¿Nos vamos a tener que comer esta supercookie?
Las cabezas pensantes de grandes compañías no paran ni un instante. Ahora tenemos un nuevo ejemplo, con una tecnología llamada TrustPit, que intenta saltarse la legislación sobre las cookieless o desaparición de cookies de terceros. ¿Nos vamos a tener que comer esta supercookie?
Las galletas o cookies son una buena herramienta de marketing digital porque permiten hacer campañas de publicidad muy personalizadas gracias a los datos que se obtienen al navegar por una página web. Son las llamadas cookies de terceros. Sin embargo el abuso de esta práctica llevó poco a poco a que los consumidores exigieran su retirada.
La estocada final llegó cuando Google anunció que su navegador Chrome no iba a aceptar las cookies de terceros a partir de 2022, las empresas de marketing digital están buscando la fórmula para sustituir esta práctica.
Y ahora nos informa IPMARK, un medio especializado en marketing, publicidad, comunicación y tendencias digitales, que la solución podría estar en una tecnología llamada TrustPid. Detrás de ella están nada menos que gigantes de la talla de Vodafone, Deutsche Telekom, Orange o Telefónica.
Esta tecnología aprovecharía un token anónimo para identificar por donde va navegando un usuario. O como el diario alemán Der Spiegel asegura, se trata de una supercookie.
Y ya que hablamos de un token, deciros que se trata de un término muy de moda en la economía digital actual. William Mougayar, autor del libro de referencia “La tecnología Blockchain en los negocios” lo define como “una unidad de valor que una organización crea para gobernar su modelo de negocio y dar más poder a sus usuarios para interactuar con sus productos, al tiempo que facilita la distribución y reparto de beneficios entre todos sus accionistas”.
Así que tendremos que hacernos la pregunta ¿Nos vamos a tener que comer esta supercookie? una y otra vez antes de tener una respuesta fidedigna.
De momento, para los que queráis saber más, os invitamos a leer el artículo sobre TrustPid publicado en IPMARK.
Y también os recomendamos este otro artículo de CincoDías sobre las cookieless.
Finalmente, os recomendamos volver a leer un artículo sobre las cookies y la Ley de protección de Datos que publicamos en ESTE BLOG en agosto de 2020, donde también explicamos las directrices europeas sobre consentimiento.
Imagen principal: InspiredImages en Pixabay
- Publicado en General, Malos hábitos, Noticias, Protección de datos, Tecnología
1-2-3-4… ¡Maaaaambó!
Hoy es el Día Mundial de la Contraseña y a pesar de lo mucho que insistimos en la importancia de usar contraseñas seguras, diversos estudios demuestran que la más usada sigue siendo 1234. Pues bien, deberían saber que un los ciberdelincuentes tardan ¡1 solo segundo! en descifrarla: es decir antes de cantar ¡Mambo!
ya es todo un clásico.
Que exista un día mundial dedicado a las contraseñas debería ser suficiente para que los usuarios recapacitaran y entendieron la importancia que tiene dedicarle un mínimo esfuerzo a la primera barrera de seguridad de todos los aparatos que usamos.
Mark Burnett es un analista de seguridad de TI que trabaja en seguridad de aplicaciones, contraseñas, autenticación e identidad. En 2005 publicó un libro titulado Perfect Passwords donde reclamaba que las personas escogieran un nivel de seguridad alto en el momento de escoger sus contraseñas. Allí propuso dedicar un día a la concienciación sobre el tema.
Esta inspiración fue recogida por algunas empresas como Intel Security y finalmente, en el año 2013 se celebró el primer Día Mundial de la Contraseña, que desde entonces se celebra el primer jueves del mes de mayo.
También desde este blog y en nuestros cursos no cesamos de recomendar que se preste mucha más atención a las contraseñas y hacerlas mucho más robustas.
Sí, los ciberdelincuentes tardan un segundo en descifrar las contraseñas más habituales usadas. El ejemplo más típico es el del 1234. Pero en realidad tardan lo mismo si es una contraseña de 12 o 20 números.
Cosas importantes a tener en cuenta:
1.- Tampoco son seguras las fechas importantes de nuestra vida, ni el nombre de nuestras mascotas.
2.- Debemos tener claro que solamente a partir de mezclar caracteres alfanuméricos, mayúsculas, minúsculas y símbolos de, al menos ocho dígitos, tendremos contraseñas mínimamente seguras.
3.- Hay que cambiarlas cuanto más a menudo mejor.
4.- Si podemos añadir un doble factor de autenticación, mejoramos el tema.
5.- No usar la misma contraseña para todos nuestros datos sensibles (ordenador, smartphone, banco…)
5.- No se deben apuntar las contraseñas. En ningún sitio. Y por supuesto, nada de tener un excel con todas las contraseñas en el mismo ordenador que usamos.
Y así podríamos seguir, con muchas más recomendaciones. Pero decidnos: ¿Realmente os lo vais a tomar en serio?
Pero entonces, ¿qué debemos hacer?
La respuesta es muy clara: GESTORES DE CONTRASEÑAS, que sí, ¡existen!
Estos gestores son fáciles de usar y proporcionan una nueva contraseña cada vez que queremos o debemos acceder a un sitio que las requiera.
