Protección de datos en el sector energético
Uno de los temas del verano está siendo la factura de la luz. Las increíbles subidas de precio de las empresas que nos proveen de electricidad están fuera de la comprensión de la ciudadanía. Eso ha motivado una gran cantidad de preguntas de los consumidores a las empresas y simulaciones de cambios de compañía. Pero nadie se ha preocupado de saber si todos estos datos que les damos tan tranquilamente están seguros. ¿Sería posible que todas estas empresas, además de facturarnos a unos precios desorbitados, también negociaran con nuestros datos? Sin duda hay que vigilar la protección de NUESTROS datos en el sector energético.
Con la Ley Orgánica de Protección de Datos, todas estas empresas que manejan gran cantidad de datos personales debe tener especial cuidado y adaptarse a la normativa.
Las empresas del sector energético, tanto distribuidoras como comercializadoras, poseen muchos datos personales de sus clientes (entre los que se encuentra el DNI o el número de cuenta bancaria) por lo que es muy importante que cumplan esta Ley.
Acciones que deben realizar las compañías del sector energéticas para adaptarse a la normativa
- Realizar un registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
Contratos con terceros
El sector de la energía es uno de los que más trabaja con terceros. Existen muchos comparadores de tarifas de energía que nos permiten contratar las mejores tarifas del mercado a través de intermediarios, los cuales se encargan de todo.
Pero estos intermediarios también deben cumplir la Ley y se requiere un doble consentimiento, así como una afirmación explícita de para qué da permiso el cliente para usar sus datos.
Sin embargo, las grandes comercializadoras de energía están obligadas a facilitar y controlar la Protección de Datos de esos intermediarios.
Página web
En la actualidad existen muchas comercializadoras que no tienen oficinas físicas, sino que ofertan sus servicios mediante su página web. Si se ofrecen los servicios a través de una página web se deben incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Consentimiento de clientes
Cuando un cliente realiza un contrato, se le debe pedir un consentimiento explícito para usar sus datos. Sin embargo, la nueva normativa obliga a que esto sea retroactivo, teniendo que firmar dichos consentimientos los clientes ya en activo.
Este consentimiento se puede solicitar de dos formas:
- En la web: si el cliente introduce los datos en la web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En la empresa: Si se realiza en una oficina, debe firmar un documento en el que se le informe acerca de:
– Quién es el responsable del tratamiento
– Para qué se van a usar los datos
– Si los datos van a ser cedidos a terceros
– Cómo puede ejercer sus derechos ARCO
Derechos de los usuarios
La Ley dota a los clientes de una serie de derechos sobre sus datos personales, entre los que se incluyen los siguientes:
- Acceso a sus datos personales
- Rectificación si los datos son incorrectos
- Supresión si los datos son tratados de forma ilegal o ya no son necesarios para la finalidad para la que fueron recogidos
- Limitación del tratamiento de sus datos
- Portabilidad de los datos
- Oposición a un uso posterior con fines de prospección comercial, investigación científica o histórica, estadísticas…
- No ser objeto de decisiones individualizadas automatizadas
Toda empresa energética debe dar a sus clientes métodos para que ejerzan estos derechos. Estos medios se deben indicar en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.
Imagen principal: VV1ntermute en Pixabay
- Publicado en Consultoría, General, Mantenimiento, Noticias, Protección de datos
5 motivos para preferir un CISO externo en ciberseguridad
Damos por hecho que a estas alturas la mayoría de empresas saben que la ciberseguridad hay que tomársela en serio. Para ello es imprescindible tener la figura de un CISO (director de seguridad de la información). Pero este puesto tan necesario puede externalizarse y os vamos a dar 5 motivos para preferir un CISO externo de ciberseguridad.
1. El problema de los fines de semana, puentes y vacaciones
Acabamos de regresar del mes de vacaciones por excelencia en nuestro entorno. Pero las cosas cambian. Cada vez hay menos empresas que cierran en época estival, aunque eso sí, reducen considerablemente su actividad y eso incluye a los socios tecnológicos.
Como hemos advertido en más de una ocasión, los ciberdelincuentes (que no los hackers, recordad que esos son los «buenos»), saben aprovechar las debilidades de las empresas que tienen en su punto de mira. Esto significa que cuando tienen opciones de entrar, lo hacen. ¿Y qué mejor que aprovechar las debilidades del sistema en un fin de semana, un puente, unas vacaciones? Es entonces cuando el equipo técnico está debilitado o ausente y la capacidad de reacción es nula o muy lenta. También es cuando algún empleado no formado adecuadamente se convierte en un insider (personas dentro de una compañía que divulgan información sensible sobre su empresa).
Todos estos problemas no existen si se externaliza el servicio del CISO, porque la detección y gestión de incidentes no descansa y hay una vigilancia proactiva de 24 horas/7 días a la semana.
2. Los problemas de Recursos Humanos que genera tener un CISO en plantilla
Uno de los motivos por los que las empresas no tienen un CISO de ciberseguridad en nómina es debido a los problemas que conlleva en cuanto a Recursos Humanos. Los principales problemas vienen de la falta de personal adecuadamente formado para esta función. La demanda de profesionales necesarios para cubrir puestos de trabajo relacionados con la ciberseguridad ha aumentado, pero las formaciones actuales aun están lejos de cubrir las necesidades reales del mercado. El resultado es que el sueldo de un CISO profesional es considerable. Además es preciso que tenga un mínimo de equipo para cubrir todas las horas del día, las posibles bajas por enfermedad, vacaciones o cualquier otra contingencia que pueda producirse.
