¿Y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
A pesar que en TECNOideas ya no somos consultores de tecnología informática “en general”, algunos clientes y conocidos siguen preguntándonos cosas al respecto. Nos referimos a preguntas sobre como arreglar móviles, instalar ordenadores, o arreglar problemas de velocidad en sus instalaciones domésticas.
Hoy nos quedamos con esta última cuestión, porque es redundante a lo largo del tiempo. Ciertamente en el tema de la velocidad intervienen muchos factores y algunos de ellos no son realmente informáticos. Sabemos (y lo vemos continuamente) que muchas veces es cuestión de wifis con interferencias. Por ejemplo, cuando hay mucha distancia entre aparatos y unos quedan muy lejos de los otros, con muros de piedra (o incluso plomo) de por medio.
Pero también hemos visto que hay gente que tiene rúters de más de 100 megabits, con cableado CAT5e o CAT6, pero con un cruzado, que no es precisamente “mágico” (permitidnos un chiste para los más viejunos).
Y es que por muchos megas que de vuestro operador, si vuestro adaptador de red, no pasa de 100 megas, pues no habrá magia. Es en ese momento que nos planteamos la pregunta ¿y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
En el tema del cableado, si este no tiene las terminaciones correctas, es decir en un lado 568A y en el otro lado 568B, tal como está en la figura, por mucho cable CAT5e o CAT6 que sea, no podrá dar la velocidad requerida, 1.000 megabits por segundo.
Así que si hacéis un Test de Velocidad por cable, y pese a tener esa categoría de cables el resultado es que no pasáis de 100 megabits, plantearos cambiar uno de los extremos, tal y como os hemos explicado.
Y si el problema es que no tenéis esa categoría en el cableado, plantearos cambiarla a una más moderna.
Os queremos recordar que TECNOideas tiene una importante área de formación. Y uno de sus cursos básicos es el de Ciberseguridad en el teletrabajo. Se trata de un curso sencillo, de 4 horas de duración, donde se explican algunas de estas cosas, imprescindibles en este momento en que el trabajo en el domicilio se hace con equipos caseros, con rúters sin protección y que se usan tanto para el teletrabajo como para el estudio escolar, la contabilidad familiar o los videojuegos. En él podréis hacer la pregunta que da pie a este artículo: ¿Y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
- Publicado en Consultoría, Formación, General, Noticias
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)?
Toda empresa que trabaje, preste un servicio en régimen de concesión, encomienda de gestión o contrato que le relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.) deben certificar que cumplen el Esquema Nacional de Seguridad.
El ENS determina la política de seguridad en la utilización de medios electrónicos. Está constituido por unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Naturalmente todas las Administraciones deben adecuarse a ello. Pero también las entidades privadas que manejan datos sensibles, de alto riesgo, deben implantar el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad?
• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.
Tenéis más información en la web del Centro Criptológico Nacional.
TECNOideas os ayuda en todo el proceso de certificación.
Confiad en una empresa especializada en ciberseguridad.
¿Cuál es el marco regulatorio del ENS?
• Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se crea el Esquema Nacional de Seguridad.
• Real Decreto 3/2010 de 8 de enero. Se aprueba el ENS y determina la política de seguridad en la utilización de medios electrónicos. Fija los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley 40/2015 de 1 de octubre. Recoge el ENS en su artículo 156 apartado 2.
• Real Decreto 951/2015 de 23 de octubre. Recoge el entorno regulatorio de la Unión Europea de las tecnologías de la información y de la experiencia de la implantación del Esquema.
• Tras esta última actualización se determinó que sería exigible su completo cumplimiento a partir del 5 de noviembre de 2017.
La legislación prevé multas y sanciones para las empresas que aun no están certificadas.
Tenéis más información en el portal de la administración electrónica (PAE) del Gobierno.
La legislación prevé multas y sanciones
para las empresas que aun no están certificadas.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¿Qué medidas de seguridad recoge?
El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:
• Marco organizativo: 4 medidas
• Marco operacional: 31 medidas
• Medidas de protección: 40 medidas
Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.