Los hay de muchos tipos y algunas son gratuitas en su versión más sencilla. Aquí os proponemos algunos de los gestores de contraseñas más conocidos.
• Keepass. Un clásico que además es open source, o sea de código abierto.
• Keepass XC. Es la nueva versión del clásico, con una nueva imagen.
• LastPass. Almacena las contraseñas encriptadas en la nube.
• Bitwarden. De código abierto y almacena información sensible en una caja fuerte encriptada.
• PasswordSafe. Almacena contraseñas en el sistema operativo Windows de forma segura, ya que utiliza un cifrado.
• Roboform. Se integra con todas las extensiones de navegador más populares.
Pero como siempre os decimos que nos gusta recomendaros aquello que nosotros hemos probado o usado, debemos deciros que TECNOideas usa Guardedbox.
Es ideal si lo que queréis es gestionar las contraseñas en equipo y, como podéis ver en su web, “desde cualquier dispositivo con un navegador web, el almacenamiento, la compartición y el intercambio de secretos de manera segura, con cifrado extremo a extremo, gestionando en el lado cliente todas las tareas de protección y cifrado de los datos, sin confiar en el servidor, y haciendo uso de las mejores prácticas de la industria de ciberseguridad.
La instancia pública de GuardedBox es 100% gratuita, y se ofrece también una modalidad Premium que incorpora funcionalidades adicionales para el almacenamiento y la gestión de secretos.”
No es la primera vez que os hablamos de Guardedbox. Podéis leer un artículo que publicamos cuando salió la versión 2.0 en noviembre de 2020 AQUÍ.
Y si queréis saber como se llega a crear una herramienta así, podéis leer ESTA ENTREVISTA que realizamos a sus creadores.
Finalmente, si lo que queréis es estar seguros de escoger el gestor que más convenga a vuestra empresa, tenéis dos caminos: el primero es consultar PasswordManager, que es comparador de gestores de contraseñas.
El segundo es mucho más fácil: ¡contactar con TECNOideas!
- Publicado en Formación, General, Hazlo tu mismo, Malos hábitos, Noticias, Productos, Seguridad
¿Se puede teletrabajar con 100 millones de ciberamenazas diarias?
La pandemia con las mutaciones del virus sigue obligándonos a cambiar nuestra forma de trabajar. La polémica se mantiene y ya hay dos formas de enfocar el trabajo en el 2022: las empresas que quieren la presencialidad de sus trabajadores y las que entienden que el teletrabajo ha llegado para quedarse y prefieren una modalidad de trabajo híbrida. Pero a lo que no renuncian ni unas ni otras es a usar la nube.
Poner información sensible en la nube es un error. Hay opciones mucho más seguras, tal y como os explicamos en un artículo hace ya un tiempo. Podéis volver a leerlo AQUÍ. Insistimos en el tema con este otro post del mes de mayo de 2021, titulado ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Pero a pesar de nuestra insistencia, parece que todavía no somos conscientes del trabajo oscuro de los ciberdelincuentes. Los expertos de la empresa Cisco Systems, especializada en equipos de telecomunicaciones, han dado a conocer unos datos que no dejan lugar a dudas:
• Hasta el 60% de las empresas esperan que la mayoría de aplicaciones estén en la nube y un 50% del trabajo operando de forma remota.
• Desde el inicio de la pandemia los intentos de acceso remoto maliciosos han crecido un 240%.
• En septiembre de 2021 los trabajadores híbridos recibieron 100 millones de amenazas diarias en su correo electrónico.
¿Qué técnicas usan los ciberdelincuentes para robar contraseñas?
No nos cansamos de repetir que el correo electrónico es el enemigo público número uno. Ya es peligroso que las empresas apuesten por el teletrabajo sin conocer los sistemas de los hogares de sus trabajadores. Parece que no les importa que se salten su propio perímetro de seguridad. Pero si a esto añadimos la poca formación en ciberseguridad de los teletrabajadores entenderemos que el correo electrónico sea tan peligroso.
Con 100 millones de amenazas diarias en todo el mundo, ¿quién cree que a él o ella no le va afectar? Por eso es conveniente saber las técnicas más usadas por los ciberdelincuentes para robar contraseñas. La compañía de seguridad ESET ha publicado la siguiente lista basada en su experiencia:
• Phishing. A pesar de que ya empieza a ser bastante conocida, sigue siendo una de las más utilizadas. Ya sabéis, los delincuentes se hacen pasar por entidades legítimas y conocidas por los usuarios que no dudan en morder el anzuelo (o sea clicar un enlace o un archivo malicioso). ¡Esa maldita costumbre que tiene el ser humano de hacer lo que no debe!
• Malware. Un programa malicioso aparece en nuestro ordenador en forma de correo, anuncio o incluso visitando sitios webs comprometidos. Los malware son como el virus de la COVID-19, aparecen cuando menos te lo esperas, pueden incluso esconderse detrás de una aplicación móvil y existen tantas variedades como os podáis imaginar. Total, la realidad supera (casi) siempre a la ficción.
