identidad digital UE

Controversia en la Unión Europea por la Implementación de la Identidad Digital: Preocupaciones de Expertos en Ciberseguridad

La reciente aprobación del acuerdo entre el Parlamento Europeo y el Consejo de la UE sobre la regulación de la identidad digital europea (eIDAS 2) ha generado inquietud y controversia entre expertos en ciberseguridad. El proyecto busca establecer las bases técnicas para una identidad digital interoperable destinada a todos los ciudadanos europeos, con el objetivo de facilitar el acceso a servicios públicos y la interacción con plataformas privadas.

Preocupaciones Principales:

  1. Autoridades de Certificación Estatales: La filtración del borrador de eIDAS 2 ha suscitado críticas, especialmente en relación con el Artículo 45. La preocupación principal radica en la posibilidad de que los Estados tengan la capacidad de crear autoridades de certificación sin seguir los estándares de seguridad de la industria. Esto podría comprometer la integridad del sistema de certificación y aumentar el riesgo de cibervigilancia estatal.

 

  1. Riesgo de Cibervigilancia Estatal: El texto actual del Artículo 45 ha generado inquietudes sobre la posibilidad de que los gobiernos tengan medios técnicos para interceptar el tráfico web cifrado. Esto podría extenderse no solo a los ciudadanos de un Estado miembro, sino a todos los ciudadanos de la Unión Europea, planteando serias amenazas a la privacidad.

 

  1. Ambigüedad en la Privacidad de los Wallets: El texto presenta ambigüedad en relación con los «wallets» que almacenarán los datos de los usuarios. Dado que la identidad digital contendrá una gran cantidad de información personal, la preocupación se centra en cómo se garantizará la privacidad de los usuarios en transacciones que abarquen diferentes ámbitos, como compras y cuestiones de salud o educación.

 

  1. Necesidad de Garantías Legales: Los investigadores subrayan la importancia de garantizar por ley que los «wallets» cumplan con estándares específicos para preservar la privacidad. A pesar de la compatibilidad con la ley, la falta de garantías podría afectar la capacidad de algunos «wallets» para garantizar la privacidad de los usuarios.

 

Perspectivas y Pasos Futuros:

Aunque el acuerdo entre el Parlamento Europeo y el Consejo de la UE es un paso importante, aún se requiere la aprobación formal de ambos órganos para que la legislación entre en vigor. La carta de protesta firmada por más de 500 investigadores destaca la necesidad de revisar el Artículo 45 y garantizar que eIDAS 2 no facilite la cibervigilancia y la interceptación del tráfico web.

 

A pesar de las críticas, la implementación de eIDAS 2 representa un avance significativo en la ambiciosa visión tecnológica de la Unión Europea, que busca proporcionar una identidad digital válida legalmente y operativa para 450 millones de ciudadanos. La espera está ahora en el texto definitivo y en posibles modificaciones que aborden las preocupaciones expresadas por la comunidad de ciberseguridad.

Fuente: xataka.com

 

Ciberseguridad Global

Protege tu Presencia en Redes Sociales

En la era digital, las redes sociales se han convertido en una parte integral de nuestras vidas. Nos conectan con amigos, familiares y colegas, y nos permiten compartir momentos importantes. Sin embargo, esta interconexión también ha dado lugar a una creciente amenaza: los ciberataques en redes sociales. Estos ataques pueden tener consecuencias devastadoras, desde robo de identidad hasta difamación pública. En este blog, exploraremos los tipos comunes de ciberataques en redes sociales y, lo que es más importante, cómo prevenirlos y proteger tu presencia en línea.

 

Tipos de Ciberataques en Redes Sociales

1.Phishing:

Los atacantes envían mensajes o enlaces falsos que parecen provenir de fuentes confiables para obtener información confidencial como contraseñas y datos financieros.

 

2.Suplantación de Identidad:

Los ciberdelincuentes se hacen pasar por alguien más para engañar a los contactos de la víctima y obtener información sensible o causar daño reputacional.

 

3.Ciberacoso:

Acoso en línea que incluye insultos, amenazas o difamación, a menudo llevado a cabo de forma anónima.

 

4. Robo de Cuenta:

Los atacantes obtienen acceso no autorizado a las cuentas de redes sociales y pueden robar información personal o difundir contenido malicioso en nombre de la víctima.

 

Cómo Prevenir los Ciberataques en Redes Sociales

1.Fortalece tus Contraseñas:

Utiliza contraseñas fuertes y únicas para cada cuenta. Evita contraseñas obvias y considera el uso de un administrador de contraseñas para gestionarlas de forma segura.