El servicio de CISO externo significa un ahorro significativo para una empresa, por la diferencia entre el coste del servicio y el sueldo del profesional cualificado.
3. Los expertos en ciberseguridad sufren burnout
El tema de los trabajadores «quemados» en el sector ha sido una constante durante el mes de agosto. La imposibilidad de desconectar, el miedo a que se produzca un ciberataque, la angustia que provoca la duda constante de saber si se sabrá reaccionar a tiempo y evitando grandes males a la empresa son las principales causas de este síndrome. Y es que hay una muy estrecha línea entre la ciberseguridad y la salud mental de sus trabajadores. Este estrés continuo provoca que el tiempo medio que aguanta un analista de seguridad en su puesto de trabajo sea de 26 meses en Estados Unidos. Así lo revela un estudio del Instituto Ponemon (institución que promueve el uso responsable de la información y las prácticas de gestión de la privacidad dentro de las empresas y el gobierno) y FireEye (empresa californiana que provee servicios de análisis y prevención de vulnerabilidades) que se dio a conocer el año pasado.
La conciliación familiar es también difícil para estos trabajadores, especialmente por los horarios de trabajo y el tener que estar siempre localizables. El resultado de todo ello es que buscan una mayor tranquilidad laboral y no tener que estar pendientes de posibles emergencias cuando acaban su horario de trabajo.
Si estáis interesados en saber más sobre este llamativo tema, os recomendamos la lectura de este artículo de Business Insider publicado la semana pasada.
Es evidente que externalizar los servicios de un CISO no comportará para la empresa todos estos posibles problemas de salud de sus trabajadores.
4. La ciberseguridad no puede ser un complemento de la empresa, sino parte del negocio
Así de claro se mostraba Iván Portillo en la entrevista que le hicimos junto a Wiktor Nykiel. Ambos son referentes del mundo de la ciberinteligencia y lo tienen muy claro. Todas las pymes y grandes empresas tienen que destinar partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Además, como ellos se encargan de recordarnos, «no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.».
También en TECNOideas lo tenemos claro: hay que construir la ciberseguridad desde el mismo momento que hay un proyecto empresarial. Ambos han de crecer en paralelo. Y para una empresa que comienza no hay nada mejor que externalizar este servicio. Dejarlo en manos de profesionales capaces de asesorar, recomendar y buscar las mejores soluciones en todo momento, así como mantener todos los equipos actualizados. Y si además ofrece formación adecuada para todos los niveles de trabajadores de la empresa, mucho mejor.
El tema se ha complicado mucho con el teletrabajo y la necesidad de extender la ciberseguridad a los hogares de los trabajadores. Ya os hemos informado sobradamente de los peligros que entraña el teletrabajo. El servicio externalizado permite más fácilmente ampliar la ciberseguridad a los equipos domésticos.
Externalizar este servicio significa estar siempre al día en cuanto a actualizaciones de ciberseguridad y opciones de formación para todos los niveles de trabajadores de la empresa.
5. La ley obliga a tener un responsable de la seguridad de la información y permite que este servicio sea externo
El marco normativo es muy claro. Establece que los operadores de servicios esenciales deberán nombrar una persona u órgano colegiado responsable de la seguridad de la información. Ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) de referencia. Este servicio puede ser externalizado.
La ley se aplica a los operadores de servicios esenciales dependientes de las redes y sistemas de información de diversos sectores estratégicos. También a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Las empresas que externalizan este servicio cumplen la normativa legal mucho antes que las que optan por buscar e incorporar un CISO a su plantilla.
Si tenéis dudas sobre estos 5 motivos para preferir un CISO externo de ciberseguridad
o queréis saber más sobre las tareas propias de un CISO,
podéis acceder a toda la información que tenéis en nuestra web,
en el apartado Servicio CISO Externo.
- Publicado en Ataques / Incidencias, Empleo, General, Mantenimiento, Noticias, Seguridad
«El objetivo final de IntelCon 2021 es que cada participante salga satisfecho y con sólidos fundamentos principales cubiertos tras el evento.»
Hoy empieza IntelCon 2021, el congreso de Ciberinteligencia que organiza la Comunidad GINSEG. Por ello estamos felices de presentaros a dos personas que no solo son unos de los responsables del evento, sino que han conseguido llevar la ciberseguridad a cotas muy altas, no solo de profesionalidad sino también de divulgación y comunicación. Iván Portillo es analista senior de ciberinteligencia y docente en las más destacadas formaciones relacionadas con la temática. Por su parte, Wiktor Nykiel es ingeniero de ciberseguridad, emprendedor y docente en el ámbito de la ciberinteligencia.
Quizá lo más interesante de ambos sea la trayectoria de proyectos e iniciativas que han llevado a cabo de manera conjunta, entre las que se encuentra la creación y promoción de la Comunidad de Ciberinteligencia Ginseg. Esta comunidad supone un punto de referencia imprescindible para todo profesional hispanohablante especializado en la materia. A raíz de esta iniciativa nació IntelCon. Se trata de un congreso de alto nivel, con reconocidos profesionales del sector, con ponencias que giran en torno a las diferentes fases del ciclo de inteligencia, siendo gratuito, accesible en línea y con una duración de una semana. En esta segunda edición se celebra desde hoy hasta el 3 de septiembre.