• Fuerza bruta. Se calculó que el número de contraseñas que usaba una persona en 2020 aumentó un 25% interanual. Manejar ese volumen de contraseñas no es nada fácil, sobre todo teniendo en cuenta que muy poca gente usa los gestores de contraseñas que existen en el mercado y que solucionan todos nuestros problemas de memoria. Los ciberdelincuentes introducen grandes volúmenes de combinaciones de nombres y contraseñas en un software automatizado y claro, alguna aciertan. Según el gobierno de Canadá, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Así que no os de pereza alguna poner contraseñas complicadas ¡y usar un gestor de contraseñas, por favor!
• Adivinanzas. Como en la misma sociedad, hay delincuentes para todo. Así que no todos son muy sofisticados y tienen la opción de usar complicados sistemas para delinquir. De la misma manera que no todos los delincuentes comunes se dedican a grandes robos de cajas fuertes de bancos, también en el caso de la ciberseguridad hay delincuentes de poca monta. Estos se conforman con cosas tan sencillas como probar las contraseñas más habituales: 1,2,3,4 o escribir la palabra “password”, que ocupa el cuarto puesto de contraseñas usadas. Así que ya estáis siendo un poco más originales.
• Mirar por encima del hombro. Pues sí, no os lo toméis a broma, pero esta técnica está descrita. Vendría a ser la traducción del inglés, shoulder surfing. Esta “técnica” es muy útil en cosas tan cotidianas como escribir el pin de la tarjeta de crédito. Algo que hacemos muy alegremente en el supermercado, en la caja de una tienda de ropa o de cualquier otro comercio, naturalmente sin fijarnos quien está detrás nuestro.
La mejor solución para todo esto es el sentido común, ese tan conocido y que resulta ser el menos común de los sentidos.
Os recordamos también que la solución a todos estos problemas está en nuestras manos. Entre los servicios que presta TECNOideas están también cosas muy sencillas del día a día:
• Destrucción de documentación y soportes digitales,
con sus correspondientes certificados de destrucción.
• Escritorios virtuales seguros, que sustituyen la peligrosidad
de los equipos de vuestra organización.
• Correo, almacenamiento y envío de datos y ficheros encriptados y seguros…
¡Y muchos más que podéis encontrar en nuestra sección SERVICIOS!
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Teletrabajo
“El juego del calamar” y nuevas ciberdelincuencias varias
No hay ninguna duda: cuando algo se pone de moda, los ciberdelincuentes tardan cero coma en aprovecharse de ello. El último ejemplo lo tenemos con la serie de Netflix para la televisión surcoreana “El juego del calamar”. Estrenada el 17 de septiembre de este año, en pocos meses se ha convertido en la serie más vista de la plataforma Netflix, con más de 142 millones de espectadores en todo el mundo. Y claro, los ciberdelincuentes ya se han ocupado de ella. Este tema es el primero que os contamos en nuestro artículo de hoy, donde además os hablamos de otros dos informes de compañías de seguridad sobre actuaciones de ciberdelincuentes que se han hecho públicos a finales de octubre.
ESET es una compañía de seguridad informática fundada en 1992 y que tiene su sede en Eslovaquia. Sus expertos alertan sobre un malware tipo Joker que aprovecha el éxito de “El juego del calamar”. Los ciberdelincuentes siempre están a la moda y saben aprovechar cualquier circunstancia para buscar a quien hacer daño. Resulta que el éxito de la serie surcoreana ha llevado a los delincuentes a crear aplicaciones falsas de la serie para infectar los dispositivos Android de los usuarios que se la descarguen. Lo han hecho colocando una aplicación maliciosa en Google Play que se llama igual que la serie.
Además han suplantado el nombre de una empresa especializada en la creación de fondos de pantallas para móviles de series de películas, lo que ha provocado que muchos usuarios hayan creído que se trataba de una App real cuando no era así.
Editado el informe del primer semestre 2021 de HP Wolf Security
El equipo de investigación de amenazas de HP, conocido con el nombre de Wolf Security ha informado sobre un aumento de la capacidad de los ciberdelincuentes para aprovechar las vulnerabilidades de día cero, más conocido con el nombre en inglés de zero day. Se trata de que los ciberdelincuentes conocen antes que los usuarios o los fabricantes de software una posible vulnerabilidad y por lo tanto aun no han sido parcheadas para arreglarla. Este tipo de acciones está considerada como una de las más peligrosas, porque las empresas que las padecen deben reaccionar muy rápidamente, cosa que raramente sucede. Los profesionales de HP aseguran que el tiempo medio para que una empresa pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días. Podéis leer más sobre las vulnerabilidades de día cero en la Wikipedia.
El informe HP Wolf Security Threat Insights recoge datos de entre julio y septiembre de este año y explica varios ejemplos. Este tipo de vulnerabilidades estaba al alcance de ciberdelincuentes muy cualificados, pero ahora son accesibles a personas con menos recursos y conocimeintos, lo que explica su aumento. El informe también alerta de los ciberdelincuentes que utilizan proveedores de la nube y de las webs para alojar malwares.
Podéis leer el informe AQUÍ.
Panda alerta sobre la autenticación de doble factor
La empresa Panda Security he emitido un comunicado en el que alerta que la autenticación de doble factor ya puede ser evitada por algunos ciberdelincuentes. Aunque la doble autenticación consigue bloquear cerca del 99,9% de los intentos de delinquir, los ciberdelincuentes consiguen interceptar los códigos de un solo uso enviados en un SMS al smartphone del usuario. El atacante consigue así convencer al proveedor de servicios móviles que él es la víctima y solicita que el número de teléfono se cambie a otro dispositivo que él elige.
