su teléfono inteligente. No es necesario pagar un punto de venta dedicado ni ningún equipo adicional.

Le invitamos a visitar la página de OPENFUTURE_ para que investigue más sobre estos proyectos.

En Centroamérica ya se utilizan los servicios de biometría en el sector bancario. El Grupo Mutual en Costa Rica es uno de los clientes de la empresa española FacePhi, con sede en Alicante, que lleva casi una década invirtiendo en el desarrollo de un software de reconocimiento facial. Lo ideal para cubrir el triángulo de seguridad es algo que tengo, como un móvil o una tarjeta de crédito; algo que sé de memoria, como una clave, y algo que soy, y ahí entra la biometría”, explica Javier Mira, cofundador y vicepresidente de FacePhi. Esta empresa trabaja con entidades a nivel mundial, como el Banco Banregio y Banco Inbursa de México, el Banco Pichincha, Banco Pacífico y Banco Guayaquil en Ecuador, el Banco Nacional, Coopeservidores y, Arquia de España o el Banco ICBC, claro indicativo de que la banca es uno de los sectores más innovadores al utilizar esta tecnología en sus procesos y servicios.

Otra área donde hay avances y se sigue estudiando es el sistema de pago móvil Alipay, propiedad del gigante chino del comercio electrónico Alibaba, con lo cual el registro de los rostros de los clientes está asociado con sus cuentas bancarias permitiéndoles pagar en restaurantes de comida rápida a sus usuarios.

Las herramientas de reconocimiento facial van ganando adeptos gracias a su seguridad y practicidad. Tuvimos acceso a una encuesta realizada por Visa en Europa durante 2016 que reveló que dos terceras partes de los usuarios quieren que se implemente la autenticación biométrica para pagos, y que la mitad de ellos cree que sus transacciones serán sencillas y rápidas con esta tecnología. Visa le encomendó a Populus la investigación sobre los pagos biométricos. El estudio se realizó en los meses de abril y mayo de 2016 en siete naciones europeas: Reino Unido, Suecia, España, Francia, Alemania, Italia y Polonia. La muestra total fue de 14,236 con aproximadamente 2,000 encuestados por país. Por su parte Master Card tiene Identity Check un sistema biométrico que utiliza en la actualidad.

Organismos como la ONU están haciendo uso de estos sistemas para pagos en el caso de labores humanitarias.

Las aplicaciones y adopciones van en constante aumento y no dejaran de sorprendernos.

3. Reconocimiento facial en redes sociales

Con 200 mil millones de usuarios, Facebook incorporó el reconocimiento facial según explicaron a sus usuarios con la finalidad de evitar la usurpación de identidad, a fin de que sean alertados cuando se sube una fotografía suya sin su consentimiento, incluso si no fue etiquetado. El reconocimiento de rostro en Facebook no es ninguna novedad, sabemos que esta plataforma viene trabajando hace años esta tecnología, añadiendo más funciones hace poco.

A través de un comunicado en su plataforma dijo que: “nuestra tecnología analiza los pixeles de las fotos y los videos, como tu foto del perfil y las fotos y los videos en los que se te ha etiquetado, para calcular un número único al que denominamos patrón. Si encontramos coincidencias al comparar otras fotos y otros videos de Facebook con este patrón, interpretamos que se te ha reconocido. Si se te des etiqueta de una foto o un video, ya no se usará esa información para elaborar el patrón. Si se desactiva la configuración de reconocimiento facial, se elimina el patrón”.

Nuevamente hay detractores y quienes apoyan la iniciativa de recibir una alerta cada vez que otros suben su foto en Facebook y la plataforma les pregunta si desean o no ser etiquetados. Aunque otros cuestionan que el hecho de que la red social esté escaneando cada fotografía también levanta las luces de alerta sobre el tema de la privacidad y seguridad, pues consideran inapropiado que ellos tengan registro de su información biométrica.

