¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Publicado en Certificaciones, General, Normativa, Noticias, Protección de datos
¿Es España un chollo para los ciberdelincuentes?
Algunos estudios bien podrían poner la cara encarnada a los responsables de la ciberseguridad en España. Dos recientes investigaciones indican, por un lado, que es el país del mundo donde se ha detectado el mayor número de ataques al escritorio remoto. Y por otro lado que un tercio de los políticos y periodistas españoles han sido diana de los ciberdelincuentes alguna vez. Así que no nos queda otra que preguntarnos seriamente ¿es España un chollo para los ciberdelincuentes?
Nada menos que 51.000 millones de intentos de acciones maliciosas se produjeron en España en 2021 en el ámbito de los escritorios remotos y el trabajo fuera de la oficina. Recordamos que un escritorio remoto no es más que una tecnología que permite a un usuario trabajar en un ordenador a través de su escritorio gráfico desde otro dispositivo ubicado en otro lugar.
Esta cifra significa que duplicamos las cifras del segundo país más atacado, que es Italia con 25.000 millones. Les siguen Francia (21.000 millones) y Alemania (19.000 millones).
Todas estas cifras las ha sacado a la luz un estudio realizado por la empresa ESET, una compañía de seguridad informática establecida en Bratislava y fundada en 1992. Podéis ver su web para el mercado español AQUÍ. El informe de amenazas de esta empresa, centrado en el último cuatrimestre de 2021 os lo podéis descargar, en inglés, AQUÍ.
Es de agradecer que en el blog de la web de España, el Director de Invetigación y Concienciación de ESET España, Josep Albors, haya publicado un artículo centrado en el resultado del estudio referido a nuestro país. En él destaca los siguientes puntos:
- El email sigue siendo el vector de ataque más activo.
– Ello se debe a que cuesta muy poco enviar cientos de miles de emails a direcciones de correo de todo el mundo.
– Pero ya no se envían emails sin criterio. Cada vez más son campañas personalizadas y dirigidas a cierto tipo de empresas o incluso departamentos de esas empresas. - Hasta un 25% explotan la vulnerabilidadf CVE-2017-11882, que afectaba a varias versiones de Microsoft Office. Se descubrió en 2017, pero a pesar de ello sigue siendo usada para comprometer sistemas.
- Los emails usados suelen hacerse pasar por facturas, notificaciones de pago o pedidos. Incluso pueden contener documentos protegidos por contraseña para dificultar el análisis previo a la descarga.
- Repunta la reaparición de la botnet Emotet.
- Los correos con phishing siguen siendo las amenazas más detectadas en 2021.
Destacan la evolución de los phishing bancarios, siendo cada vez más creíbles.
Para leer el artículo de Josep Albors podéis clicar AQUÍ.
Y un último apunte: técnicas que usan la mayoría de las empresas, aunque sean fáciles de implementar y con poco coste, son poco seguras, o muy inseguras por decirlo igual, pero al revés. Si, hablamos de escritorios remotos, y demás software de control de un pc remotamente.
Políticos y periodistas en el punto de mira
más propensos a ser objetivo de piratería.
Imagen de Mahesh Patel en Pixabay
Interesante encuesta la que encargó Google a YouGo para saber el alcance de las amenazas a usuarios de alto riesgo. Para ello se centraron en periodistas y políticos de diez países, entre ellos España. Los resultados han sido bastante elocuentes y demuestran que, en general, los periodistas y políticos se sienten bastante desprotegidos en internet. En el caso de España se obtuvieron estos resultados:
- El 62% de políticos y periodistas españoles creen que sus profesiones los hacen más propensos a ser objetivo de ciberdelincuencia o phishing.
- El 87% de los políticos cree que las amenazas han aumentado en los último dos años. En el caso de los periodistas la cifra es del 80%.
- Las causas de este incremento, según los encuestados son:
– El incremento de la sofisticación de las técnicas empleadas (3 de cada 4 encuestados).
– El trabajo en remoto (58% de políticos y 42% de periodistas). - Un tercio de los encuestados revela que ya han sido objeto de ataques a sus cuentas digitales o un acceso no autorizado de un tercero.