Esta es la forma más común que ha encontrado Panda, pero hay otros métodos. La empresa de seguridad informática ha emitido un comunicado donde lo explican detalladamente. Se encuentra en el apartado de seguridad de su web y lo podéis leer AQUÍ.
Una vez más insistimos en que no queremos asustar a nadie, pero sí nos gusta que todos seáis conscientes de que las incidencias de ciberseguridad están a la orden del día. Por eso este artículo lo hemos titulado “El juego del calamar” y nuevas ciberdelincuencias varias porque en muy poco tiempo hemos conocido incidencias que pueden afectar a muchas personas y empresas. Que una serie estrenada a mediados de septiembre tenga un malware hecho a medida en octubre indica la profesionalización a la que se ha llegado en la delincuencia cibernética.
Del mismo modo, vemos que la autenticación de doble factor, con la que todos nos sentíamos muy seguros a pesar del engorro de tener que ir de un aparato a otro ya tiene su contraréplica. El refranero es rico y por eso aquí podemos aplicar aquello de “Hecha la ley, hecha la trampa”. Y como explica el informe de HP y parafraseando el refranero, “trampas, haberlas, haylas”.
¿Cuándo os tomaréis verdaderamente en serio la ciberseguridad y pediréis consejo a los profesionales?
Imagen principal: uno de los símbolos icónicos de la serie “El juego del calamar”.
Imagen de Ishwar Artist en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
¿Servicios de Google seguros?
Ya sabéis que Google es todopoderoso y por ello la vieja frase que decía que si no sales en televisión no existes ya se ha cambiado por “si no estás en Google no existes”. Google siendo lo que es, y con los antecedentes de poca transparencia que tiene, busca aumentar la confianza de sus usuarios en cuanto a seguridad y privacidad. Pero esto último puede que tenga algo que ver con las leyes de la Unión Europea, y su obligado cumplimiento.
Así que la pregunta pertinente podría ser “¿Realmente Google nos quiere ayudar con sus servicios o persigue otras cosas más comerciales?”
Veamos algunos ejemplos. En la configuración de tu cuenta de Gmail, dicen que te quieren ayudar con ciertos aspectos. Algunos son interesantes, no podemos negarlo, pero otros también los ofrecen otras empresas, aunque no diremos nombres.
Comparar tus cuentas almacenadas en Chrome, si has iniciado sesión, con fugas de datos de “otras” empresas, como dejan bien claro:
“Algunas de tus contraseñas han quedado expuestas en una quiebra de seguridad de datos que no es de Google.”
Luego indican todo lo que supuestamente hacen para que tu día a día sea más seguro:
Google Chrome
- Bloquear miles de páginas al día con contenido engañoso.
- Proteger 1.500 millones de bandejas de entrada, contra phishing, encriptación de datos entre sus servidores o diversas opciones de autenticación, como 2FA.
- Pagos seguros con Google Pay.
- Las medidas de seguridad de Chrome, para que navegues con toda tranquilidad:
– Navegación segura, zona de pruebas, etc. para protegerte de sitios peligrosos y de software malicioso.
– Actualizaciones de seguridad automáticas.
– Ayuda al crear contraseñas, como ya hacen otros navegadores.
– Modo incógnito, para poder navegar sin que se guarde la actividad en ningún sitio.
Y aparte de todo esto ponen a tu disposición varias herramientas propias, para poder corregir malos hábitos, dar recomendaciones o poner solución a errores, todo ello en MyAccount.
También inciden en el tema de la privacidad, intentando cambiar la sensación que tienen los usuarios de ellos, con frases como la que podéis leer en ESTE enlace o la siguiente:
“Promovemos rigurosas prácticas relacionadas con datos para proteger tu privacidad. Nunca usamos con fines publicitarios el contenido que creas y almacenas en aplicaciones como Drive, Gmail y Fotos.”
Seguro que muchos de vosotros sois conscientes que Google es más que un buscador. Nos intenta satisfacer rápidamente nuestras necesidades con sus servicios y recalca la importancia de nuestra seguridad. Pero, ¿realmente estamos seguros con ellos?
La lista de productos y servicios del gigante tecnológico es muy extensa. Os podemos refrescar la memoria mencionando Google Drive, Gmail, Google Maps, Google Street View, Google Earth, Google Chrome, YouTube, Google Libros, Google Noticias… Pero está claro: su fama viene de un buscador. El simple hecho de vincularlo a este motor de búsqueda seria limitar su cobertura en la web. Pero es innegable que su fuerza sigue siendo enorme. ¿Quién no ha buscado a través de Google? ¿Alguno de vosotros utiliza otros buscadores?
Podéis ver algunas opciones de navegadores alternativos a Google en un artículo de TECNOideas de 2018 AQUÍ.