¿Cuándo y cómo empezasteis a ver que la ciberseguridad iba a ser vuestro campo de acción?
WIKTOR: En mi caso fue con mi segundo ordenador donde descubrí la “magia” que me permitía llegar a diferentes estaciones usando las vías de internet, concluyendo años después que a este recorrido se le llama ciberinteligencia en el entorno empresarial actual. Un gran punto de inflexión para ambos fue conocer a Manuel Sánchez Rubio, profesor de la Universidad de Alcalá de Henares, que gracias a sus consejos y pasión por el ámbito de la ciberseguridad nos impulsó al siguiente nivel en nuestra carrera profesional y de investigación. Durante este trayecto descubrimos diferentes packs de libros que comprábamos y consumíamos con gran interés. Cuanto más explorábamos, más cuenta nos dábamos de que nos faltaba mucho por aprender.
IVÁN: ¡Y aún tengo esa sensación! Aquí llegó también el momento de acelerar nuestro aprendizaje y desarrollo. Lo hicimos reuniéndonos en la oficina con compañeros de la empresa y otros amigos que motivamos a participar en esta iniciativa. Así cada persona o grupo de trabajo podía preparar algo interesante que contar al resto cada semana y de esta forma compartíamos y aprendíamos todos.
Al igual que Wiktor, es un participante habitual de jornadas profesionales.
WIKTOR: Este proceso nos permitió modelar soluciones reales, necesarias en el mercado, que finalmente acabaron como proyecto finalista en la aceleradora de startups del Incibe en su primera edición.
Parece que poco a poco la ciberseguridad empieza a ser tomada en serio. ¿También para los jóvenes? ¿Habéis detectado que las opciones de estudiar específicamente ciberseguridad están aumentando?
WIKTOR: La ciberseguridad es una temática muy interesante para los jóvenes, siendo el hacking la parte más atractiva de este colectivo, siendo la diferencia principal la especialización reglada que podemos encontrar en las diferentes universidades y cursos de formación frente al aprendizaje autodidacta de antes.
«En la actualidad existen multitud de másteres enfocados a la ciberseguridad
y eso es debido a la demanda de profesionales necesarios
para cubrir los puestos de trabajo que antes ni se planteaban.»
IVÁN: En la actualidad existen multitud de másteres enfocados a la ciberseguridad y eso es debido a la demanda de profesionales necesarios para cubrir los puestos de trabajo que antes ni se planteaban. Incluso han comenzado a crear ingenierías centradas en su totalidad en la ciberseguridad, como el programa emitido por la Universidad Rey Juan Carlos.
¿Y en el mundo empresarial? ¿Aun cuesta mucho que las empresas crean necesaria la ciberseguridad?
WIKTOR: Todas las medianas y grandes empresas están destinando partidas presupuestarias a implementar medidas esenciales y madurar sus procesos actuales en cuanto a ciberseguridad. Hay empresas que están haciendo bien los deberes sacando muy buenas notas y otras organizaciones que se presentaran a recuperación en la materia después de sufrir algún incidente serio. Estas últimas descubrirán que tienen que poner el foco y recursos necesarios para poder seguir existiendo en un mercado global conectado a internet donde desde el usuario ocasional hasta el actor de estado pueden suponer una amenaza para la continuidad de su actividad empresarial.
Nosotros insistimos mucho en que los mejores resultados se obtienen desde el principio, cuando se definen todas las nuevas tecnologías que implanta una empresa. ¿Por qué creéis que cuesta tanto? ¿Cuándo dejará de ser la ciberseguridad el vagón de cola?
IVÁN: Volvemos a lo mismo. Algunos directivos creen que la ciberseguridad es un complemento del negocio de la empresa y no es así, tiene que ser parte del negocio. Cada engranaje del propio negocio tiene que ser visto desde la perspectiva de la ciberseguridad para garantizar que no haya ningún tipo de vulnerabilidad que pueda jugar en su contra en el futuro. Pero no solo tenemos que pensar en vulnerabilidades que puedan tenerse a nivel de hardware o software, sino también a nivel procedimental, políticas internas, etc.
El gobierno de la seguridad es tan importante como parchear una versión obsoleta o un 0 day.
«Algunos directivos creen que la ciberseguridad
es un complemento del negocio de la empresa
y no es así, tiene que ser parte del negocio.
Cada engranaje del propio negocio tiene que ser visto
desde la perspectiva de la ciberseguridad
para garantizar que no haya ningún tipo de vulnerabilidad
que pueda jugar en su contra en el futuro.»
Hablemos de IntelCon 2021. Y empecemos por el principio. ¿Podéis explicarnos más ampliamente qué es la Comunidad GINSEG?
WIKTOR: GINSEG lo iniciamos en 2017, como un espacio donde poder aprender y compartir información relacionada con la ciberinteligencia. Analizando el ecosistema vimos que no existía ninguna comunidad centrada en la ciberinteligencia en habla hispana. Fuimos los pioneros. Al final con la Comunidad GINSEG pretendemos que sea un nexo de unión entre las diferentes disciplinas de Inteligencia (OSINT, SOCMINT, Threat Intelligence, HUMINT, etc), las técnicas relacionadas de esa área y la ciberseguridad, con el único fin de fomentar la formación de calidad, el conocimiento compartido y colaborativo.