La red social permite y brinda la opción de activar o desactivar esa función por completo. Dichas opciones las decide la persona cuando quiere y puede modificar su opinión en cualquier momento, tanto para la web como para el móvil, según información de la plataforma. Asegura que este sistema les permite realizar tres tareas muy importantes para sus usuarios y su interacción mutua:

  • Encontrar fotos en las que apareces, pero no has sido etiquetado,
  • Decirles a las personas con problemas de visión quiénes forman parte de tus fotos y vídeos,
  • Proteger a los usuarios de que otros usen sus fotos.

Como usuario usted tiene la opción de activar o no la aplicación, lo importante es saber que es una realidad y que al momento de dar de alta la red accedimos a los términos y condiciones del servicio. Por ello, recordemos que las redes sociales no son gratuitas, son parte de un intercambio recibido: el servicio a cambio de lo que usted proporciona: da acceso a sus datos y patrones de conducta en la red.

4.Reconocimiento facial cuando viaja

Esta semana fue noticia en los diarios que la compañía alemana Lufthansa realizó con éxito el abordaje de 350 pasajeros, los viajeros tuvieron la oportunidad de subir al avión A380 en tan solo 20 minutos sin tener que mostrar ningún documento que les pudiera identificar. Hace unos meses fue British Airways hizo lo mismo desde el aeropuerto de Los

El sistema de embarque utilizado hace uso de la tecnología biométrica, la que permite comparar diferentes características faciales de la persona y compararlas con las obtenidas en las imágenes que se tomaron del pasajero nada más pisar Estados Unidos y cruzar la frontera. Sus promotores dicen que ofrece un ahorro de tiempo y un aumento en la seguridad. Confirmando que quien aborda el vuelo es la persona indicada y no existe fraude. La tecnología ha sido desarrollada en colaboración entre Amadeus IT, CBP, el propio aeropuerto LAX y la empresa Vision-Box

Es un sistema en pruebas, por lo que a futuro cercano escucharemos más al respecto y traerá innovaciones a las ciudades que cada vez se transforman en sistemas de interacción humana a través de redes conectadas e inteligentes.

Definitivamente que el reconocimiento facial está más cerca de nosotros de lo que nos damos cuenta. Recuerde compartir con otros este artículo. Seguramente hay alguna persona que se beneficiara de conocer acerca de esta tecnología. ¡Gracias por compartirlo en sus redes!

 

Colaboración de Liditz: La autora es escritora, project manager e investigadora en temas de tecnología, cultura y sociedad. Durante dos décadas viajó con una frecuencia semanal entre países de la región Latinoamérica, Caribe, así como Asia por su trabajo en compañías multinacionales de tecnología.

Hackers éticos ¿Quiénes son y qué hacen?

¿Ellos pueden ser éticos?  ¿Hackers éticos? Fueron las preguntas obligadas durante un conversatorio sobre transformación digital en el que participé hace un par de semanas. Los ejecutivos presentes dudaban de la veracidad del título y más aún de los salarios que se les pagan.  Este escenario fue propicio para que me interesase en escribir acerca de los hackers que están del lado de las corporaciones, más aún cuando comparto virtualmente con algunos de ellos, casi a diario.

Iniciamos este artículo contándoles que hay universidades referentes en Europa que tienen maestrías online con doble titulación en temas de Ciberseguridad, como es el caso de la Universidad Rey Juan Carlos de Madrid que promueve la Maestría online en Seguridad de la Información y Continuidad de Negocio (Ciberseguridad).  Investigando al respecto llegué a conocer que van más allá de la maestría, tienen un doctorado en estos menesteres. Lo que nos hace pensar que es un tema muy amplio e importante que estudiar con miras en la competitividad y estar a la vanguardia en el mundo de la digitalización.  Pero este es solo uno de los hallazgos con los que me encontré mientras investigaba.

¿Qué se aprende en una maestría de Ciberseguridad?

Se aprende a garantizar la seguridad informática, los participantes adquieren los conocimientos necesarios para combatir el hacking no ético. Los estudiantes se forman en el dominio de herramientas de seguridad digital, estándares internacionales de ciberseguridad, y aquí es dónde deseábamos llegar: Ponen en práctica procesos de seguridad y hacking ético, familiarizándose con la normativa actual y los planes operacionales establecidos.