 

2.Habilita la Autenticación de Dos Factores (2FA):

La 2FA añade una capa adicional de seguridad, requiriendo un segundo método de verificación además de la contraseña, como un código enviado a tu teléfono móvil.

 

3.Sé Cauteloso con los Enlaces y Archivos Adjuntos:

No hagas clic en enlaces sospechosos o descargues archivos de fuentes desconocidas. Verifica siempre la autenticidad antes de hacer clic en cualquier enlace.

 

4.Ajusta la Configuración de Privacidad:

Revisa y ajusta regularmente la configuración de privacidad de tus cuentas para limitar quién puede ver tus publicaciones y quién puede contactarte.

 

5.Sé Consciente de lo que Compartes

Evita publicar información personal y sensible en línea. La información que compartes podría utilizarse en ataques de phishing o para suplantar tu identidad.

 

6.Reporta y Bloquea:

Si experimentas ciberacoso o encuentras cuentas sospechosas, repórtalas a la plataforma y bloquea a los usuarios para limitar su acceso a tu perfil.

 

En pocas palabras, proteger tu presencia en redes sociales es crucial en el mundo digital actual. Con una combinación de conciencia, precaución y ajustes de seguridad, puedes reducir significativamente el riesgo de ser víctima de ciberataques. Mantente alerta, protege tus cuentas y disfruta de las redes sociales de manera segura y sin preocupaciones. ¡Tu seguridad en línea está en tus manos!

ingeniería social

El arte de la manipulación digital, la ingeniería social

En la vastedad del ciberespacio, donde la información fluye como un río interminable, se encuentra un arte oscuro y sutil: la ingeniería social. A diferencia de los ataques cibernéticos convencionales que apuntan a vulnerabilidades técnicas, la ingeniería social se enfoca en explotar las debilidades humanas para obtener acceso no autorizado a datos confidenciales y sistemas informáticos. En un mundo cada vez más conectado, entender este fenómeno se ha vuelto crucial para proteger nuestra privacidad y seguridad en línea.

¿Qué es la Ingeniería Social?

La ingeniería social es el proceso mediante el cual los atacantes manipulan a las personas para que revelen información confidencial. Esto puede involucrar técnicas tan simples como el engaño o tan complejas como la creación de perfiles falsos en redes sociales para establecer confianza. Los ingenieros sociales explotan la naturaleza humana: la curiosidad, la empatía y la confianza, para obtener acceso a datos sensibles.

Técnicas más comunes de Ingeniería Social

  1. Phishing: Los correos electrónicos y mensajes engañosos imitan a empresas y organizaciones legítimas para engañar a las personas y hacer que revelen información personal, como contraseñas o números de tarjetas de crédito.

 

  1. Pretexting: Los atacantes inventan una situación para engañar a las víctimas y obtener información. Esto podría implicar hacerse pasar por un colega en una llamada telefónica para obtener acceso a datos confidenciales.

 

  1. Quid Pro Quo: Los atacantes ofrecen algo a cambio de información. Por ejemplo, podrían hacerse pasar por técnicos de soporte que ofrecen ayuda a cambio de acceso a la computadora de la víctima.

 

  1. Tailgating: Implica seguir a una persona autorizada para ingresar a un área segura o física sin autorización. Esto se aplica también en el mundo digital, donde los atacantes pueden «colarse» en sistemas a través de la confianza ciega.

La Amenaza Persistente de la Ingeniería Social

A pesar de los avances en tecnología de seguridad, la ingeniería social sigue siendo una amenaza persistente. Los atacantes se adaptan constantemente, utilizando tácticas más sofisticadas y engañosas para engañar incluso a los usuarios más conscientes de la seguridad.

¿Qué hacer para protegernos?

  1. Educación: La conciencia es la primera línea de defensa. Educar a las personas sobre las tácticas de ingeniería social y cómo identificar posibles amenazas es fundamental.

 

  1. Verificación: Siempre verificar la autenticidad de las solicitudes de información, especialmente en correos electrónicos o mensajes inesperados. Nunca proporcionar información confidencial sin confirmar la identidad del solicitante.

 

  1. Seguridad en Redes Sociales: Limitar la cantidad de información personal compartida en línea y ser selectivo acerca de las conexiones en las redes sociales para evitar que los desconocidos obtengan acceso a detalles privados.

 

  1. Mantener Software Actualizado: Mantener sistemas operativos y programas actualizados con los últimos parches de seguridad ayuda a cerrar posibles brechas que los atacantes podrían explotar.

 

  1. Políticas Empresariales: Las empresas deben implementar políticas de seguridad claras y realizar capacitaciones regulares para sensibilizar a los empleados sobre las amenazas de ingeniería social.