Para los niveles MEDIO o ALTO, la certificación es obligatoria.
En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.
Las empresas deben implantar los controles que establece el ENS para cada caso. La certificación se consigue superando una auditoría de una entidad independiente y autorizada por el Centro Criptológico Nacional.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¡Certificaros con TECNOideas 2.0.!
Os ayudamos a obtener vuestra certificación. Si ya sois clientes nuestros y ya conocemos vuestras necesidades, la certificación puede ser más rápida.
Si todavía no nos conocéis, podéis certificaros con nosotros y así descubriréis nuestra forma de trabajar y nuestra experiencia.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad
Wontech, consultoría tecnológica neutral
Que todas las empresas puedan tener una consultoría en TICS es el reto que se marcó la consultora Wontech cuando se fundó en 2016. Dos años después desembarcó en España. Y ya están presentes en varios países de Europa. Para conocer mejor los servicios de esta empresa hablamos con Daniel Fernández, Partner Alliance Manager en Wontech.
No formas parte del equipo inicial, pero conocías a los fundadores de Wontech y ya llevas más de dos años en la empresa. ¿Cuál es el secreto de que una compañía pequeña, con poco personal, crezca tanto en clientes y en facturación?
El secreto es desarrollar un nuevo modelo de relación entre clientes y proveedores basado en la experiencia previa de nuestro equipo en tecnología y desarrollo de negocio. Proponemos un servicio diferente y neutral a nuestros clientes y dedicamos la mayor parte de nuestros recursos a asesorarlos. Al mismo tiempo dejamos la mayor parte de tareas transaccionales en manos de la tecnología.
“Dedicamos la mayor parte de nuestros recursos
a asesorar a los clientes
y dejamos la mayor parte de tareas
transaccionales en manos de la tecnología.”
Uno de los secretos es que vuestra asesoría no cuesta dinero a los clientes porque tenéis unos patrocinadores ¿Cualquier empresa puede ser espónsor de Wontech? ¿Qué pasa si una empresa no es lo que parece y al final no funciona la relación?
Obviamente tienes que ofrecer soluciones y servicios que encajen con la demanda del mercado. Desde Wontech damos un voto de confianza a las empresas que quieren colaborar con nosotros, y si no funciona simplemente significa que nuestros modelos de negocio no encajan.
Aparte de la operativa, ¿cuál crees que es vuestra diferencia fundamental respecto a empresas de venta de leads y consultoras de venta?
El origen del lead y la cualificación técnica, esas son las principales diferencias. Detrás de cada lead hay un cliente de Wontech al que asesoramos en todo tipo de tecnologías. Un consultor de Wontech cualifica su necesidad para encontrar el proveedor adecuado para una necesidad concreta.
Marketing, el eterno dilema para la pequeña empresa. ¿Cómo encontráis nuevos clientes?
La mayor parte de los leads provienen de nuestra comunidad de clientes. Hay que entender sus necesidades y sus planes a medio y largo plazo para poder detectar la oportunidad. Como cualquier compañía, vamos creciendo y captamos nuevos clientes, pero el marketing no es nuestra herramienta principal.
“Wontech debe ser un aliado
que te aporte negocio adicional,
de forma directa y flexible.”
Hacéis un gran trabajo en los informes iniciales que no hacen otras empresas de venta de leads. ¿Crees que una empresa pequeña con 3-4 opciones al mes puede dejar de hacer marketing y tener una buena vía con vosotros?
Entendemos Wontech como una herramienta complementaria a las acciones de marketing y al resto de herramientas comerciales. Wontech debe ser un aliado que te aporte negocio adicional, de forma directa y flexible.
Desde hace un tiempo, hacéis hincapié en la ciberseguridad a vuestros clientes. ¿Es el momento de la ciberseguridad por necesidad? Vuestras empresas cliente, ¿ya están más abiertas y receptivas a la necesidad de comprar y mantener servicios de ciberseguridad?
Diría que fue en el 2019 cuando las pymes decidieron dar el paso adelante. El 2020 está confirmando la tendencia que, sumada al impacto de la COVID y el aumento de la operativa online nos ha llevado a que el 22% de los leads publicados en los últimos 2 meses sean de la línea de seguridad.