One World Trust es una fundación creada en 1951 por parlamentarios de varios partidos cuyo objetivo es mejorar la gobernanza global para hacer prosperar los intereses de toda la humanidad. Publica un ranking en el que examina instituciones gubernamentales, empresas nacionales, multinacionales y ONG. Según este ranking, Google es una de las instituciones menos confiables y transparentes, al negarse a colaborar con la Unión Europea en el caso de retención de datos a los consumidores. Además el gran buscador logró un cero a nivel de transparencia. Podéis ver la noticia en The Register, una web británica de noticias de tecnología y opinión. Aunque este ranking tiene ya unos años y algunas cosas han cambiado, creemos que es suficientemente clarificador.
Los internautas que realizan búsquedas a través de este buscador y tengan cuenta en alguno de los servicios (como en Gmail) son “vigilados” de alguna forma, es decir, todas las búsquedas que se realizan y todos los sitios web visitados quedan en una base de datos: siempre que haya ingresado a su cuenta de Google.
¿Servicios de Google seguros? Google es un negocio y todo lo que hace es por una razón, no por el simple amor hacia los usuarios. Todos sabemos esto y no necesitamos aclaraciones. Es algo obvio. Pero conviene recordarlo de vez en cuando para que todos seamos plenamente conscientes de ello cuando usemos sus productos y servicios.
También conviene recordar que hay cosas que podemos desactivar sin más, como os explicábamos en este artículo de noviembre de 2019 de nuestro blog y que podéis volver a leer AQUÍ.
- Publicado en Consultoría, General, Malos hábitos, Privacidad
Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia
Un investigador ha descubierto una docena de vulnerabilidades (FragAttacks) que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997.
Y, casualidades de la vida, al mismo tiempo se ha descubierto un fallo en unas cámaras de seguridad que han permitido a unos clientes fisgonear las casas de otros. Ambos casos afectan a empresas, pero también a domicilios particulares.
A veces la realidad es tozuda. Y a veces nos da la razón. Cuando en este blog insistimos en la necesidad de la ciberseguridad a todos los niveles o cuando en nuestras formaciones insistimos en la necesidad de estar siempre alerta y de tener un buen protocolo de ciberseguridad, muchas personas creen que por ser particulares o pymes no van a ser vulnerados. Se equivocan y hoy podemos traer aquí dos ejemplos muy claros al respecto.
Descubiertas vulnerabilidades en el protocolo WiFi existentes desde 1997
Uno de los investigadores en ciberseguridad más reconocidos del mundo, el belga Mathy Vanhoef, ha descubierto una docena de vulnerabilidades que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997. Algunas de ellas son fallos de diseño en el estándar WiFi, por lo que afectan a la mayoría de dispositivos y otros son fallos generalizados de programación.
Las vulnerabilidades detectadas pueden afectar a informaciones sensibles del usuario, como nombres y contraseñas. El problema más grande puede estar en las redes domésticas, ya que los posibles atacantes accederían a dispositivos del internet de las cosas, que no se suelen actualizar.
Podéis leer esta noticia en la sección de tecnología del diario El Mundo AQUÍ.
Mathy Vanhoef es un investigador especialista en ciberseguridad que saltó a la fama en 2017 cuando fue uno de los descubridores del KRACK, una vulnerabilidad que afectaba al protocolo WPA2 de la red WiFi. Precisamente las vulnerabilidades detectadas ahora, llamadas genéricamente FragAttacks tienen su base en las investigaciones realizadas desde entonces. Los amantes de la técnica debéis saber que el propio Vanhoeg ha creado una web específica (fragattacks.com) para explicar estas vulnerabilidades. La podéis ver AQUÍ.
exterior de Eufy
Foto en la web de Eufy Security
¿Videovigilancia o videofisgoneo?
Una empresa que presta servicios de videoviglilancia, Eufy Security, ha tenido que reconocer una brecha de seguridad en la app de la compañía tras una información recogida por 9to5Mac, una de las webs de noticias tecnológicas más importantes del mundo.
La brecha en cuestión permitió que algunos propietarios de cámaras Eufy pudieran ver imágenes recogidas de otros usuarios. En otras palabras, esos usuarios podían ver las casas de otros. Concretamente desde la app de Nueva Zelanda algunos usuarios podían ver imágenes de cámaras de Australia y visualizar también sus detalles de contacto.
La compañía informó que el error sólo afectó al 0,001% de sus usuarios y que se debió a un fallo de software durante la actualización del servidor. La brecha estuvo limitada en el tiempo y duró unas horas. Afectó a usuarios de Estados Unidos, Cuba, México, Brasil, Argentina, Nueva Zelanda y Australia, pero no al continente europeo.
Eufy es una empresa que desarrolla y crea dispositivos y aparatos inteligentes para el hogar que simplifican la experiencia global de hogares inteligentes (por ejemplo, aspiradoras robot). Forma parte de Anker Innovations, una empresa de marcas de electrónica de consumo líder en Estados Unidos.
¿Necesitáis poner cámaras de videovigilancia?
Bueno, vale, admitimos que el título del anterior párrafo no hace justicia a las cámaras Eufy y que la empresa reaccionó a tiempo y pidió disculpas. Pero estas cosas pueden pasar. A cualquiera de las marcas. Este comentario viene a cuento porque a continuación os vamos a hablar de otra empresa que se dedica, entre otras cosas, a la videovigilancia y que justamente ahora acaba de sacar al mercado nuevos productos.