- El 18% reconoce que ha sufrido un “ataque” el último año. Pero las diferencias aquí son grandes: alcanza hasta el 30% de los políticos y se queda en un 6% en el caso de los periodistas.
- El 95% creen que es necesario mejorar la protección cibernética. En el caso de los políticos la cifra llega al 100%.
- Alrededor del 50% de los encuestados cree que les corresponde a ellos asegurar sus dispositivos y datos. Pero 2 de cada 3 confían en el trabajo de sus responsables de IT.
- Las principales medidas de seguridad que han tomado son la identificación de dos factores (53% en el caso de los políticos) o el uso de software o hardware de seguridad (60% en el caso de los periodistas).
- En el caso de los periodistas también destaca que en un 60% han evitado el uso de redes WiFi públicas.
Hay que decir que la encuesta se efectuó a 350 políticos y 355 periodistas de diez países, por lo que la muestra no es muy representativa. Sin embargo, como todo este tipo de preguntas, marcan una tendencia que se corresponde con lo que se viene publicando en los medios y estudios especializados.
Si os interesa esta noticia os invitamos a leerla en el portal zonamovilidad.es, que se presenta como el primer portal especializado de tecnología móvil en España AQUÍ.
No es la primera vez que en este blog nos preguntamos si ¿Es España un chollo para los ciberdelincuentes? En noviembre de 2021, a raíz del aniversario del correo electrónico publicamos el artículo 50 años de correo electrónico, pero… ¿por qué España es el país que recibe más “spam”?
- Publicado en Ataques / Incidencias, Estudios, General, Medios de comunicación, Noticias, Teletrabajo
Cambios en la norma ISO 27002 para este año 2022
¡Más motivos para certificarse! Se actualiza la norma ISO 27002 que va íntimamente ligada a la certificación ISO 27001 sobre la seguridad de la información. Con ello se facilitan algunos mecanismos de control y se permite una certificación más light y barata para algunos temas concretos.
Las certificaciones son cada vez más importantes para las empresas. Entre ellas destacan las ISO, debidas a la Organización Internacional de Normalización. Su nombre en inglés, Internacional Organization for Standardization, es lo que da lugar al acrónimo ISO.
Hay muchas certificaciones ISO, pero la que afecta a nuestro sector es la ISO 27001, que es la que se encarga de gestionar la seguridad de la información en cualquier tipo de organizaciones, sean pequeñas o grandes.
La ISO 27001 nació en el año 2005. La norma se encuentra dividida en dos partes: una primera que se compone de 10 puntos y una segunda que establece los mecanismos de control, que se conoce popularmente como Anexo A.
Está íntimamente unida a la ISO 27002, que no es más que una guía de buenas prácticas para implementar la ISO 27001, que es la que se certifica. Por ello los cambios en la norma ISO 27002 para este año 2022 permiten agilizar la certificación.
La Organización Internacional de Normalización se fundó en Londres en 1947.
Desde su creación, la ISO ha ido sufriendo revisiones para adaptarse a las necesidades de cada momento. Básicamente las revisiones han facilitado las mejores prácticas en seguridad de la información. Las últimas revisiones datan del año 2013. Pero durante este tiempo ya se ha visto que la 27002 se iba quedando obsoleta. Por ello en este 2022 se ha lanzado la nueva versión ISO 27002, que, a nivel general, viene a simplificar varios aspectos. Comporta principalmente los siguientes cambios:
- Cambio de nombre: ahora la norma se denominará “Controles de Seguridad de la Información”.
- Reestructuración de los 14 dominios que había en la versión de 2013, pasándose ahora a 4 grandes temas:
– Controles Organizacionales (37 controles)
– Controles de personas (8 controles)
– Controles físicos (14 controles)
– Controles tecnológicos (34 controles) - Definición de atributos. Se redefinen los atributos como tipo de control, propiedades de seguridad de la información, capacidades operacionales, dominios de seguridad o conceptos de ciberseguridad.
En este caso se alinea con los cinco grandes dominios de ciberseguridad establecidos en la ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar. - El número de controles se reduce de 114 a 93, pero incluirá controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
- Introduce cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
Si queréis tener más información de los cambios en la norma ISO 27002 para este año 2022, os recomendamos este artículo de Segu·Info.