“TECNOideas es una opción viable para muchos clientes,
no hay un solo proveedor válido para todas las empresas.”
¿Qué os aportan empresas pequeñas, como la nuestra, con cultura hacker y gente ya muy experimentada? ¿Es TECNOideas 2.0 una opción viable para según qué tipo de cliente teniendo en cuenta que en España hay gigantes de ciberseguridad?
Wontech es una buena solución para que los clientes conozcan empresas que hagan las cosas de otra manera. Definitivamente empresas como TECNOideas 2.0 nos aportan ese valor diferencial. TECNOideas es una opción viable para muchos clientes, no hay un solo proveedor válido para todas las empresas. Damos mucha importancia a la cualificación del lead justamente para que empresas como vosotros podáis elegir el proyecto adecuado.
- Publicado en Consultoría, Entrevistas, General
Consejos para ahorrar en las facturas y costes de vuestra empresa
Los costes propios de vuestra empresa y las facturas suponen un grueso importante que pueden reducir los beneficios que podáis tener, por lo que es muy importante controlarlos, sobre todo en todo lo que tenga que ver con los consumos energéticos. En este artículo os vamos a ofrecer varios consejos para que lo consigáis de forma sencilla.
¿Cuál es la mejor tarifa de luz y gas en 2020?
Lo primero de todo es que es altamente recomendable utilizar un comparador de tarifas de luz y gas online para así seleccionar las tarifas de luz y gas que resulten más convenientes para vuestro caso particular. Y es que se habla mucho que las empresas deben ser eficientes y hacer un consumo óptimo para ser sostenible y ahorrar dinero, pero obviamente la sostenibilidad no vale nada si no se cuentan con tarifas energéticas baratas.
Por supuesto, si os camb iáis de local, debéis tener en cuenta que es posible que haya que dar de alta el gas y la luz. Por supuesto, tanto para dar de alta el gas por primera vez como la electricidad, debéis hacerlo con tiempo, para que en caso de que haya problemas para dar de alta el gas natural podáis resolverlo tranquilamente y sin prisas.
Tomad partido por un mundo más sostenible
Por supuesto, no todo en la sostenibilidad tiene que ver con la energía eléctrica. Hay otros muchos aspectos que hay que tener en cuenta pero, sin duda, los más importantes son los siguientes:
- Hay que aprovechar todas las posibilidades que nos ofrece la gestión digital y evitar al máximo el uso de papel, salvo en los casos realmente excepcionales.
- En caso de que no haya otro remedio y que haya que usar el papel siempre es preferible utilizar papel reciclado y tintas ecológicas.
- Por otro lado, la gestión digital de todos los servicios de vuestra empresa puede tener un inconveniente: enfrentarse a los ciberdelincuentes que puedan atacar los datos que tengáis en vuestros ordenadores o en la nube. Por eso es imprescindible que os pongáis en manos de profesionales para evitar que eso ocurra y vuestros datos se encuentren muy seguros. Podéis ver nuestros servicios AQUÍ.
- Del mismo modo, en lugar de contar con una oficina física, actualmente es muy posible gestionar la atención al cliente de forma telemática, tanto a través de un servicio de chat o por teléfono. Eso evita desplazamientos innecesarios a los clientes y el servicio puede prestarse de forma más ágil.
- Para finalizar, hay que poner de relieve la importancia de contar con la colaboración de una empresa de logística que efectúe el transporte de vuestros productos de la forma más sostenible posible; de hecho, ya son muchas las empresas que realizan un reparto en vehículos ecológicos tal y como se puede comprobar en este artículo.
Todo ello hace que el ahorro energético y la sostenibilidad de una empresa sea muy sencillo, aunque por supuesto hay muchas más ideas que podéis implementar para conseguirlo. No en vano, las que os hemos mostrado son válidas para cualquier tipo de compañía, no importa cuál sea.
Pero si recordáis estos consejos de ahorro en las facturas y costes de vuestra empresa, ya habréis puesto un granito de arena más en la sostenibilidad.