La empresa D-Link ha presentado una renovación completa de su gama de videovigilancia profesional llamada “Vigilance”. Hay varios modelos de cámaras en formato Domo (las que poseen una carcasa semiesférica y compacta) y Bullet (las que tienen forma alargada “en bala” o hacia afuera), aptas para interiores y exteriores.
Foto en la web de D-Link
Entre las novedades más destacadas de estas cámaras se puede citar que proporcionan vigilancia 24/7; pueden ver hasta 30 metros de distancia, incluso en oscuridad o a contraluz; que las cámaras para exteriores son muy resistentes a la intemperie y funcionan con un rango de temperatura que va de los -30°C a los 50°C o que han mejorado ostensiblemente la resolución. En algunos modelos llega a ser de 1080 píxeles.
Además de las cámaras también se ha presentado un nuevo grabador de vídeo de red que puede conectar y alimentar hasta 16 cámaras.
D-Link Corporation es una empresa taiwanesa, un proveedor global cuyo negocio principal son las soluciones de redes y comunicaciones para empresas y particulares. Podéis ver los datos técnicos de la nueva gama en la web de D-Link clicando AQUÍ.
Imagen principal: logotipo de la web FragAttacks.com
- Publicado en Consultoría, General, Malos hábitos, Medios de comunicación, Noticias
¡Atención BYOD! No dejéis que a vuestra empresa le pase lo mismo que a Estados Unidos
Bring Your Own Device (BYOD) es una política empresarial según la cual se permite a los empleados usar sus propios dispositivos personales para trabajar. Esta práctica que está aumentando con la pandemia no está exenta de riesgos. Y es que los ciberataques llegan hasta los rincones más insospechados, como acabamos de ver con el ataque masivo a la Administración de Estados Unidos, con brechas de seguridad en Defensa, Comercio y Energía, aunque haya sido a través del software de gestión de redes de SolarWinds, Orión.
La práctica del BYOD no es nueva, pero con la pandemia se ha vuelto a poner de moda. No se trata sólo de que los trabajadores puedan usar sus dispositivos portátiles personales (ordenadores, smartphones, tabletas) para trabajar, sino que también incluye que los lleven a su empresa para conectarse a la red y a los recursos corporativos.
no está exenta de riesgos
Entre las ventajas del BYOD podemos citar la flexibilidad en el trabajo de cada empleado, el incremento de la productividad, puesto que los trabajadores se encuentran más cómodos usando sus propios dispositivos o que permite a las empresas ahorrar costes en la adquisición de tecnología. Pero ¡atención BYOD!: esta práctica no está exenta de riesgos.
¡Atención BYOD! Vector de entrada: el móvil de empresa
Ha llegado el turno de los inconvenientes de esta práctica. El más destacado, ya lo habréis adivinado, es el riesgo que supone para la seguridad de la red corporativa. Le siguen el no tener protegida la información confidencial de la empresa o que si el smartphone particular de un trabajador está infectado y se conecta a la red de la empresa se puede infectar toda la red. Por no hablar de lo que puede ocurrir si al trabajador en cuestión le roban su móvil.
Trabajar con el smartphone es, en sí mismo, un peligro. Cada vez se utilizan más para trabajar, se comparten con los empleados (¡sí, ya se, tener dos móviles es un rollo!, pero…) y normalmente se usan también fuera de la seguridad que supone el recinto de la empresa y por lo tanto fuera de las políticas de seguridad que ésta ha podido implementar. Además de todo esto hay que tener en cuenta que muchas empresas están faltas de MDM’s (gestión de datos maestros).
Por todo ello, ¡atención BYOD!, estas son algunas de las negligencias más comunes que los expertos de TECNOideas 2.0 han encontrado en las auditorías que hemos realizado:
• Instalación de aplicaciones no recomendadas. Como por ejemplo mensajería, redes sociales, aplicaciones de dating, etc.
• Aplicaciones de descarga 2P2 (Peer to Peer), que permiten al usuario descargarse un software que conecta su ordenador con el resto de personas que estén en la red.
• Patrones o contraseñas de desbloqueo sencillos o sin patrón alguno.
• Falta de cifrado.
• Uso compartido con otros familiares, normalmente las hijas o los hijos.
• Conexiones a redes abiertas o inseguras.
• Conexiones a dispositivos inseguros (bluetooth).
Las principales causas de estos incidentes son Malwares (softwares maliciosos), Ramsonwares (programa de software malicioso), Data Leaks (fuga de información expuesta y publicada) y DLP (Prevención de pérdida de datos).
Si estáis interesados en tener más información sobre este tema, os recomendamos la lectura de una entrevista a Oriol Cremades, Doctor en Derecho que publicó la web Do Better, el hub de contenidos digitales de Esade.
Servicio “SmartAudit” de TECNOideas 2.0
Pero todas estas amenazas, que son reales, tienen una solución: la prevención. El refranero es sabio y en la ciberseguridad se puede aplicar perfectamente el popular refrán que dice “más vale prevenir”. Y es absolutamente cierto.
En TECNOideas 2.0 ofrecemos el servicio “SmartAudit”, con el cual proporcionamos a las empresas un informe detallado de cada uno de los dispositivos, así como las preceptivas recomendaciones de seguridad.
Y por supuesto acompañamos a las empresas en todo el proceso de implantación segura del BYOD.