 

La ingeniería social representa una amenaza invisible pero poderosa en el mundo digital. Al ser conscientes de sus tácticas y al mantenernos alerta, podemos protegernos contra sus engaños y salvaguardar nuestra información más valiosa en el vasto paisaje de la internet moderna.

cifrado simétrico

¿Conoces el término cifrado simétrico?

El cifrado simétrico, también conocido como cifrado de clave secreta o criptografía simétrica, es una técnica fundamental en el mundo de la ciberseguridad y la criptografía. En este método, tanto el remitente como el receptor utilizan la misma clave para cifrar y descifrar la información. Aunque puede parecer simple, el cifrado simétrico desempeña un papel crucial en la seguridad de datos sensibles y en la protección de la privacidad en línea.

Principios Básicos del Cifrado Simétrico

En el cifrado simétrico, la misma clave se utiliza tanto para cifrar como para descifrar el mensaje. Este proceso se basa en algoritmos matemáticos que transforman los datos originales en una forma ilegible (cifrado) y luego los vuelven a transformar a su estado original (descifrado) utilizando la misma clave. La seguridad en este método radica en mantener la clave secreta entre el remitente y el receptor, asegurando que los intrusos no puedan acceder a ella.

Ventajas del Cifrado Simétrico

  1. Eficiencia: El cifrado simétrico es rápido y eficiente, ya que los algoritmos implicados son computacionalmente menos intensivos que los utilizados en otros métodos criptográficos.

 

  1. Seguridad: Si se maneja correctamente, el cifrado simétrico es altamente seguro. La seguridad del sistema depende en gran medida de la fortaleza de la clave utilizada y de la implementación del algoritmo de cifrado.

 

  1. Aplicaciones Variadas: Se utiliza en una amplia gama de aplicaciones, desde la protección de datos en tránsito en redes hasta el cifrado de archivos almacenados localmente en dispositivos.

 

Desafíos del Cifrado Simétrico

  1. Distribución de Claves: Una de las principales dificultades del cifrado simétrico es la distribución segura de las claves entre las partes que se comunican. Si un tercero intercepta la clave, puede descifrar el mensaje.

 

  1. Escalabilidad: En situaciones donde hay múltiples usuarios que necesitan comunicarse de forma segura entre sí, la gestión de múltiples claves puede volverse complicada.

 

Ejemplos de Algoritmos Simétricos

  1. AES (Estándar de Cifrado Avanzado): Ampliamente utilizado y considerado seguro, AES opera en bloques de datos y admite claves de diferentes longitudes.

 

  1. DES (Estándar de Cifrado de Datos): Aunque ha sido reemplazado en muchas aplicaciones por AES debido a su longitud de clave corta, DES fue uno de los primeros algoritmos de cifrado simétrico.

 

  1. 3DES (Triple DES): Una variante de DES que aplica el algoritmo tres veces para aumentar la seguridad.

 

El cifrado simétrico es una piedra angular de la seguridad de la información. A pesar de los desafíos en la distribución segura de claves, su eficiencia y aplicaciones versátiles lo convierten en una herramienta valiosa para asegurar la privacidad y proteger datos sensibles en un mundo digital cada vez más interconectado. Es esencial implementar prácticas de gestión de claves robustas para garantizar la efectividad continua de este método en la ciberseguridad moderna.

 

protege tus datos financieros

Protege tus datos financieros de ciberataques

En un mundo cada vez más digitalizado, los ciberataques se han convertido en una amenaza constante para las empresas y sus clientes. Proteger los datos financieros de estos últimos se ha convertido en una necesidad básica, ya que suele ser el principal objetivos de los atacantes. Un ejemplo reciente es el grave ciberataque sufrido por Air Europa el pasado martes 10 de octubre, donde los datos de más de 100,000 clientes quedaron expuestos, incluyendo números de tarjeta, fecha de caducidad y el temido código CVV.

 

La Vulnerabilidad de los Datos Financieros

El caso de Air Europa pone de manifiesto la vulnerabilidad de nuestros datos financieros incluso cuando confiamos en grandes corporaciones. Los atacantes, en este caso, lograron obtener información sensible, permitiéndoles realizar compras fraudulentas en nombre de los clientes afectados. Esta situación plantea una pregunta crucial: ¿cómo podemos proteger nuestros datos en un mundo donde los ciberdelincuentes están un paso por adelante?

 

Cumplimiento Normativo y Responsabilidad Empresarial

Las regulaciones, como PCI-DSS, establecen estándares de seguridad para las transacciones en línea. Sin embargo, como evidencia el caso de Air Europa, incluso las grandes empresas pueden verse comprometidas. Es fundamental que las empresas no solo cumplan con estas normativas, sino que también adopten medidas adicionales para salvaguardar los datos de sus clientes.