- Publicado en Consultoría, General, Hazlo tu mismo
Despachos profesionales ciberseguros
Nadie está libre de un ataque de ciberdelincuentes.
A menudo pensamos solamente en grandes empresas, pero eso no es así. También las pymes son objeto de ataques. Y nos olvidamos de otro importante colectivo: el de los despachos profesionales: abogados, economistas, gestores, auditores, profesionales de ciencias de la salud, etc. Todos ellos poseen datos importantes de sus clientes y eso es muy atractivo para los ciberdelincuentes. Escoged despachos profesionales ciberseguros.
¿Cómo puede un cliente saber que el profesional que está buscando cumple la Ley de Protección de Datos, tiene actualizadas sus medidas de ciberseguridad y el riesgo de ataque es prácticamente cero?
ProDespachos.com, el mayor directorio de despachos de España
Una primera opción para escoger bien al profesional que se está buscando es navegar por Prodespachos.com.
Estamos ante el directorio de firmas profesionales españolas con más años de historia, ya que se remonta al año 2003. La idea era tan simple como necesaria: potenciar y dar visibilidad a los profesionales a través de Internet. No tardaron en darse cuenta que, además de ayudar a particulares, empresas o directivos a localizar los mejores profesionales, también podían ayudar a los despachos a ser más visibles, lograr oportunidades en el mercado y ofrecerles una serie de servicios que les ayudaría a crecer.
Hay que decir que ProDespachos forma parte de Amado Consultores, una empresa que nació en 1996 con el objetivo de ofrecer servicios especializados en gestión y dirección de despachos profesionales. Y eso es un elemento fundamental para que los clientes sepan que los profesionales que necesitan y que encuentran en ProDespachos tienen la garantía del saber hacer y el apoyo constante de una consultoría en temas de normativas y legislación, perfeccionamiento de habilidades profesionales, asesoría tecnológica y además formación.
Webinar de TECNOideas
Amado Consultores ha confiado a TECNOideas un webinar sobre “Teletrabajo y Ciberseguridad” que ofrece gratuitamente a sus clientes.
Se trata de una sesión on line que tendrá lugar el 3 de diciembre. La impartición irá a cargo de nuestro colaborador Jordi Ubach y tendrá el siguiente temario:
- Gestión y acceso a la información
- Teletrabajo y conectividad
- Ataques dirigidos
- Backups
- Proceso de auditoria
- Seguros de Ciberseguirdad
Para el último apartado sobre los seguros también contaremos con Albert Solé, especialista en ciberseguridad de la empresa MGS Seguros, al que todos vosotros ya debéis conocer puesto que lo entrevistamos en este mismo blog.
Tenéis más información sobre esta formación de Amado Consultores para ProDespachos y la posibilidad de inscribiros AQUÍ.
El teletrabajo es una puerta abierta a los ciberdelincuentes. Por eso ya hace tiempo que TECNOideas tiene un curso de formación sobre este tema. Podéis ver toda la oferta formativa que tenemos AQUÍ.
- Publicado en Consultoría, Formación, General
ProMonitor: un servicio antipiratería y de reputación online
Una empresa de servicios como la nuestra, no puede estar cerrada nunca a las peticiones de sus clientes y a la evolución de los servicios que requiere el mercado. Es así como a veces comenzamos aventuras sin darnos prácticamente cuenta.
Hoy os queremos contar un caso de éxito surgido de estas necesidades y de nuestro conocimiento en diferentes áreas.
La realidad es que tras un par de peticiones por parte de unos clientes descubrimos que podíamos prestar un nuevo servicio muy concreto. Y que además el mercado no lo tenía cubierto y lo necesitaba. Así que nos pusimos a trabajar y poco a poco avanzamos hasta la creación de ProMonitor. El proyecto se convirtió en un éxito hasta el punto que decidimos que tuviera vida propia más allá de los servicios que prestaba TECNOideas 2.0 ciberseguridad.
ProMonitor: un servicio antipiratería y de reputación online que son cuatro servicios muy ligados entre sí
Tener vida propia significa, entre otras cosas, que hemos creído conveniente crearle su propia web: ProMonitor.es.