¿Son bien pagados estos perfiles profesionales?

Todo apunta a asegurar que están muy bien valorados. Existe un informe de Deloitte que ubica a los hackers éticos como el perfil mejor pagado en el sector de las tecnologías de la información con unos salarios que oscilan entre $ 75.000 y $ 115.000 al año. El mismo informe asegura que para 2020 las compañías brindarán 9,3% más de vacantes vinculadas a perfiles digitales.

Se dice que para los próximos años se requerirán entre 1 y 1.5 millones de especialistas en Ciberseguridad a nivel mundial. Es así uno de los ámbitos tecnológicos de mayor proyección internacional y con mayores perspectivas de empleo.

¿De qué lado de la fuerza están?

Las empresas de tecnología y telecomunicaciones hacen uso de los conocimientos y la experticia de estos talentosos profesionales que miran lo que el resto pasamos por alto.

No se imaginarían las múltiples áreas donde un hacker ético puede colaborar en nuestra sociedad y el espectro se amplía en la medida que migramos hacia ciudades inteligentes.  Leyendo he encontrado casos donde centros educativos que ofrecen plataformas online han sido alertados por hackers éticos sobre las debilidades existentes en sus plataformas de estudio, lo que ha ayudado a salvaguardar la reputación (activo invaluable) y evitado que personas puedan obtener títulos de forma inescrupulosa por una plataforma poco segura.

Otros han sido noticia como en un artículo que del periódico El País que se titulaba ‘Hackers’ éticos al servicio de la ley en Holanda, explicaba la nota acerca del “Proyecto Yoda”, enfocado en la reinserción hackers menores de edad a la sociedad productiva. Los que antes fueran delincuentes cibernéticos se les ubicaba en trabajos en empresas tecnológicas, obligándoles a aprovechar su habilidad informática con fines legales. Propiciando lo que ellos llamaron una especie de salteadores éticos de Internet al servicio de la policía. Este fue el caso de dos jóvenes hackers, uno atacó el sistema de su propia escuela durante exámenes, causando caos, el otro robó correos electrónicos. La policía resolvió ambos casos delictivos y los chicos tuvieron como condena elaborar un plan de seguridad para la entidad, afrontar las consecuencias de sus actos y resolverlos. En su labor social y fuera de la escuela se les supervisa y educa para que logren encontrar un futuro como hackers éticos, en un contexto legítimo.

Por otro lado, vemos a empresas como Google que hace un par de años contrató a George Hotz, un joven hacker reconocido por desbloquear el primer teléfono iPhone.  Para los curiosos y lectores ávidos de temas de ciberseguridad los nombre de los pioneros descubriendo vulnerabilidades en empresas como Google, Facebook Mozilla, PayPal, Vine y Microsoft los llevará directamente a Reginaldo Silva Neel Metha, Sanmay Ved, Pinkie Pie, Jordan Wiens,, James Forshaw o Alex Miller. Y por supuesto que al Chairman de ElevenPaths, la Unidad de Ciberseguridad de Telefónica: Chema Alonso, Ingeniero de Sistemas de TI por la Universidad Politécnica de Madrid y Doctor en Seguridad informática por precisamente la Universidad Rey Juan Carlos de Madrid que mencionamos al inicio. Mediático y reconocido, no deja de ser noticia en los medios digitales e impresos.

Un ‘hacker’: un experto en ciberseguridad

Al leer el blog “El otro lado del mal”, podemos estudiar con mayor detenimiento la personalidad de un experto en ciberseguridad disruptivo. Un blogger y chairman que se ha convertido en el hacker más conocido de España y una de las figuras más reconocidas del mundo tecnológico, brindando consejos y su visión sobre los temas de avanzada en telecomunicaciones. Tiene muchísimos seguidores con los que interactúa a través de sus redes sociales, haciendo de su pasión un campo deseable para las nuevas generaciones. Siempre alega que “un hacker es un experto en ciberseguridad que no tiene nada que ver con los delitos en la red.” Enfatizando así en la ventaja de contar con especialistas que cuiden y mantengan las redes de sus organizaciones lo más seguras posible.