 

Educación y Conciencia del Usuario

Como usuarios, también tenemos un papel importante en nuestra seguridad en línea. Es esencial estar al tanto de las prácticas seguras, como evitar compartir información financiera a través de correos electrónicos no seguros o enlaces sospechosos. La educación del usuario es una herramienta poderosa para prevenir el fraude en línea.

 

Seguridad Activa: ¿Cómo Protegerte?

  1. Contraseñas Fuertes: Utiliza contraseñas complejas y cámbialas regularmente. Evita usar la misma contraseña para varias cuentas.

 

  1. Autenticación de Dos Factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto proporciona una capa adicional de seguridad.

 

  1. Actualizaciones y Parches: Mantén tu sistema operativo, aplicaciones y programas actualizados. Las actualizaciones a menudo contienen correcciones de seguridad vitales.

 

  1. Antivirus y Antimalware: Instala un buen programa antivirus y antimalware y escanea tu sistema regularmente.

 

  1. Sospecha de Enlaces y Correos Electrónicos: No hagas clic en enlaces sospechosos y evita proporcionar información financiera a través de correos electrónicos no solicitados.

 

  1. Monitorización de Cuentas: Revisa regularmente tus cuentas bancarias y de tarjetas de crédito para detectar actividad inusual.

 

Los ciberataques como el sufrido por Air Europa nos recuerdan la importancia de la seguridad en línea. Tanto las empresas como los usuarios tienen un papel crucial en la protección de datos financieros. La colaboración entre la industria, los reguladores y los individuos es esencial para crear un entorno digital seguro y protegido. Al tomar medidas proactivas y estar alerta, podemos reducir significativamente el riesgo de ser víctimas de fraudes en línea y proteger nuestra identidad financiera.

 

Las empresas españolas no dan la importancia que merece la ciberseguridad

Las empresas españolas no le dan importancia a la ciberseguridad

La creciente digitalización de los negocios ha originado nuevos peligros, a los cuales debemos enfrentarnos cada día en nuestros negocios. 

 

Para que nos hagamos una idea, durante el año 2022 España se situó como el tercer país a nivel mundial en la recepción de ciberataques, lo que suponía el 94%de las empresas de nuestro país.

 

No importa el sector de tu negocio, ni el tamaño del mismo, todos somos vulnerables ante los delitos informáticos, es por ello que el año pasado la inversión en ciberseguridad creció en un 7,7%. Pero esto no es suficiente, ya que se ha demostrado que la mayoría de empresas utilizan dicha inversión en amenazas puntuales, en lugar de invertir en crear una integración de sistemas de seguridad y crear un espacio protegido tanto para el negocio, como para los clientes.

 

Según el informe de Google “Panorama actual de la ciberseguridad en España”, el 99,8% de las empresas españolas se consideran un objetivo para un ciberataque, lo que significa que alrededor de 3 millones de empresas en nuestro país tienen poca o ninguna protección ante de los ataques de los hackers.

 

Y no es por meter miedo, pero dicho informe también declara que el 60% de las empresas a nivel europeo que son víctimas de un ciberataque, desaparecen en los seis meses posteriores, arrastrando el coste medio económico que suele rondar alrededor de los 35.000 euros.

 

Dicho todo esto y habiéndonos hecho una idea de la importancia que tiene la ciberseguridad para nuestro negocio, vamos a ver cuatro recomendaciones realizadas por el INCIBE (Instituto Nacional de Ciberseguridad de España), para protegerse y evitar pasar por un ciberataque.

Recomendaciones básicas en ciberseguridad

1.Formarse en ciberseguridad

El saber es poder, y en materia de ciberseguridad contar con conocimientos de cómo protegerse ante diversos ataques es crucial, tanto el empresario como sus empleados deben de contar con conocimientos básicos de protección digital, de esta forma logramos crear un ambiente de trabajo seguro a nivel de seguridad.

 

2.Uso de las tecnologías con seguridad

No es solo recomendable el uso de usuario y contraseña al acceder a un servicio, también es recomendable en la medida de lo posible doble factor de autenticación. Esto evita que en caso de filtración de la contraseña, los hackers puedan acceder a la cuenta y robar la identidad del usuario.

 

3.Actualizar de forma constante las tecnologías empleadas

Es importante que todas las tecnologías que utilices en tu negocio estén actualizadas en la última versión, y no utilizar aplicaciones que sean ilegales, ya que esto puede ser una entrada de virus o malware.

 

4.Realizar una o varias copias de seguridad

Se recomiendan mínimo dos copias de seguridad, una en la nube y otra a nivel local, esto facilitará recuperar los archivos en caso de un ataque. El poder recuperar todos los datos en nuestros equipos, es sinónimo de no tener que parar la actividad comercial, ya que con las copias de seguridad podremos retomar el trabajo.