Somos consultores de seguridad
«La ciberseguridad no es un gasto, es una inversión»
- Publicado en General, Malos hábitos, Noticias, Seguridad
Trámites que tienes que hacer cuando te mudas de oficina
Si vas a hacer la mudanza de tu empresa debes saber que es necesario que lleves a cabo una serie de trámites. En este artículo vamos a enseñarte todos las gestiones que debes hacer para poder trasladar tu empresa de sede sin problemas y el secreto para encontrar las mejores tarifas.
¿Cómo dar de baja la luz cuando te mudas de oficina?
Realizar la mudanza de una empresa es realmente una tarea ardua y encomiable. En primer lugar debemos encontrar un sitio que se ajuste a nuestras necesidades, como la ubicación, el espacio, los servicios, etc. y especialmente adaptarse a nuestro presupuesto. Una vez lo hemos encontrado y hemos conseguido alquilar unas nuevas oficinas o un nuevo local, comienza el verdadero calvario. Organizarse para poder trasladar todo, empaquetando todo el equipo y material, transportando a la empresa sin que por ello dejemos de prestar el servicio que se realiza.
Por ello es muy importante realizar todos los trámites necesarios, especialmente los energéticos, ya que no podremos prestar nuestro servicio a nuestros clientes si no tenemos electricidad. Del mismo modo, es muy importante dejar zanjado el suministro en nuestra anterior sede para no tener que pagar dos suministros de luz al mismo tiempo. Afortunadamente hoy en día es muy simple y fácil dar de baja la luz por internet, ya que se trata de una solicitud rápida que no nos obliga a estar esperando que un operador nos coja la línea.
Por otro lado, en la mayoría de casos tampoco podremos prestar nuestros servicios si no disponemos de un servicio de red para poder atender a nuestros clientes o trabajar en equipo entre los empleados de una misma compañía. Para muchas empresas, especialmente para las compañías tecnológicas, tener servicio de conexión a internet especial para empresas es casi tan importante como tener luz y calefacción, por ello el nuevo local debe contar con conexión y operatividad antes de nuestra llegada. Además la mudanza puede ser una gran oportunidad para comparar ofertas y encontrar cuál es el precio de internet para empresas más económico del mercado.
Para ello solo debemos utilizar un comparador de internet que nos ayudará a encontrar cuáles son las mejores ofertas del mercado a través de un ranking que nos mostrará las tarifas de diferentes operadores, sus velocidades de conexión o prestaciones y el precio de cada oferta.
¿Qué trámites deben hacerse cuando nos mudamos de oficina?
Para trasladar nuestra oficina en primer lugar deberemos trasladar los contratos de energía o cambiar de nombre los de la antigua sede y la nueva. En el caso de que nadie vaya a adquirir nuestras antiguas oficinas deberemos dar de baja la luz y el gas. En la misma senda, si el suministro de luz no está dado de alta en las nuevas oficinas, deberemos activarlo con suficiente antelación a nuestra llegada. Para dar de alta la luz en unas oficinas o en un local es necesario presentar los siguientes documentos a una comercializadora:
- CIF de la empresa.
- Documento Nacional de Identidad del titular del contrato.
- Certificado de Instalación Eléctrica de las oficinas.
- Código Universal del Punto de Suministro.
- Número de cuenta bancaria.
Una vez has presentado los documentos necesarios hay que seleccionar una tarifa y una potencia eléctrica. Recuerda que la potencia eléctrica se paga por cada kilovatio de potencia, por lo que debes contratar la justa y necesaria para poder utilizar tus equipos sin tener que pagar más de lo necesario. Si quieres saber cómo puedes organizar tu mudanza de la forma más efectiva, te invitamos a leer el siguiente artículo para que puedas proseguir con tu actividad de la forma más rápida posible.
- Publicado en General, Hazlo tu mismo, Malos hábitos, Noticias
¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Publicado en Consultoría, Formación, Malos hábitos, Protección de datos
Éxito y caída de Zoom
A veces, en este sector, te conviertes un poco en profeta, porque no te fías de ciertos productos y con hechos y pruebas avisas a tus clientes, y al final, el tiempo acaba por darte la razón.
No es que seamos adivinos, pero sí persistentes, y la experiencia ayuda, así que cuando empezamos a ver “cosas raras” investigamos.
Este es el caso de Zoom, un sistema de videoconferencia y de reuniones virtuales que desde el confinamiento forzoso por el Covid-19, ha sido protagonista y lo empezó a usar mucha gente. Pero esos pequeños detalles, que por cantidad de uso molestaban solamente a unos pocos, empezaron a ser detectados por los usuarios y así llegaron a molestar a muchísimas personas.
Repasamos brevemente la polémica sobre este sistema que nació con la idea de facilitar la interconexión en el mundo de las videoreuniones empresariales.
• Fallo de diseño: para facilitar la conexión, sólo con un enlace y unas pruebas aleatorias, personas ajenas a la videoconferencia podían entrar sin ningún permiso concreto. ¿Y qué hicieron? De todo: insultar, incordiar, molestar, transmitir imágenes, etc… Por supuesto, todo esto tiene un nombre: ZOOMBOMBING.