IVÁN: Los tres pilares bajo los que se funda la comunidad son los siguientes:
• Colaboración en comunidad hispanohablante.
• Formación, desarrollo de herramientas, difusión y concienciación.
• Investigaciones retribuidas a medida por miembros de la comunidad.
¿Quién puede formar parte de ella?
IVÁN: Cualquier persona con ganas de aprender y compartir información. La comunidad esta abierta a todo el mundo, ya sea una persona con mucha experiencia en la temática o bien para aquellas personas que comienzan en este mundillo y no tienen una guía clara de cómo continuar su formación.
¿Está muy implantada en América Latina?
WIKTOR: Ahora mismo tenemos alcance en todos los países hispanohablantes: Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Puerto Rico, República Dominicana, Uruguay y Venezuela. Además, IntelCon nos ha ayudado mucho a llegar a otros territorios donde no teníamos tanta difusión ya que la temática está de actualidad también en ellos.
Centrémonos en el congreso: varios días, muchos ponentes y temáticas interesantes… ¿Qué destacaríais especialmente? ¿Qué es lo que no deberíamos perdernos?
WIKTOR: La ambición de IntelCon es ofrecer un programa formativo que gire alrededor del Ciclo de Inteligencia, enlazando todas las ponencias y talleres en cada una de las fases que lo componen formando parte de un todo. La idea que intentamos transmitir con el congreso es que generar un producto de ciberinteligencia es bastante complejo y no solo es ejecutar una serie de herramientas. Con el congreso queremos poner sobre la mesa una serie de recursos que ayuden a adquirir rápidamente los conceptos básicos sobre los que gira la ciberinteligencia. Tenemos que decir que sin el apoyo que ha tenido desde el principio por parte de los ponentes y su generosidad en cuanto a ofrecer contenido de máxima calidad, IntelCon no hubiera sido lo que es hoy en día, todo esto puesto a disposición de todos los usuarios de forma libre y gratuita en el canal de Youtube de IntelCon.
IVÁN: El objetivo final de esta iniciativa es que cada participante salga satisfecho y con sólidos fundamentos principales cubiertos tras el evento, como son:
• Fundamentos y conceptualización de la Ciberinteligencia.
• Diseño y planeamiento de actividades de Ciberinteligencia.
• Tácticas, técnicas y procedimientos de obtención digital de información.
• Tecnologías y procesos para el tratamiento y organización de información digital.
• Arte y técnica de análisis e interpretación de información en Ciberinteligencia.
• Productos de Ciberinteligencia para el apoyo a la toma de decisiones.
• Enfoques y estructuración de servicios de Ciberinteligencia.
Por segundo año consecutivo TECNOideas colabora con el congreso. Este año incluso ofrecemos un curso de análisis forense. ¿Cómo valoráis nuestra participación?
WIKTOR: Es un gran honor poder contar nuevamente con vuestro apoyo y patrocinio. Tanto en la edición pasada como en esta, TECNOideas nos está ayudando en la difusión del congreso por redes sociales y a través de artículos. Además, este año ofrecéis un curso de análisis forense dentro de los premios que entregaremos en el CTF IntelCon.
Y todo eso con inscripción gratuita. ¿Hasta cuándo está abierta la inscripción?
IVÁN: La inscripción tal como comentáis es totalmente gratuita y estará abierta a lo largo de la semana del congreso, por si hay algún rezagado.
- Publicado en Entrevistas, Evento, Formación, General, Noticias
¿Quién ha hecho el agosto con los problemas de ciberseguridad?
Nuestra lengua está llena de expresiones populares que se transmiten de padres y madres a hijas e hijos de forma muy natural. Una de las más conocidas es «hacer el agosto» que viene a significar hacer buen negocio. Pues bien, ahora que este mes llega a su fin, hemos querido explicaros algunos casos interesantes de ciberdelincuencia así como datos sobre pagos de ransomware que hemos conocido este verano. Lastimosamente debemos preguntarnos ¿quién ha hecho el agosto con los problemas de ciberseguridad?
1.- ¿Será la familia FlyTrap?
FlyTrap es una nueva familia de troyanos móviles descubierta por la compañía estadounidense de ciberseguridad Zimperium. Sus técnicos no solo han descubierto este malware, sino que han constatado que se distribuye a través de técnicas de ingeniería social para engañar a los usuarios. Con ello pueden «robar» las credenciales de acceso, datos de ubicación, dirección IP, correo electrónico, etc. de los usuarios de Facebook. La distribución se hacía a través de aplicaciones maliciosas de Google Play y otras plataformas familiares para los afectados, como Netflix o aplicaciones de la Eurocopa de fútbol.
Hay que decir que este malware ataca a los dispositivos Android y gracias a la técnica de ingeniería social, ha afectado rápidamente a más de 10.000 usuarios de 140 países diferentes, España incluida. Su aparición tuvo lugar en el mes de marzo de este año en Vietnam, pero hasta este verano Zimperium no ha logrado descubrirlo.
Tenéis una extensa información de este malware y la forma de actuación en la web de Zimperium.
2.- ¿Serán los ciberdelincuentes del grupo RansomEXX que atacaron a Gigabyte?