 

En conclusión, estar al día en ciberseguridad es una necesidad para cualquier negocio actualmente, por ello, conocer todas las pautas y medidas que seguir es clave a la hora de proteger tu negocio y su actividad comercial.

Ciberseguridad Global

La importancia de la ciberseguridad para las empresas

Ciberseguridad. Todos hemos escuchado esta palabra y tenemos una noción de lo que significa pero si nos preguntasen ¿qué es la ciberseguridad? ¿sabríamos responder? Y, ¿somos realmente conscientes de la importancia de la ciberseguridad para las empresas

Empecemos por el principio…. ¿Qué es la ciberseguridad?

La ciberseguridad comprendería todas las acciones que se realizan encaminadas a proteger la información, la tecnología y las redes de las muchas amenazas a las que se enfrentan. Supone la implementación de procedimientos y herramientas para salvaguardar la información que se genera y procesa a través de ordenadores, dispositivos móviles, redes, servidores y sistemas electrónicos. Es importante que, para ello, contactemos con un experto en ciberseguridad que nos ayude a poner en marcha todas las medidas necesarias.

Cuando hablamos de ciberseguridad debemos pensar también en la parte preventiva, es decir, la disposición de herramientas que permitan estar preparados en caso de producirse un ataque o brecha de seguridad. Y, por supuesto, también debemos pensar en el futuro, preparándonos por si llegase a darse el ataque. Por eso, la ciberseguridad debe entenderse en tres partes: el antes (prevención), el durante (qué hacer si nos atacan) y el después (formación para que no vuelva a ocurrir).

Ciberseguridad Global

La importancia de la ciberseguridad para las empresas

Aunque todo el mundo está expuesto a sufrir un ciberataque, las consecuencias no son las mismas para un usuario que para una empresa ya que, en el caso de las empresas los daños pueden ser considerables, llegando incluso a interrumpir y dañar sus negocios. Según IBM, en 2021, el coste medio de una brecha de seguridad en los datos fue de 4,24 millones de dólares a nivel mundial, y 9,05 millones de dólares en Estados Unidos. Estos costes incluyen los gastos de descubrimiento y respuesta a la violación, el coste del tiempo de inactividad y los ingresos perdidos, así como los daños a la reputación a largo plazo para un negocio y su marca. Unos datos que explican por sí mismos por qué es importante contar con un plan de ciberseguridad bien definido en una empresa.

Escasez de competencias en ciberseguridad

Volviendo a otra de las preguntas que nos hacíamos al principio… ¿somos realmente conscientes de lo importante que es la ciberseguridad para las empresas?

Una de las principales conclusiones de una encuesta realizada por ESET es que el 64% de las pequeñas y las medianas empresas (Pymes) han experimentado brechas de ciberseguridad. Y otro dato, la escasez de las competencias en ciberseguridad afecta actualmente al 96% de las empresas españolas, según se desprende de un estudio de Palo Alto Networks que estima que la falta de competencias en ciberseguridad es un problema que afecta prácticamente a todas las organizaciones del país. 

Estos datos son un claro reflejo de que las competencias en ciberseguridad son muy escasas, por lo que debemos insistir en la necesaria formación de los empleados en esta materia, pues son ellos una de las entradas principales de los ataques. Si los formamos, si los preparamos, se convertirán en la principal herramienta de ciberseguridad que tiene una empresa.

Algunos consejos básicos para estar seguros

Queremos terminar este post ofreciendo algunos consejos básicos para proteger a una empresa de ciberataques. Estos consejos han sido publicados por INCIBE en su guía Ciberamenazas contra entornos empresariales.

Correos: no se deben abrir ni ejecutar correos de direcciones desconocidas o sospechosas. Conviene recordar también que estos correos pueden estar falseados y tener apariencia de un proveedor, cliente o empresa de prestigio, pero no serlo en realidad.

  • RRSS y SMS: también se debe tener cuidado con estas herramientas, ya que es otra de las vías de entrada de los ataques.
  • Actualización de los dispositivos: es importante mantener los dispositivos actualizados, con programas informáticos originales y en la versión estable más reciente posible.
  • Antivirus: fundamental instalar uno en todos los equipos de la empresa.
  • Contraseñas: deben ser complejas y variadas. Si es posible, se recomienda activar la doble autenticación, por la que se exige confirmar el acceso por una segunda vía, lo que minimiza el riesgo de sufrir ataques aunque nos hayan robado las contraseñas.
  • Copias de seguridad: deben realizarse regularmente y guardarlas en lugares diferentes a donde se almacena la información de la empresa habitualmente.