Ventajas
Todo esto que os puede parecer muy engorroso de leer y explicar viene a significar una serie de procesos nuevos, pero más sencillos para obtener una parte de la certificación. Como os decimos al principio, la ISO 27001 es apta para cualquier tipo de organizaciones, sean pequeñas o grandes. Pero quizá alguno de vosotros no necesita toda la certificación ISO 27001 por el trabajo que realizáis. Ahora podréis tener más fácilmente la ISO 27002 y os servirá para tener algunas ventajas competitivas y de mercado.
TECNOideas se ha especializado también en certificaciones.
Podemos ayudaros a conseguir diversas certificaciones, entre ellas la ISO 27001. Dejad que os orientemos y nos ocupemos de todo el trabajo y papeleo.
¡Contactadnos!
- Publicado en Certificaciones, General, Historia, Normativa, Noticias
¿Qué pasa en bolsa, con las acciones de una empresa, cuando sufre una violación de datos?
Que la ciberdelincuencia pone en peligro a muchas pymes no es nada nuevo. Os lo hemos explicado bastantes veces. Y que incluso algunas grandes empresas atacadas ven comprometidas sus expectativas, también. Pero hoy os queremos contar un tema muy importante e interesante y del que no se suele hablar, como es el de la reacción de los inversores. ¿Qué pasa con las acciones de una empresa cuando sufre una violación de datos?
Esta misma pregunta se hicieron los profesionales de Comparitech, un portal británico de comparación de soluciones tecnológicas que proporciona, entre otros, información y ayuda sobre temas de ciberseguridad y privacidad online. El resultado de esta curiosidad es un exhaustivo estudio que pone de manifiesto la afectación en bolsa de una empresa que ha sido diana de ciberdelincuentes.
Cuando ha existido una violación de datos, cualquier empresa, sea grande o pequeña, sufre unas graves consecuencias. Normalmente siguen una secuencia que viene a ser algo así como despedir a personal – los ejecutivos se disculpan – se revisan los sistemas para que no vuelva a ocurrir. Pero esto solo sería el primer eslabón de la cadena de consecuencias.
Os hemos hablado también aquí y en nuestro portal hermano ProMonitor, del riesgo reputacional que sufre la empresa. Un riesgo que puede durar años, ya que los consumidores tienen dudas de una marca que no ha sido capaz de salvaguardar la privacidad de los datos.
Pero para ir todavía más allá, Comparitech ha analizado los precios de cierre de las acciones de 34 empresas que cotizan en la Bolsa de Nueva York a partir del día anterior a la divulgación pública de haber sufrido una filtración de datos. Estamos hablando de empresas muy grandes y poderosas, con exfiltraciones de un millón de datos. Incluso alguna de ellas llegó a superar la de 100 millones de datos. Dicho de otro modo: son algunas de las violaciones de datos más grandes de la historia. Comparitech analizó 40 violaciones, lo que indica que alguna de las empresas analizadas sufrió más de un ataque.
Resultados muy determinantes
El estudio publicado destaca algunos de los hallazgos clave que encontraron sus investigadores:
• El precio de las acciones alcanzaron el punto más bajo de cotización hacia los 110 días.
• La caída del precio de las acciones vino a ser de un 3,5% de media y tuvieron un rendimiento inferior al índice de referencia NASDAQ en un 3,5% también.
• Seis meses después de la infracción las empresas iban peor que en los seis meses anteriores.
• 21 de las 40 infracciones dieron un rendimiento de las acciones frente al NASDAQ peor que en los seis meses anteriores.
• En los seis meses anteriores el precio de las acciones subieron un 2,6%. Tras la infracción cayeron un 3%.
• Al cabo de un año el precio de las acciones había caído un 8,6% de promedio.
• Después de dos años el precio medio de las acciones había caído un 11,4% y después de tres años ya había bajado un 15,6%.
Como podéis ver, no exageramos nada cuando hablamos de estos temas o cuando podéis leer en la home de nuestra web cosas como lo que pierden las pymes españolas por ciberespionaje, infecciones con malware o por ataques DDos.