Gigabyte Technology es una fábrica de ordenadores y componentes informáticos de Taiwan, que en pleno mes de agosto ha sufrido un ciberataque de ransomware. Los ciberdelincuentes, que como marca la norma, hicieron su ataque en viernes, se apoderaron de 112 GB de datos, accediendo a una serie de servidores de la compañía.
La empresa actuó con celeridad, activó sus mecanismos de seguridad, cerró sus sistemas, notificó el ataque a las autoridades y el mismo viernes retomó el funcionamiento de sus actividades. Un buen ejemplo de como solucionar un ataque de ransomware gracias a que tenían bien definida su política de ciberseguridad, algo que reclamamos continuamente desde TECNOideas y asi lo expresamos a nuestros clientes.
Todo parece indicar que el ataque es obra del grupo RansomEXX, especializado en ransomware. Tenéis toda la información sobre este grupo y como neutralizarlo en la web pcrisk.es
3.- ¿El agosto pasa a ser cada mes con los pagos a los delincuentes?
El pago promedio de ransomware ha experimentado un aumento del 82% en el primer semestre del año.
La demanda promedio de un rescate aumentó un 518% en el primer semestre de 2021, llegando a los 5,3 millones de dólares, frente a los 847.000 de 2020. Esta espectacular cifra se debe precisamente a las tácticas cada vez más agresivas que emplean los ciberdelincuentes para obligar a empresas y organizaciones a pagar rescates. Un buen ejemplo de ello es la llamada «extorsión cuádruple», que puede llevar desde el cifrado y robo de datos hasta el cierre de webs de las víctimas.
Según la empresa Unit 42, una consultora de seguridad que forma parte de Palo Alto Networks, el aumento de la «extorsión cuádruple» significa que los ciberdelincuentes usan hasta cuatro técnicas distintas para presionar a sus víctimas para que efectúen el pago. Las más conocidas son:
• El cifrado. O sea pagar para recuperar el acceso a datos codificados.
• El robo de datos, que se divulgan en caso de no pagar.
• Ataques de denegación de servicio, que acaban con el cierre de las webs públicas de la víctima.
• El acoso: los delincuentes se ponen en contacto con los clientes, socios comerciales, empleados o incluso medios de comunicación para informar que la empresa en cuestión ha sido pirateada.
Moraleja 1: más vale prevenir que curar. Solamente implantando buenos planes de ciberseguridad podemos afrontar con posibilidades de éxito un ataque de malware o de ransomware. Y si además las empresas tienen formado a su personal, las posibilidades de éxito aumentan considerablemente.
Moraleja 2: la ciberseguridad no es un gasto; es una inversión. No nos cansamos de repetirlo. Solo leyendo el último párrafo de nuestro artículo seremos capaces de darnos cuenta de las cifras que manejan los ciberdelincuentes.
Moraleja 3: no vale pensar que mi empresa es pequeña y no seré objeto de deseo de los ciberdelincuentes. Error. En este artículo hablamos de ciberdelincuentes muy especializados, si. Pero en el mundo del hampa hay muchos tipos de delincuentes. Los hay que se conforman con pymes, porque creednos, la mayoría son muy vulnerables y no tienen planes de ciberseguridad.
Y bueno, ya estáis en condiciones de votar. ¿Quién creéis que ha hecho el agosto con los problemas de ciberseguridad?
Imagen principal: Darwin Laganzon en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad
Ya está aquí IntelCon 2021: del 30/8 al 3/9, online y gratuito
El congreso de Ciberinteligencia IntelCon 2021que organiza la Comunidad Ginseg vuelve por segundo año consecutivo con nuevas propuestas interesantes. El certamen se centra en las cuatro fases del Ciclo de Inteligencia: dirección y planificación, obtención de datos digitales, análisis y elaboración y difusión. Ciertamente ya está aquí IntelCon 2021: del 30/8 al 3/9.
El objetivo principal del congreso IntelCon© 2021, es la difusión de conocimiento de calidad y consolidación de una comunidad enfocada en la ciberinteligencia. Las sesiones tendrán lugar en forma de ponencias y talleres pero con un itinerario guiado alrededor del Ciclo de Inteligencia, por lo que se ha estructurado el congreso en cuatro módulos: Dirección y planificación; Obtención de datos digitales; Análisis y elaboración y Difusión. Cada uno de ellos consta de varias ponencias y talleres temáticos.
Los organizadores creen que los fundamentos principales que los asistentes al congreso podrán aprender son los siguientes:
• Fundamentos y conceptualización de la Ciberinteligencia.
• Diseño y planeamiento de actividades de Ciberinteligencia.
•Tácticas, técnicas y procedimientos de obtención digital de información.
•Tecnologías y procesos para el tratamiento y organización de información digital.
• Arte y técnica de análisis e interpretación de información en Ciberinteligencia.
• Productos de Ciberinteligencia para el apoyo a la toma de decisiones.
Es muy difícil destacar alguno de los ponentes. Os invitamos a que vosotros mismos veáis el elenco de expertos que van a intervenir. La lista se está acabando de cerrar y la encontraréis en la web del congreso.
Presencia de TECNOideas 2.0
TECNOideas colabora con el congreso con un patrocinio y ofreciendo un curso de análisis forense. Los que nos seguís habitualmente sabéis que somos peritos judiciales y el análisis forense es uno de los servicios que ofrecemos a nuestros clientes. Los más interesados en conocer un poco más el análisis forense, podéis verlo AQUÍ, en nuestra sección servicios. Este será el segundo año que TECNOideas colabora con IntelCon, después de nuestra participación del año pasado.