Informe sobre hacking

Es tan importante la actividad que HackerOne, una comunidad de ciberseguridad impulsada por hackers desarrolló el Informe Hacker 2018 donde se encuestaron a 1.698 encuestados. La comunidad tiene más de 166.000 hackers registrados en total, más de 72.000 vulnerabilidades válidas han sido enviadas, y la plataforma ha pagado más de 23,5 millones de dólares en recompensas. Cifras que hacen meditar en su impacto en esta era.

El resumen ejecutivo del Informe 2018 Hacker concluye que «Internet se vuelve más seguro cada vez que se encuentra y repara una vulnerabilidad». Esto es lo que hacen los hackers éticos e investigadores de seguridad, encuentran problemas potenciales y los denuncian a las organizaciones afectadas para que se eliminen los problemas antes de que puedan ser explotados por cibercriminales.

Hallazgos del Informe Hacker 2018

  • Más del 35% de los participantes consideran que hackear vulnerabilidades es un pasatiempo. De los encuestados, el 12% tiene un ingreso anual de bonificaciones de errores de 20.000 dólares o más, con un 3% que dice ganar más de 100.000 dólares por año y un 1% que gana más de 350.000 al año.
  • India (23%) y los EE. UU. (20%) son los dos países principales representados en el grupo de encuesta.
  • Más de la mitad de los encuestados estudió ciencias de la computación a nivel de pregrado o posgrado, con 26% estudiando informática en la escuela secundaria.
  • Casi todos los miembros de la comunidad HackerOne son menores de 35 años, con una mayoría (45%) entre 18 y 24 años.

Y aunque no todas las empresas aceptan la piratería ética, a pesar de que es cada vez más aceptada por las empresas, aún existen importantes obstáculos y oportunidades para su profesionalización.  «El noventa y cuatro por ciento de las empresas del Forbes Global 2000 no tiene una política de divulgación de vulnerabilidad publicada» y «El 72% de los hackers encuestados informaron que las empresas están cada vez más abiertas a recibir vulnerabilidades».

 ¿Quiénes son los hackers éticos?

Hombres y mujeres que estudian muchísimo, dedicándose a comprender lo que puede ser una amenaza para las empresas donde trabajan.  Interesante es resaltar que dos de los hackers más conocidos del mundo forman parte de ElevenPaths de Telefónica, tanto el Dr. Chema Alonso como a Yaiza Rubio. Licenciada en Ciencias de la Información y con tres masters (Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TIC), se ha convertido en una #mujerhacker referente en el mundo de la ciberseguridad.

Yaiza es la primera mujer hacker española  que  participó en las dos de las conferencias más importantes de ciberseguridad: DefCON & BlackHat en Las Vegas el pasado julio del 2017. La joven profesional se ha convertido en un referente para las futuras generaciones de chicas que aspiran a convertir la tecnología como su forma de vida.

Con mucho orgullo en este mes que dedicamos a la Ciberseguridad y a resaltar el aporte de las mujeres en las telecomunicaciones les invitamos a disfrutar un video excepcional. Mostrando que las carreras no tienen género, tras la seguridad de su empresa posiblemente esté una chica que domina la  ciberseguridad.

Esos son los hackers éticos, personas a cargo de la seguridad de su mayor activo,. Hombres y mujeres que cuidan lo que otros damos por sentado, cada vez que hacemos clic en un dispositivo móvil o accedemos al sistema informático de nuestras organizaciones.

Vale la pena promoverlos y darlos a conocer. Le animamos a compartir en sus redes esta nota.

Pasos que debe tomar una empresa para evitar un ciberataque

Wow, cuando me ponía a escribir este post iba pensando si habría alguna forma de prevenir o evitar efectivamente los ciberataques, entendiendo que tenemos que conectarnos con el resto del mundo, es decir, conectar nuestros sistemas, aplicaciones, usuarios, proveedores, clientes con todo el mundo.  Bien, la realidad es que no vamos a poder prevenir todo, por lo que sería mejor hablar acerca de ¿Cómo disminuir la posibilidad de un ciberataque?