Ciberseguridad Global¿Qué hago si he sufrido un ciberataque?

Si crees que has sufrido un ataque, contacta con las Fuerzas y Cuerpos de Seguridad del Estado y el INCIBE. Si en este ataque se han comprometido datos de carácter personal debes contactar, por Ley, con la Agencia Española de Protección de Datos, para activar el protocolo oportuno.

Y, por supuesto, ponte en contacto de inmediato con un especialista en ciberseguridad que te ayude a mitigar el impacto del ataque y pueda protegerte para que no vuelvan a producirse ataques en un futuro

que-es-zero-trust

Qué es la seguridad ‘zero trust’

que-es-zero-trust

Las empresas se han visto obligadas a adaptarse al repentino cambio hacia el teletrabajo y a un panorama de ciberamenazas cada vez más peligroso. Y una de las formas en que se han adaptado es adoptando una estrategia de ciberseguridad de zero trust o confianza cero. Sin embargo, muchas empresas siguen sin saber qué es exactamente la seguridad zero trust. ¡Te lo contamos!

¿Qué es zero trust?

La confianza cero o zero trust es un enfoque estratégico de la ciberseguridad basado en el principio de «nunca confíes, siempre verifica». Un modelo de zero trust elimina la confianza implícita y, en su lugar, se propone no confiar en nadie ni en nada. Esto significa que todos los usuarios, ya sea dentro o fuera de la red de la organización, deben ser autorizados y validados continuamente antes de que se les conceda o mantenga el acceso a las aplicaciones y los datos.
La confianza cero se desarrolló a partir de ver que los modelos de seguridad tradicionales ya no eran adecuados para un panorama informático en rápida evolución. Estos modelos asumían que todo lo que estaba dentro de la red de una organización podía ser de confianza. Sin embargo, esto significaba que una vez que cualquiera que obtenía acceso a la red, podía moverse por donde quisiera y accedía a todo tipo de datos.

¿Por qué es importante un modelo zero trust?

Aunque no son perfectas, las estrategias tradicionales de seguridad informática, como las VPN y los cortafuegos, hacían un trabajo suficientemente bueno para proteger las redes corporativas. Estas estrategias funcionaban creando un perímetro alrededor de la red y permitiendo que todos los usuarios y dispositivos autentificados viajaran por la red y accedieran a los recursos según fuera necesario.

Sin embargo, hoy en día, este enfoque simplemente no es lo suficientemente seguro. Las empresas están migrando cada vez más a la nube y el trabajo remoto está en alza. Además, los ciberdelincuentes son cada vez más perfeccionistas en sus ataques. Por lo que proteger solo una parte de nuestros sistemas es peligroso.

¿Cuáles son las otras razones por las que el método zero trust es esencial para las empresas en evolución?

Centros de datos en la nube y responsabilidad de seguridad compartida

Las aplicaciones y cargas de trabajo se están trasladando de los sistemas propios de la empresa al almacenamiento en la nube. Es importante saber que este nuevo proceso necesita una responsabilidad de seguridad compartida en la que el proveedor de la nube cubre ciertos aspectos de seguridad y otros recaen en la organización.

Las aplicaciones SaaS y PaaS de terceros aumentan el riesgo de seguridad

Las aplicaciones de software como servicio (SaaS) y de plataforma como servicio (PaaS) son ahora muy comunes en el escenario IT. Sin embargo, aunque son muy útiles, no se debe confiar ciegamente en estas herramientas.

Los proveedores de SaaS y PaaS utilizan software de fabricantes de equipos originales (OEM) para potenciar la funcionalidad de sus productos mediante soluciones integradas que reducen los costes de desarrollo. Esto significa que, aunque son dueños de la lógica central de estas aplicaciones, a menudo no tienen la propiedad (o un conocimiento completo) sobre los componentes individuales del software, esto puede suponer un riesgo de seguridad importante.

Trabajo a distancia y redes inseguras

Con cada vez más aplicaciones que se trasladan a la nube, los usuarios pueden acceder a las aplicaciones que necesitan desde cualquier lugar. Y con el teletrabajo eso es exactamente lo que los usuarios están haciendo. Sin embargo, esto significa que los usuarios ya no están tratando con una red empresarial segura, sino con una Internet no segura.

Además, las empresas no deberían dar por sentado que la configuración del trabajo desde casa de sus empleados es tan segura como el entorno de la oficina. Por ejemplo, los empleados pueden tener en casa dispositivos IoT inseguros. O su WiFi podría no utilizar los protocolos de seguridad WPA-2.