La comunidad GINSEG
El congreso está organizado por la comunidad GINSEG, que nació en abril de 2017. Su objetivo es crear un punto de encuentro del mundo hispanohablante en torno a la ciberseguridad y por ello están presentes en 21 países, desde América Latina hasta Guinea Ecuatorial.
IntelCon 2021 es totalmente gratuito, tiene el formato online y las inscripciones están abiertas. Para ello tenéis que rellenar este formulario.
- Publicado en Análisis forense, Evento, General, Noticias
Y al fin, multa a Zoom
Una de las empresas que más ha sonado durante la pandemia y que más rédito ha obtenido de la COVID-19 es Zoom Video Communications. Se trata de una empresa estadounidense cuya sede se encuentra en California. Pero su proceder, nada transparente con las leyes y la protección de datos, como TECNOideas ha ido pregonando, le ha llevado finalmente a tener que afrontar una cuantiosa multa.
El «éxito» de Zoom se debe principalmente a su sistema de videollamadas y reuniones virtuales que, como todos sabemos se disparó durante la pandemia. Tanto es así que la empresa norteamericana pasó de tener 10 millones de usuarios activos en 2019 a más de 300 millones a finales de abril del 2020. Entonces se estimó que su fundador, Eric Yuan pasó a ser uno de los hombres más ricos del mundo, con una fortuna personal valorada en unos 5.500 millones de dólares.
Pero no es oro todo lo que reluce y tras más de un año avisando sobre la poca seguridad de sus aplicaciones, soluciones y servicios, Zoom empezó a ser vetado por algunos gobiernos y empresas por los riesgos de seguridad.
Desde TECNOideas avisamos pronto sobre las conductas reprochables de Zoom. Accedían a datos de los usuarios sin su autorización, como los contactos. Más tarde se pudo probar que los había vendido, sin permiso ni aviso, a grandes plataformas, como Google, Facebook o Linkedin.
Por todo ello Zoom recibió varias denuncias en Estados Unidos y una demanda colectiva. La empresa reconoció los fallos y ha llegado a un acuerdo extrajudicial, según la cual la compañía de la solución de videoconferencia se verá obligada a pagar un total aproximado de 85 millones de dólares, a repartir entre sus usuarios de pago. En octubre, la jueza de San José (California) encargada del caso, deberá ratificar el acuerdo.
Igualmente, aunque esto será más difícil, se compromete a aplicar seguridad, y no «robar» más datos de sus clientes, ni traficar con ellos. Habrá que verlo, porque estos avisos y compromisos ya estaban sobre la mesa desde noviembre del año pasado.
Para los que deseéis conocer más sobre el tema, queremos recordaros que en este mismo blog hemos hecho una serie de artículos temáticos sobre Zoom, así como varios aportes más, cuando surgía una noticia. Os refrescamos la memoria con un par de ellos: «Éxito y caída de Zoom» publicado el 13 de abril de 2020 y «Nuevo ataque a Zoom con pornografía» que pudisteis leer el 3 de mayo del mismo año.
Además, como profesionales de la ciberseguridad, no hemos recomendado Zoom a nuestros clientes y a los que lo estaban utilizando les hemos ayudado a hacer el cambio a otras plataformas.
En el lado positivo del tema, podemos ver, una vez más, que en estos temas tecnológicos, incluso los más grandes acaban por ser investigados y multados, con cuantiosas cantidades, por no seguir las leyes o la más mínima noción de la ética profesional.
Y por último, una reflexión para todos los que nos seguís, seáis clientes o simples seguidores de la tecnología: no siempre lo más extendido y conocido es lo mejor para cada uno de nosotros, ni lo más fácil de usar, claro…
Imagen principal: Alexandra_Koch en Pixabay
- Publicado en General, Noticias, Privacidad
¿Cuánto vale la empresa de antivirus y seguridad más grande de Europa? ¿Qué os parece entre 7.000 y 8.000 millones de dólares?
Si todavía hay escépticos sobre la importancia de la ciberseguridad, la noticia que se difundió ayer quizá les hará cambiar de opinión. Y es que Norton ha adquirido Avast por esa cantidad tan extraordinaria de dinero, que sitúa esta operación como una de las más importantes del sector tecnológico.
permitirá una mejor ciberseguridad
a nivel global.
Norton LifeLock es una empresa de software estadounidense fundada en 1982 y que tiene su sede en Arizona. Anteriormente era conocida como Symantec. La compañía proporciona productos de ciberseguridad y su buque insignia es su famoso antivirus Norton. La empresa cotiza en el Nasdaq, el índice bursátil norteamericano.
Podéis conocer más sobre sus productos en la web para España de Norton AQUÍ.
Por su parte AVAST es también un software antivirus, en este caso de la empresa checa Avast Software, que lo empezó a desarrollar en 1988 y lo lanzó oficialmente en 1991. Tiene su sede en Praga y es el líder europeo del sector. A pesar de ser checa, la empresa cotiza en la bolsa de Londres. De hecho, las dos empresas son líderes en sus respectivos continentes y por ello, a nivel mundial eran rivales.
Si deseáis saber más sobre su cartera de productos, podéis navegar por su web para el mercado español AQUÍ.