Si navegáis un poco por ella veréis que se trata de ayudar a proteger el contenido digital o físico de su venta fraudulenta en Internet; del monitor reputacional de personas, marcas o empresas y del proceso de venta de los e-commerces.
Todo comenzó con el encargo de un cliente, que nos pidió que indagáramos sobre la posibilidad que hubieran pirateado sus productos físicos. El cliente creaba un producto artesanal, de alto precio y que vendía por Internet. Tras haber vendido varias unidades a un cliente de China, se percató que sus ventas habían bajado más de un 50%.
Empezamos a trabajar y, efectivamente, encontramos copias del producto original que se vendían a un 10% del valor inicial. Y además nuestro cliente no recibía nada por ello.
Como somos peritos judiciales redactamos informes periciales, y acompañamos a nuestro cliente en todo el proceso judicial que aun sigue a día de hoy.
Este hecho nos abrió los ojos y contactamos con otro cliente que se dedica a la formación online grabada. Lo hicimos porque éramos conscientes que en su sector hay mucha piratería. Muchos de sus cursos se vendían en Internet a un precio irrisorio sin que el verdadero propietario de los derechos recibiera nada a cambio.
Nuestro cliente se prestó a que estudiáramos su caso, que funcionó y tuvimos éxito, por lo que luego contactamos a otras empresas del ramo.
Así que con todo probado, pasada la fase Alpha y la Beta, y teniendo ya varios clientes, lo hemos puesto en orden y perfeccionando. Para ello acudimos a una empresa hermana, ORION ANALISTAS, de manera que ahora ofrecemos un servicio más completo a nuevos clientes que tengan la piratería por condena, tocada su reputación online por trolls, o que crean que la venta de sus productos físicos o su proceso de postventa no es del todo óptimo.
En resumen, ProMonitor significa un servicio antipiratería y de reputación online que consta de cuatro servicios interconectados:
• Antipiratería de productos digitales
• Protección de productos físicos en la venta online
• Monitor reputacional, comentarios falsos
• Certificación de calidad en los procesos de compra
Así que si haces contenido digital, cobras por él, o tienes productos físicos que fabricas tu o tu empresa, eres o tienes una marca, en la que te influye la reputación online a la hora de los ingresos, o tienes un e-commerce, y quieres auditar el proceso de después de la compra, en ProMonitor te podemos ayudar.
- Publicado en Consultoría, General, Privacidad, Protección de datos, Seguridad, Sobre TECNOideas
Nueva versión GuardedBox, y es ya la 2.0
Uno de los mayores riesgos en el que ponemos a nuestros sistemas tiene lugar con el envío de información sensible a través de email o mensajería instantánea, pensando que eso es seguro. Craso error. Eso es un peligro público. Por suerte hay softwares que os permiten hacerlo con total seguridad y uno de los mejores, que además es “made in Spain” y gratuito, es GuardedBox. Ahora acaban de presentar la nueva versión GuardedBox, la 2.0.
Pues como nosotros, GuardedBox llega a la versión 2.0, un software para compartir datos sensibles entre usuarios o entre diversas personas de un mismo grupo. Léase también de la misma empresa.
También acarrea nuevo logo, porque ya se sabe, versión nueva, logotipo nuevo. Aquí os lo presentamos.
Para los que no conozcáis todavía GuardedBox, deciros que es un software online, que sirve para almacenar datos y contraseñas, de forma segura y para compartirla entre una persona o un grupo. Nació en abril de este año y un poco después ya os hablamos de él en este mismo blog.
Probamos el sistema y realmente es de uso sencillo y seguro, por lo que nos atrevimos a recomendarlo vivamente. Desde su salida al mercado los responsables de GuardedBox ya empezaron a trabajar en mejorar sus prestaciones. A través de su Twitter llevaban tiempo adelantado las nuevas funcionalidades de esta versión, pero al comprobar el changelog uno se asusta al ver todo lo que han sido capaces de mejorar:
- Cambio de contraseña
- Secretos de grupo editables
- Dispositivos de confianza con 2FC
- Secretos offline
- Protección contra Rainbow Tables
- Cuenta atrás o temporizador de fin de sesión
- Y varios más…
Describirlos todos costaría un par de post, pero si queréis saber más, podéis consultar su changelog.