Además, los vendedores, proveedores y socios también pueden necesitar acceso a la red para realizar tareas específicas. Sin embargo, no es necesario que los empleados accedan a todas las aplicaciones, datos e infraestructura. La filosofía zero trust permite un acceso más preciso y ajustado para garantizar la seguridad de la red.

Si estás pensando en instalar una arquitectura zero trust en tu empresa, en Ciberseguridad Global contamos con soluciones avanzadas que se adaptan fácilmente a tus necesidades empresariales.

peligros-wifi-publica

Cuáles son los peligros de una WiFi pública

peligros-wifi-publica

Imagina que un día estás en casa de un amigo y te ofrece la conexión de su WiFi o que acabas de llegar de un viaje y te conectas a la red pública del aeropuerto… ¡Cuidado! Presta mucha atención si te conectas a redes públicas o domésticas, pues son grandes los riesgos a tener en cuenta. En este artículo vamos a contarte cuáles son los peligros de una WiFi pública.

La mayoría de las personas se conectan a estas redes sin tener mucho cuidado, y aunque la idea de ahorrar datos de la tarifa es tentadora, ahora ya sabes que las consecuencias no son pequeñas. Si usas este tipo de conexiones, estás exponiendo tus datos.

Cuando hablamos de WiFi pública nos estamos refiriendo a las que no están protegidas por contraseña, pero también son peligrosas aquellas que sí la tienen, pero esta es débil o se conectan muchos usuarios a ella. Estas son especialmente atrayentes, pues el establecimiento suele tener un cartel de ‘WIFi gratis’ que nos invita a conectarnos.

Qué no debes hacer en una wifi pública

Si ya estás dentro de este tipo de redes, toma algunas precauciones para que el riesgo sea el menor posible:

  • Evita hacer compras online, ya que cualquier transacción bancaria es potencialmente peligrosa al intercambiar datos sensibles.
  • No introduzcas contraseñas si quieres evitar que todos tus perfiles de redes sociales o plataformas queden al descubierto.
  • Si vas a conectarte, al menos asegúrate que la seguridad de la red sea WPA o WPA2, las WEP son las más vulnerables a las amenazas.
  • Procura no activar la conexión automática, así evitarás que la próxima vez que estés cerca de ese WiFi no se te conecte sin tu consentimiento.

En definitiva, cualquier operación que tenga que ver con compartir datos está altamente desaconsejada.

Cómo estar seguro en una red pública

Estas son algunas recomendaciones, pero no nos aseguran una quiebra de seguridad de datos en nuestros dispositivos. Por ello, ahora vamos a explicarte el uso de las redes privadas virtuales o VPN, del inglés virtual private network, con las que tu información estará totalmente protegida gracias a una conexión virtual que se sitúa en medio de tu conexión de internet y tu dispositivo, creando así una especie de túnel en el que tus datos se mantienen seguros. Este servicio puede usarse en cualquier dispositivo y es la solución perfecta para conseguir privacidad y tranquilidad en tu navegación.

Algunos de los usos de las redes VPN son las siguientes:

  • Ayuda a omitir algunas barreras por países.
  • Pueden falsear la ubicación.
  • Permite conectarte a una red privada.

Este servicio es sin duda la mejor opción para conectarte a una red pública para navegar de una forma segura y mantener tus datos protegidos. Sin embargo, también cuenta con algunas desventajas, por ejemplo, la velocidad de la conexión puede debilitarse, no siempre se puede falsear la ubicación y, como suele pasar, si quieres gozar de un buen servicio tendrás que contratarla.

Otras recomendaciones para navegar con seguridad

Además de tener cuidado con las conexiones WiFi, hay ciertos aspectos de seguridad básica que siempre deberías aplicar en el uso de tus dispositivos para evitar los ciberataques.

  • Evita entrar a redes WiFi sin contraseñas o con contraseñas débiles.
  • Desactiva la opción WiFi cuando no la estés usando, así impedirás la transmisión continua de datos.
  • Mantén tu equipo actualizado. Tanto las mejoras de rendimiento como las mejoras de la protección ayudarán a reparar las vulnerabilidades y proteger el sistema.

Si a pesar de tomar estas recomendaciones, crees que estás sufriendo o has sufrido un ciberataque, ponte en contacto con nuestro equipo de expertos en ciberseguridad, analizaremos tu caso e implementaremos una solución personalizada.

ingenieria-social

Qué es la ingeniería social

que-es-ingenieria-social

La ingeniería social son las técnicas que usan los ciberdelincuentes para intentar manipular y engañar a las víctimas. El objetivo es ganarse su confianza para obtener un beneficio, ya sean contraseñas, datos personales, bancarios o la instalación de programas maliciosos en sus dispositivos. Un correo electrónico, un mensaje o una llamada son los métodos más usados en los ataques de ingeniería social. A través de estos medios nos ofrecen algo que parece tener muchas ventajas para nosotros y nos incitan a participar. Por ello, es muy importante conocerlos, identificarlos a tiempo y saber reaccionar.