Una operación de 8.000 millones de dólares
El anuncio hecho público ayer sobre que Norton compraba Avast ha causado sensación en todo el mundo. Por la cantidad de dinero puesto sobre la mesa y porque la unión de los dos gigantes abre las puertas a una mayor protección cibernética global, puesto que ambas compañías esperan que la unión les permitirá aprovechar mejor los recursos. La operación se ha acelerado al ver como las amenazas globales iban en aumento progresivo.
Se calcula que la nueva empresa surgida de esta unión va a facturar unos 900 millones de dólares al trimestre y que tendrá la friolera de 500 millones de usuarios en todo el mundo.
Aunque ambas empresas han comunicado la operación como una fusión, el sector lo ha visto como una absorción. De hecho la operación combina el efectivo y el intercambio de acciones. Bueno, en realidad Norton compra todas las acciones de Avast y la nueva sociedad va a cotizar en la bolsa estadounidense.
Podéis leer la noticia en inglés en el portal de economía de Yahoo AQUÍ. Y si lo preferís en castellano, los periódicos de hoy recogen la noticia, pero os recomendamos la lectura del artículo del periódico Cinco Días publicado ayer.
El impacto de la noticia, más allá de las repercusiones en la economía global, nos lleva ineludiblemente a valorar la ciberseguridad como una de las necesidades de cualquier empresa, sea grande, mediana o pequeña. Y es una prueba más de que lo importante es luchar contra la ciberdelincuencia desde el principio, creando las oportunas barreras de ciberseguridad en todos los sistemas y aparatos de las empresas al tiempo que se forma en ciberseguridad a sus trabajadores. Dos principios básicos para TECNOideas 2.0 que podéis encontraren respectivamente en nuestra sección SERVICIOS y FORMACIÓN de nuestra web.
Imagen principal: RIFKIE DRAJAT PUTRA PRATAMA en Pixabay
Nos quejamos de Google, pero la privacidad está en peligro por una nueva ley.
Hace unas semanas comenzamos a ver sentencias, del Tribunal de Justicia de la Unión Europea (TJUE), donde firman sentencias para que se identifique a una persona a través de su dirección IP. Y dicha resolución reza tal que así:
«el registro sistemático de direcciones IP de usuarios de esa red y la comunicación de sus nombres y direcciones postales al referido titular o a un tercero para permitir la presentación de una demanda de indemnización son admisibles si se cumplen determinados requisitos»
Tribunal de Justicia de la Unión Europea (TJUE)
Dicha sentencia tiene colación en nuestro país por el llamado caso Euskaltel, cuando se recibió denuncia de varios usuarios de dicho operador, en 2017, que presuntamente habían compartido ficheros y contenido sin permiso ni autorización en redes P2P.
Varios abogados como David Bravo o David Maeztu, especialistas en derecho tecnológico (y propiedad intelectual), recomendaron en su momento no pagar, pero ahora han visto como la Justicia puede actuar en su contra, aunque dentro de una forma proporcionada, como apuntan.
Y de tapadillo, hace unas pocas semanas, la Eurocámara derogó la Directiva 2002/58/CE de Privacidad en Internet, y activo el llamado Chatcontrol, que no es otra cosa que habilitar una puerta trasera para que la «autoridad» pueda acceder a servicios de mensajería (whatsapp, Telegram, etc…) y otros tipos de servicios, como el correo electrónico, pero solamente cuando, de momento, colabore la empresa prestataria de servicios.
La excusa es para perseguir la intolerancia, el terrorismo y el abuso infantil, entre otras cosas, eso sí, haciéndonos pasar a todos por delincuentes, sin cribar este fisgoneo, y indicando, que quien no tenga nada que esconder, no tendrá nada que temer. Supongo que os suena 1984 o Minority Report, que aunque también hay películas, nos referimos a los libros.
Recordemos que hay sistemas y algoritmos implantados desde hace tiempo por Microsoft o Gmail por ejemplo, donde escaneaban los correos sin «leer» el contenido, en busca de ciertos detonantes de seguridad, para luego dar aviso a las autoridades.
Pero eso era voluntario, respetando la privacidad, o casi, y este nuevo sistema es obligatorio, y no dicen técnicamente como se llevará a cabo, ni quien. Mucho están rizando el rizo las autoridades y legisladores con estas nuevas acciones y leyes….
Como no, el partido Pirata, se ha puesto en marcha con una WEB informativa, y una recogida de firmas para pedir que se derogue esta derogación, AQUÍ.
Mucha gente, amigos, clientes, nos dicen que no les importan sus datos, que no pasa nada porque nadie mire, o los vendan. En Internet somos lo que generamos, negocio para ciertas empresas con nuestros gustos, compras, acciones,etc… Y siempre hemos creído, y creemos, que es un derecho fundamental, la privacidad.
- Publicado en Consultoría, General, Noticias, Privacidad
Aniversario de la primera puesta en marcha de un servidor web
Tal día como hoy, 6 agosto de 1991, hace ya 30 años, Tim Berners-Lee, que aún no sabemos porque no es Lord, puso en marcha en el CERN (Organización Europea para la Investigación Nuclear), sitio de donde han salido las más disparatadas soluciones, pero funcionales y adelantadas a su tiempo (por ejemplo como el sistema de correo encriptado que usamos, o la VPN de Proton).