Antes os decíamos que GuardedBox era un software creado en España. La empresa que lo creó y que está detrás de la nueva versión GuardedBox es DinoSec. Se trata de una compañía independiente de seguridad fundada en España en el año 2008. Y sus responsables son Mónica Salas y Raúl Siles, analistas de seguridad y fundadores de DinoSec. La tercera pata de la empresa es Juan José Torres, el creador original de GuardedBox.
Para conocerlos mejor y saber más del producto, TECNOideas los entrevistó. Podéis leer la entrevista AQUÍ.
Si sois de los que trabaja en equipo y pensáis, como nosotros, que enviar contraseñas por WhatsApp, Telegram o email, es caduco y poco seguro, tenéis que usar este software, que además, de momento, es gratuito.
TECNOideas 2.0 ciberseguridad tiene entre sus servicios la consultoría de ciberseguridad, por si su empresa no cuenta con un CISO, o necesita una versión externa. Nosotros usamos varias soluciones en nuestro día a día, y como no las recomendamos, cada una de ellas.
- Publicado en Consultoría, General, Hazlo tu mismo
Ante la imaginación, preparación
Sabemos que los delincuentes, ya sean analógicos o en su versión digital o ciber, echan mano de su imaginación para darle la vuelta a todo lo que hacemos, poder vulnerarnos, y sacar provecho económico de ello, que es su último fin.
A las bien sabidas y conocidas campañas de información falsa de la Agencia Tributaria, la Seguridad Social, Correos, couriers diversos, etc. desde hace algún tiempo están enviando emails con archivos compartidos.
Estos archivos compartidos están en Drive, Onedrive, Dropbox, etc. y como no tienen malware. Los “malos” envían comunicaciones masivas para ver si alguien pica, y cuando haces click y descargas el archivo, voilà!
También hemos recibido algún email al correo corporativo, por anuncios que tenemos o hemos tenido en diferentes e-commerces, plataformas de venta, o sitios de anuncio, con la misma técnica, e incluso sms con links.
Hace ya un tiempo, y creo que sigue vigente, también había mensajes en las redes sociales, sobre todo Facebook, e incluso links a juegos, que no eran tal, cuando se puso tan de moda que se compartiera con los amigos y se jugaran a los mismos juegos.
Aunque parezca que venga de un medio fiable, nadie nos va a enviar un prepago de una gran cantidad (si es un anuncio de venta), o nuestro amigo de toda la vida ahora le ha dado por aprender inglés y enviarte un correo en ese idioma por primera vez, o somos los afortunados herederos de una gran fortuna o de alguien que quiere invertir en nuestra idea, aunque no la tengamos (la gente sigue picando), y así etc.
Sentido común, cierta desconfianza, que no miedo, y comprobar, tanto los ficheros adjuntos como los links a la mínima sospecha (en VirusTotal por ejemplo, como hemos explicado en otro artículo).
Si su empresa necesita formación, para afrontar esta problemática, o consultoría y/o una auditoría para intentar mejorar la seguridad de sus sistemas de información, TECNOideas presta todos estos servicios y alguno más. Contáctenos sin ningún compromiso.
- Publicado en Consultoría, Formación, General, Hazlo tu mismo
En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro!
El sector automovilístico está en una transición histórica que ha de llevar a un cambio total del modelo de movilidad actual. Pero antes de la llegada de todos los cambios anunciados, llegará el coche ciberseguro.
A partir del año 2022 todos los coches que se vendan deberán tener un certificado de ciberseguridad.
Quizá algunos de vosotros todavía cree que la ciberseguridad es cosa de ordenadores, móviles, tabletas y con un poco de suerte, de la industria 4.0. Pero no, la ciberseguridad llega a todos los campos de nuestra vida. ¿Creéis posible hackear un automóvil? Pues sí, evidentemente, eso es posible.