En el post anterior he introducido el concepto de la ciber-resiliencia.  Y aquí se ve muy claro.  Tenemos que estar listos, preparados, atentos a que en cualquier momento algún ciberataque se podría materializar.  Estar preparados no significa sólo desde el punto de vista técnico, sino también como empresa, como organización, cómo vamos a responder, qué le vamos a decir a nuestros clientes, como vamos a seguir transmitiendo confianza luego de un evento así.

Cuando comenzamos a pensar acerca de qué cosas podríamos hacer como empresa para disminuir la posibilidad de un ciberataque, se nos vienen a la cabeza, a nuestros pensamientos, infinidad de casos que suceden todos los días, algunos más resonados que otros.

La capacidad de una empresa para disminuir la posibilidad de un ciberataque está directamente relacionada con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad en la misma.

Alguien podría preguntarme ¿A qué se refiere con esto? ¿Podría explicarnos un poco más? Bien, sencillamente me refiero a ver qué nivel de madurez en conocimientos y divulgación interna hay sobre los temas de ciberseguridad.

Como sabemos en muchas organizaciones debido a su diseño top-down, es crítico que desde los niveles más elevados de la misma (accionistas, directores, gerentes, etc.) se hable todos los días de temas de ciberseguridad y se demuestre mediante acciones el compromiso que existe para mantener los datos protegidos y resguardados.  De esta forma los conceptos y la necesidad de proteger los datos se comenzaría a diseminar por toda la empresa, sin excepción. Pero, realmente, en cuántas empresas sucede esto.  Ahí tiene la respuesta, a eso me refiero con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad.

 ¿Sucede en su empresa? ¿Sucede en nuestras empresas, gobiernos y organizaciones? La respuesta está ligada a su estrategia de ciberseguridad y la ciber-resiliencia de su organización. Cada vez más necesarias e impostergables.

Algunos empresarios y ejecutivos se refieren a parte de esto cómo tener una política de seguridad y concientizar a los empleados.  Ambas son en realidad sólo algunas actividades que debemos hacer para llegar al concepto sobre el que escribo.

 ¿Desea marcar un punto de partida para disminuir efectivamente un ciberataque?  Aquí están los primeros pasos, simples y complejos al mismo tiempo.

Cuando hablamos acerca de cómo prevenir un ciberataque, realmente se juntan tres variables, planteándose de una forma simple.  Una variable intrínseca a la empresa, y una variable extrínseca a la misma.  La variable extrínseca es aquella sobre la que la empresa no tiene control, es decir sobre las ciberamenazas.  La empresa no puede impedir que la ciberamenaza esté constantemente intentando, intentando e intentando.  Desde el punto de vista técnico sería como ver todos los días en los logs de nuestros dispositivos de seguridad diferentes intentos de accesos no autorizados.

La variable intrínseca está determinada por todo lo que la empresa sí puede hacer, por todo aquello que está bajo su dominio.  Por ejemplo, lo que conversábamos más atrás, acerca de las actividades mínimas para dispersar el conocimiento, la importancia y la necesidad de la ciberseguridad.

Los datos más sensibles o críticos que posee una empresa, sí es cierto que están almacenados en algún repositorio con ciertos niveles de protección. ¡Lo sabemos! nadie los deja totalmente desprotegidos, al menos en forma adrede.  Pero en realidad estos datos están fluyendo constantemente por toda la empresa y fuera de ella también.  Fluyen, van cambiando de forma, a veces en formato digital cuando se reenvía por correos electrónicos, cuando se copia a un USB, otras veces se cambia a otro formato, por ejemplo, cuando se imprimen documentos, o cuando mientras algunas personas almuerzan en lugares públicos conversan a cerca de proyectos, visiones futuras, etc.  Es decir, son los mismos datos, sólo que en otros medios diferentes. Por lo cual en estos primeros puntos comienza todo.