Tipos de ataque de ingeniería social

Son muchas las formas de hacer un ataque de ingeniería social, y aunque son difíciles de detectar, el primer paso para que podamos identificarlos es conociendo algunas de las técnicas que se emplean con más frecuencia.

Spam en correo electrónico

Este tipo seguro que te suena, y es que el ataque de spam por correo electrónico es algo que todos hemos sufrido. La mayoría de estos mensajes pueden ser simplemente fastidiosos, sin embargo, también es la principal vía usada por los ciberdelincuentes para obtener información o datos personales.

Estos emails se envían desde la lista de contactos, por eso, a veces nos llegan correos que parecen de amigos, familiares o compañeros de trabajo, pero en realidad son spam. Desconfía de los enlaces externos o documentos adjuntos que estos emails sospechosos puedan contener. Esta técnica es la que se conoce como phishing, un post anterior te contábamos qué es el phishing, tipos de ataque y cómo evitarlos.

Vishing

El vishing o phishing por voz es un tipo de phishing que consiste en suplantar una llamada de una empresa, compañeros o amigos. En este tipo de ataque los ciberdelincuentes se hacen pasar por una persona de confianza para obtener datos o información sensible.

Smishing

El smishing es una estafa que se produce a través de los SMS. Los atacantes envían un mensaje de texto haciéndose pasar por otra persona, con el objetivo de sustraer datos o instalar un malware. Normalmente, intentan simular urgencia, para que la víctima actué rápido y caiga fácilmente en el engaño.

Baiting

Los ataques de ingeniería social también se dan fuera de Internet. Un ejemplo de ello es el baiting, técnica que consiste en que el atacante, por ejemplo, deja un dispositivo infectado (USB o similar) en un escritorio, con la intención de que la víctima lo introduzca en su ordenador. ¡Tachán! A partir de ese momento, estás infectado por un malware.
Es muy fácil caer en esta trampa, por lo que te recomendamos que no introduzcas nada desconocido en tus dispositivos, por mucho que te pique la curiosidad.

Pretexting

El pretexting es un tipo de ataque de ingeniería social en el que los atacantes inventan una historia para engatusar a la víctima, a la que finalmente consiguen sacarle datos personales o bancarios. Normalmente investigan mucho para saber qué tema puede conmover y convencer más a la víctima. El pretexting suele ser por llamada telefónica, así que te recomendamos que desconfíes de aquellos que te pidan datos personales, aunque parezcan técnicos o profesionales del servicio al cliente de alguna compañía.

El mejor consejo para no caer en estos ataques es el sentido común. Sin embargo, como sabemos que no siempre es una tarea fácil, desde Ciberseguridad Global vamos a darte algunos consejos de forma más específica.

Cómo evitar un ataque de ingeniería social

Como venimos comentando, estos ataques son difíciles de detectar, ya que se aprovechan de los sesgos cognitivos y comportamientos inocentes como la curiosidad o el querer ayudar a un conocido. Es importante que tomemos todas las precauciones para que, si en algún momento somos infectados, nos afecte lo menos posible. Te contamos aquí cómo evitar un ataque de ingeniería social.

  • Instalar un antivirus: una buena protección será capaz de evitar que entren programas sospechosos a tu dispositivo.
  • Configuración de spam: para evitar el spam en el correo electrónico puedes configurar los filtros de este en la configuración. Se trata de fortalecerlos para que los mensajes que no deseemos se muevan a una carpeta de spam.
  • Investigar la procedencia: prestar atención a la fuente es de vital importancia para darnos cuenta de si estamos siendo víctimas de un ataque de ingeniería social. Cuando recibas un correo, una llamada o un SMS, busca ese dato en el navegador por si hay alguna información que indique sospecha.
  • Si parece tener muchos beneficios, seguramente sea falso: no confíes en ofertas muy llamativas a cambio de muy poco. Pregúntate primero si esa persona contactaría contigo de ese modo para darte esa noticia o si los datos que te piden son realmente necesarios.
  • Pide identificación: pregunta dónde trabajan, para quién e investiga sobre la procedencia. Esto también es importante hacerlo en las estafas que se hacen, por ejemplo, en comunidades de vecinos, donde es muy fácil que alguien abra la puerta sin comprobar quién es.
  • No utilices las mismas contraseñas: si han infectado tu dispositivo es muy probable que hayan averiguado alguna de tus contraseñas. Procura usar diferentes para cada plataforma y así evitarás que puedan acceder a todas tus cuentas privadas.