Si tenéis un coche de gama alta, ya habréis visto que el navegador es capaz de deciros dónde has estado, cuánto tiempo has empleado en una parada o señalarte los últimos hoteles o restaurantes en los que has estado. Los coches han ido incorporando nuevas tecnologías, se conectan a internet, los ponemos en marcha si necesidad de llaves, sincronizan sus dispositivos con todos nuestros dispositivos electrónicos, etc. Los coches eléctricos ya están aquí y en un futuro muy cercano tendremos coches totalmente autónomos. Seguro que ya conocéis las pruebas que están haciendo al respecto empresas como Google o Tesla.
para poder venderse en Europa.
Foto: imagen de Noupload en Pixabay
Todas estas opciones se conjugan con medidas de seguridad, cada vez más inteligentes, como detectar el sueño del conductor por el movimiento de los ojos, el desviarse de un carril o el pararse delante de un peatón. Pero todas estas tecnologías aumentan la posibilidad de acceso remoto a nuestro vehículo y modificar ilegalmente su software por ondas. Traducimos lo que eso puede significar: manipular a distancia el ABS, los frenos, la dirección, los sistemas de alerta, el Bluetooth, los airbags y por supuesto la llave con mando a distancia. Según el RACE, se roban más de 42.000 coches al año en España y un delincuente sólo tarda 29 segundos en robar un coche de alta gama. (Ver la noticia en El País).
Nueva regulación para 2022: llega el coche ciberseguro
Para impedir todas estas prácticas que afectarían a los propietarios y ocupantes de los vehículos, pero también a los fabricantes, a las fuerzas y cuerpos de seguridad y a los operadores de las infraestructuras de movilidad, las autoridades han empezado a trabajar en nuevas reglamentaciones. Así la Comisión Económica de las Naciones Unidas para Europa está ya trabajando una regulación específica de seguridad que debe ver la luz este mismo año.
Por su parte la Unión Europea ha propuesto en su nuevo Reglamento Europeo de Seguridad (ver el de 2019) que los automóviles que no tengan un certificado de ciberseguridad validado no se podrán vender en Europa a partir de 2022.
Todas estas regulaciones, en general, tienen dos vertientes. Por un lado los fabricantes deberán obtener una certificación conforme sus vehículos disponen de un sistema de gestión de ciberseguridad en todas las fases de construcción.
Y por otro lado se exigirá a los fabricantes que cada modelo concreto de vehículo se certifique en ciberseguridad.
Bien, no queremos dejaros asustados, así que también os diremos que ya es posible saber si un vehículo es ciberseguro o no, porque hay una empresa, Eurocybcar que se ha especializado en evaluar y prevenir los riesgos de ciberseguridad de los coches con un test relativamente sencillo.
El tema de la ciberseguridad en el mundo del automóvil ya ha empezado a tratarse en algunos eventos del sector. Lo pudimos comprobar en la conferencia de la asociación Hackplayers H-Con que tuvo lugar en Madrid a principios de este año y donde TECNOideas 2.0 estuvo presente.
Aparte de los servicios que anuciamos en nuestra web y folletos publicitarios, hemos comenzado a ofrecer auditorías Tisax, para la seguridad de los automóviles. También se ha de tener en cuenta la información que puede heredar, un comprador o vendedor de vehículos de segunda mano, dentro de los dispositivos del vehículo: gps, agenda, contactos, etc….
La RPGD es muy clara, y la Unión Europea no ha tardado en poner multa, tanto a operadores de alquiler, vehicle Sharing, o concesionarios de segunda mano. Los datos son los datos, no solo en dispositivos informáticos.
- Publicado en Consultoría, General, Noticias, Seguridad
La ciberseguridad industrial también existe (II). Ataques al nivel “1” en OT
“Ataques al nivel 1 en OT” es el segundo artículo que publicamos de nuestra anunciada serie sobre ciberseguridad industrial OT.
Como el anterior, titulado “Primera línea de defensa OT, el cortafuegos”, el autor es nuestro estrecho colaborador Jordi Ubach.