Aunque los desarrolladores dijeron que muchos usuarios publican los enlaces para que la gente los clique y puedan verlos (estudiantes cuando están con sus profesores, por ejemplo), la verdad es que hay hasta scripts (lenguaje de programación) para buscar videollamadas activas de Zoom, como por ejemplo ESTE.
• Otro fallo de diseño: por muy segura que dijeran que fuese la aplicación, (que luego se demostró que no era así), ésta no disponía de cifrado de extremo a extremo, siendo por ello muy vulnerable.
• Julio de 2019: se hizo pública una vulnerabilidad para Apple, por la que el programa exponía a todo Internet a una conexión de un puerto con la cámara del ordenador directamente. Zoom no corrigió esta vulnerabilidad y tuvo que ser Apple la que parcheara el problema.
• 27 de Marzo de 2019: se hizo público lo que algunos expertos sospechábamos: que Zoom enviaba datos a Facebook de las videoconferencias que se realizaban con este sistema. Y por supuesto, sin indicarlo en sus políticas de privacidad. Se habían realizado pruebas de conversaciones concretas, y luego se recibía publicidad en esta red social. Privacidad cero.
• 31 de marzo de 2020: se prueba que al hacer la instalación en un Mac, los privilegios de este programa, pasan a ser del Administrador del sistema. Hay que tener mucho cuidado con lo que puede llegar a hacer un Administrador con este rol.
• 1 de abril de 2020: se exponen hashes y ficheros en las invitaciones de Windows, y un usuario experto puede descifrar las contraseñas en menos de un minuto.
• 2 de abril de 2020: el periódico The New York Times publica una investigación sobre Zoom, donde explica que la aplicación cuenta con un apartado de minería de datos, que relaciona los nombres de usuarios de Zoom, con los correos de Linkedin (sin permiso), y aparece la información en un icono al lado de cada usuario en una videollamada.
• 3 de abril de 2020: se filtran listados de miles de llamadas grabadas, por Zoombombing, y publicadas en Internet. Privacidad cero parte 2.
• 6 de abril de 2020: Incibe publica un aviso sobre la vulnerabilidad descubierta en Windows. El instituto indica que, además de contraseñas expuestas, alguien externo puede ejecutar un código remotamente, como Ransomware o Malware. Podéis ver el aviso del Incibe AQUÍ.
• 10 de abril de 2020: se publica el parche para las diferentes versiones de Zoom, por lo que se recomienda descargar o actualizar a la última versión del programa, ya sea en PC o en dispositivos móviles.
Morir de éxito o pegarse un tiro en el pie, hay opiniones para todos los gustos. A todos estos fallos hay que sumar que se registraron alrededor de 1.700 dominios relacionados con Zoom, su nombre y variantes, y que la compañía anuncio el día 3 de abril que durante los siguientes 90 días solo trabajaría en arreglar todos estos problemas y no sacaría nuevas funcionalidades.
Zoom fue creado en Estados Unidos en 2011 por Eric Yuan, un matemático e ingeniero programador chino que estuvo en el equipo original de WebEx antes de que lo comprara Cisco, empresa en la que llegó a ser vicepresidente corporativo de ingeniería. Yuan abandonó finalmente Cisco para crear Zoom.
Desde su fundación, en 2011, Zoom tenía una pequeña cuota de mercado, pero en 2019 tuvieron un aumento significativo, con la salida a bolsa, duplicando su precio objetivo. Y con el confinamiento, triplicaron su valor, llegando hasta los 150 dólares.
El atractivo de esta aplicación era dar más que los demás, porque, de no ser así, la cuota hubiera seguido siendo la misma. La pregunta del millón podría ser: pero en todos estos años, ¿cómo ha aguantado sin tantos usuarios Premium? Y la respuesta, probablemente, es que se llevaba un buen pellizco de Facebook.
Si sois de los que pensáis que…
• la privacidad tampoco vale tanto, y que suplantar vuestra identidad no vale para nada…
• que da lo mismo que vuestras conversaciones sean grabadas sin permiso y luego os envíen publicidad a medida en Facebook…
• que todo lo demás que nombramos en este artículo, os tiene sin cuidado…
… sin duda Zoom es vuestra aplicación.
Pero si ya estáis concienciados…
• y necesitáis una solución de videoconferencia, porque aunque pronto salgamos del confinamiento…
• ya tenéis claro lo provechoso y productivo que resulta reunirse virtualmente, (ahorro de tiempo, de desplazamientos, de dinero)…
• y que la tecnología permite muy buenas alternativas...
… pensad que TECNOideas siempre está al día de todos los problemas de seguridad y de las soluciones comerciales. Por ello puede recomendar en todo momento y personalizadamente las necesidades de cada uno de sus clientes, sean gran empresa, PYME, consultorios médicos, despachos profesionales, etc.
TECNOideas realiza auditorias de sistemas informáticos e industriales, para detectar vulnerabilidades que expongan sus datos, y poder evitarlas.
Además TECNOideas tiene un importante apartado de formación, donde profesionales de tecnologías de la información realizan cursos a distancia y en las empresas, para que sus trabajadores o sus cargos intermedios y directivos tengan una cultura de la ciberseguridad que minimice los riesgos.
- Publicado en Consultoría, Formación, Malos hábitos, Noticias, Privacidad, Seguridad
Español 
Català