Ese paso, después de que Internet ya funcionase desde hace años, hizo democratizar esa tecnología, ponerle un interfaz gráfico, accesible para casi todo el mundo con un navegador, que creó el también posteriormente, por nombre, poco original WorldWideWeb, que posteriormente cambió a Nexus.
Aunque era el primer navegador, de muchos, contaba con funciones imprescindibles hoy en día, como el adelante y hacía atrás. Y también era compatible y usaba multitud de protocolos, como FTP, HTTP, NNTP y abrir archivos locales. Se puede probar en ESTA web que ha habilitado el CERN para ello, eso sí, ligeramente remasterizado.
Volviendo a la puesta marcha de dicho servidor, el Sr Berners-Lee también creó el primer director web, al enlazar con otras webs que no eran suyas, y los siguientes servidores, ya que como no, liberó el código fuente de dicho proyecto, tanto de servidor como cliente, haciendo pasar el número de servidores Web de veintiséis en 1992 a doscientos en octubre de 1995.
Hoy solo es una nota sobre este evento, porque la vida de este Informático teórico, físico, programador, profesor universitario, desarrollador web, ingeniero e inventor, daría para muchos artículos. Solo apuntar que es uno de los pioneros de la Neutralidad en la Red, y está trabajando en una web semántica.
Seguros de ciberriesgo, no os la juguéis a una sola carta!
Algunas empresas creen que un seguro de ciberriesgo basta para cubrir posible incidentes de ciberseguridad. Pero eso no es exactamente así y pueden encontrarse con muchas sorpresas. Leer la letra pequeña, entender lo que se propone exactamente en la póliza y saber que es un seguro y como actúa. Pensad que estos productos son genéricos y somos nosotros los que hemos de cumplir, igual que si lo hiciéramos para un vehículo: en caso de accidente y el conductor con positivo en alcohol o drogas ¿la aseguradora nos cubriría?
Hace unos años celebrábamos que por fin, el sector seguros se pusiera manos a la obra con los ciberriesgos, y ofreciera estos productos a empresas no tan grandes, que hasta ahora eran las beneficiarias de estas pólizas.
Pero tras unos años de gran aceptación, de su comercialización incluso a través de bancos, y sobre todo, contratándolos sin ton ni son a empresas que no tenían securizados —ni en lo más mínimo— sus sistemas, ha hecho que los incidentes sigan estando presentes, se sigan repitiendo (incluso varias veces en las mismas infraestructuras) y por lo tanto, se empiezan a no pagar ciertos incidentes, y a subir el precio de las pólizas.
El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Así que el daño que ocasiona el ransomware y lo que le cuesta a las empresas su rescate ha tenido también mucho que ver. ¿Por qué? Pues porque las empresas querían aprovechar estas pólizas para poner su futuro en manos de un seguro. Craso error, porque lo que de verdad es interesante es ponerse en manos de la tecnología, formar a sus equipos y elaborar planes concretos. Y cuando eso no se hace, llegan los incidentes y se espera que el seguro pague.
Tan importante es el tema que os queremos recomendar una publicación: Ransomware: una guía de aproximación para el empresario que publicó el INCIBE y que podéis descargaros AQUÍ.
Muchos han pasado por todo esto y por malas planificaciones. Y entonces llega la aseguradora y por mucho empeño y ayuda que ponga, al darse cuenta que la empresa en cuestión no tiene una política de seguridad correcta y aprovechable, solo puede recomendar pagar el rescate. Y debemos decir que este pago, en este país, es ilegal y objeto de persecución por parte del Ministerio de Hacienda, como bien se describe en este artículo de El Economista que podéis leer AQUÍ.
Pero sigamos, porque llegados a este punto tenemos la ecuación perfecta: aumento de incidentes = aumento de gasto. En consecuencia no queda más que subir la prima de las pólizas, como bien reza este ARTÍCULO.
Tampoco es muy buena idea contratarlas sin ton ni son. En este segundo caso hay aseguradoras que mas que una póliza te da unos servicios propios, obligatorios, que si fallan, entonces si pagan la cobertura.
Y ya hay informes de que una empresa que pague un rescate, como ya hizo poco anteriormente por la seguridad, los ciberdelincuentes saben que son un caramelo: accesibles y pagan rescate, así que vuelven a actuar contra ellos. Nada menos que lo cuantifican en un 80%, las empresas que han cedido al chantaje y vuelven a ser vulneradas en menos de un año, y casi siempre por el mismo grupo. Artículo al completo AQUÍ.
Nos gusta ser profesionales, así que, aunque una aseguradora pueda pagar por este tipo de incidencia, nos preguntamos: ¿cómo se atreven las empresas a no hacer ninguna acción preventiva y fiarlo todo a la carta de «ya me lo arreglará el seguro, porque para eso lo pago»?
Insistimos una vez más: un seguro debe ser un producto complementario a nuestros planes de ciberseguridad, lo más completos posibles, revisables cada cierto tiempo, y con una guinda, como podría ser esta opción. Pero nunca, nunca el seguro debe ser nuestro único plan.
Por eso mismo TECNOideas ofrece entre sus servicios la opción de buscar un seguro que cubra todas vuestras necesidades según vuestra facturación anual. Y esa es otra, porque los ciberdelincuentes suelen pedir el rescate según la facturación anual de una empresa y por eso las compañías de seguros aplican el mismo criterio al valorar la prima a pagar por un ciberseguro.
Imagen principal: Mary Pahlke en Pixabay
Español 
Català