El conjunto de normas ISA99 comenzó a desarrollarse con la entrada del nuevo siglo, pretendiendo dar un nuevo empuje a la seguridad de los sistemas de control industrial y creando para ello un conjunto de documentos que ayudasen al incremento de la protección de estos sistemas frente a ataques informáticos.
La generación de esta norma fue a cargo de la International Society of Automation, (ISA), una sociedad de ingenieros, técnicos, comerciantes, educadores y estudiantes creada en Pittsburgh (Estados Unidos) en 1946. La ISA posee también en la actualidad una sección española.
Fue esta asociación la que creó estos estándares de automatización a partir de diferentes grupos de trabajo, cada uno de los cuales se ocupó de una parte del conjunto de normas.
Poco a poco, desde la inicial ISA99 se fue avanzando para adecuarse a la nomenclatura de la Comisión Electrotécnica Internacional (IEC de la voz inglesa) hasta llegar a la IEC62443.
Evolución del conjunto de normas: de la ISA99 a la norma IEC62443.
La automatización es el primer nivel del ISA99, entre la parte física con los sistemas de control mas básicos, los PLCs y y sus periféricos, los sensores y actuadores en general. Consta de toda la parte eléctrica-electrónica y de control. Los PLCs son máquinas simples que realizan un programa cíclicamente.
Hasta aquel momento, en general, los elementos de sensorización del nivel “1” , estaban cableados, por lo que el nivel de intrusión, era nulo debido a la barrera física. Pero actualmente esta preocupación va al alza, debido a los múltiples elementos de sensorización, detección, posicionamiento, etc. que funcionan basándose en conectividad inalámbrica, ya sea wifi, Bluetooth, o NFC (Near-Field Communication).
Esta conectividad proporciona una serie de ventajas técnicas, pero a la vez, es una “puerta de entrada” directa a los sistemas y buses de comunicaciones que anteriormente no existía. Por si esto fuera poco, hay que añadir una preocupante falta de seguridad en los sistemas, ya que en la mayoría de ocasiones carecen de la mínima configuración en materia de ciberseguridad, sin credenciales o las credenciales por defecto, y utilizando softwares o apps de terceros para su configuración.
(Ver figuras 2 y 3).
Intrusión en sistemas industriales y mínima
configuración de ciberseguridad.
Una posible intrusión no controlada de estos elementos, puede causar graves problemas en los sistemas de control industrial, ya que sus valores o consignas pueden modificarse de forma aleatoria, pudiendo causar graves daños, principalmente en la parte del nivel 1 y 2, además de propagar los daños a la parte física de la infraestructura.
Para mitigar dichos ataques, debemos ser conscientes del tipo de dispositivos que vamos a instalar, además de configurar de forma segura los mismos, estableciendo credenciales robustas y evitando, en la medida de lo posible, el acceso no controlado a estos sistemas.
Otra buena medida es disponer de sistemas de detección de intrusos (IDS).
Sistemas que carecen de la mínima ciberseguridad
utilizan softwares o apps de terceros.
Todo esto nos lleva a preguntarnos sobre la seguridad de la implantación de estos nuevos dispositivos, abriendo una vez más la “puerta” a nuevas intrusiones, que parecía que teníamos controladas.
La proliferación de estos dispositivos pone de nuevo en el punto de mira una parte de esa “pirámide”, que afecta de forma vertical al resto de la infraestructura.
Hay que pensar en buenos profesionales para impedir los ataques al nivel 1 en OT.
TECNOideas 2.0 es una empresa de ciberseguridad que tiene una importante rama de especialización en ciberseguridad industrial OT.
Poseemos la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial, entidad de referencia del sector.
Jordi Ubach
Consultor-formador en Ciberseguridad
Forense informático. Lead auditor ISO 27001
ICS security Consultant
@jubachm
linkedin.com/in/jordi-ubach-9971a1a5
Ver el primer capítulo de
La ciberseguridad industrial también existe:
Primera línea de defensa OT, el cortafuegos (firewall).
- Publicado en Consultoría, Formación, General, Informática industrial, Seguridad
Español 
Català