Ahora nos faltaría la tercera variable, la cual se refiere al valor de los datos de la empresa.  Es decir, qué impacto le generaría a la empresa que un ciberataque se concretara sobre esos datos.  ¿Qué sucedería si los datos sensibles son divulgados en forma no autorizada? Por ejemplo, en algún foro en Internet, y a partir de aquí salimos expuestos en alguna noticia, se enteran nuestros Clientes, socios, etc.  A este impacto es lo que llamo el valor de los datos.

Vemos entonces que los primeros pasos, y por ser los primeros no quiero decir que son los más simples ni los más rápidos de conseguir son:

1. Divulgar por toda la empresa la importancia de la ciberseguridad, desde los accionistas, socios, alta dirección, comprometiéndose a proteger en forma adecuada los datos.

2. Entender cuáles son los datos más importantes, ese impacto que recién les comentaba, y dónde están.

Aquí comienza todo, este sería como el punto de partida. Por supuesto, estos pasos no son los únicos.

Quisiera detenerme y dedicar unas líneas a la identificación de los datos sensibles o críticos.  Dentro de la jerga de seguridad de la información a esto lo llamamos clasificación de información o de activos.  Entonces algunas empresas comienzan clasificando sus activos, es decir, analizando cuáles son los más sensibles o críticos, dándoles un valor.  Primero es que las empresas que hacen este tipo de actividades son pocas, realmente pocas.  Dentro de las que clasifican la información, muy pocas aún identificación la ubicación de los datos y menos aún el flujo, por dónde circulan.

Es decir, la clasificación de la información la realizan más que nada por la naturaleza de los datos.  Ponen en una planilla o en otro tipo de documento, por ejemplo, los datos de los clientes son sensibles.  Pero se olvidan de que los riesgos a los cuales están expuestos estos datos no son determinados por su naturaleza, sino por el ambiente donde están en un momento exacto o por las actividades que son ejecutados sobre ellos en un momento exacto.  Lo explico de otra forma, si sabemos que ciertos datos son muy importantes para la empresa porque si por ejemplo son divulgados de forma no autorizada, realmente podríamos perder muchos clientes, nos caerían multas importantes, tendríamos un impacto muy fuerte en nuestra imagen y reputación, entonces tendríamos que saber dónde están esos datos, por dónde circulan y en qué circunstancias. Como veíamos al principio, los datos van cambiando de forma, pero en su esencia continúan siendo los mismos.  Por ponerlo simple, una contraseña es la misma contraseña si está escrita en un papel, si es enviada por correo electrónico, si se pasa por teléfono, por poner todas actividades de riesgo ¡que no deberíamos hacer nunca!  Sólo un ejemplo para comprender mejor este punto.

Entonces el tercer paso sería:

3.  Clasificar e identificar los datos más importantes para poder proteger aquellos que son realmente los más importantes para la empresa identificando también los requerimientos regulatorios y contractuales que los alcanzan.

A partir de acá comienzan entonces los la definición e implementación de controles de ciberseguridad.  Si bien todo lo que comenté anteriormente también son controles de seguridad, aquí comenzaríamos la definición e implementación de otros controles:

Implementación de controles en nuestros sistemas informáticos y redes de comunicaciones

Evaluación periódica de la seguridad de nuestros sistemas, aplicaciones y redes.  Aquí cuando decimos periódico, tal vez quedaría mejor continuo.  Ya no damos cuenta que no alcanza hacer una evaluación de seguridad una vez al año, porque está muy claro que los riesgos varían día a día, ya que cambian las ciberamenazas, se incorporan nuevas técnicas, y también nuestro entorno tecnológico cambia: implementamos nuevas configuraciones, nuevos componentes, ponemos en producción nuevas funcionalidades.

Incluir la ciberseguridad en todo el ciclo de vida de nuestras aplicaciones y sistemas.  Desde el momento que nacen estos proyectos ya tenemos que pensar en la ciberseguridad y los requerimientos de protección.

Luego tendríamos otros controles, los cuales no voy a enumerar todos en este post, pero seguramente en otro estaremos conversando acerca de éstos.

 ¡Nos vemos en el próximo post!

Fabián Chiera

Chief Security Ambassador

ElevenPaths

[email protected]

www.elevenpaths.com

@fabianchiera