El estudio de Comparitech profundiza mucho más e incluye cosas como convertir los días hábiles (son los que abren las bolsas) en tiempo total. Pero sobre todo podréis ver el tipo de empresas que analizaron, casi todas ellas de alcance global y los efectos también en el mismo sector de las atacadas. Incluyen los millones de datos que los delincuentes consiguieron de cada una de las empresas.
Interesante también el apartado de la sensibilidad de la información robada, que agrupa las acciones por los datos violados, desde los más confidenciales (tarjetas de crédito, números de los seguros sociales) hasta grupos que incluyen contraseñas sin cifrar, preguntas y respuestas secretas, inicios de sesión, registros médicos, etc.
Podéis ver los resultados del estudio publicados en el portal de Comparitech, que en realidad son dos: “Cómo las filtraciones de datos afectan los precios de las acciones del mercado de valores”. Lo podéis leer AQUÍ. Lo firma Paul Bischoff, editor de Comparitech y un comentarista habitual sobre seguridad cibernética y temas de privacidad en medios internacionales de gran prestigio, como el New York Times, la BBC, The Guardian, etc. Podéis ver su perfil en Linkedin, aunque en él pide que se le contacte por Twitter.
Bischoff también firma el segundo artículo, en el que analiza los ataques con ransomware y que se titula “Cómo afecta el ransomware a los precios de las acciones del mercado de valores: informe”. Lo podéis enlazar AQUÍ.
Comparitech fue fundado en 2015 en el Reino Unido y sus consejos y estudios ayudan a sus lectores en Estados Unidos, el Reino Unido y en muchos otros países del mundo. Lo conforman un equipo de 30 investigadores, escritores, desarrolladores y editores de seguridad. Se encargan también de probar y revisar productos que incluyen VPN, administradores de contraseñas, antivirus, protecciones contra robos de identidad, etc.
Imagen principal: Ajay Suresh bajo licencia Creative Commons Atribución 2.0 Genérica
- Publicado en Ataques / Incidencias, General, Medios de comunicación, Noticias, Protección de datos
Día de Internet Segura: repercusión
Uno podría pensar que una jornada como el Día de Internet Segura (Safe Internet Day) acapararía la atención de los medios. Por eso, un día después de esta celebración hemos querido ver la repercusión que ha tenido. Esta jornada se celebra desde 1997 el segundo martes de febrero.
Internet ha entrado tanto en nuestras vidas que quizá esperábamos un aluvión de noticias, datos, sugerencias y recomendaciones sobre su uso seguro. Pero no ha sido así. En general, sólo podemos destacar algún periódico de alcance nacional, como ABC, que en su edición nacional destaca que “El Incibe celebra el Día de Internet Segura”. Lo podéis leer AQUÍ.
Los periódicos digitales, que podrían estar más sensibilizados, tampoco han mostrado demasiado interés. Como ejemplo, elDiario.es publicó una “noticia servida automáticamente por la Agencia Efe” como ellos mismos se encargan de advertir. Una lástima que no hayan sido capaces de redactar algo propio, pero por lo menos han tenido una buena presencia. El título de la noticia es “Navegar seguro por internet, una asignatura pendiente entre los españoles”. La lectura AQUÍ.
Naturalmente la prensa especializada se ha hecho eco en mayor medida. Resaltamos la noticia en la revista online MuyComputer: “Aprovecha el Día de Internet Segura 2022 para mejorar tu seguridad.” En el artículo, algunos datos y consejos interesantes, como podeís ver AQUÍ.
Incibe lidera el Día de Internet Segura
Como no podía ser de otra manera, algunos estamentos públicos sí que han recogido de buena gana la importancia de este día. Así, por ejemplo Unicef se ha encargado de recordar la importancia de proteger los derechos de la infancia en Internet. Y en su artículo abre debates infinitos muy interesantes, como “¿Limitamos Internet?”, “Qué se puede hacer desde la escuela” o “La implicación de la familia”. Todo ello muy en la línea del reciente estudio que Unicef España realizó sobre el uso de la Red por parte del alumnado de ESO y que nosotros recogimos en ESTE ARTÍCULO.
También resulta interesante ver que algunas comunidades autónomas se han preocupado por el tema. Cataluña, por ejemplo, tiene una web específica que cuelga de la Agencia de Ciberseguridad de Cataluña. La podéis consultar AQUÍ.
Pero naturalmente es el INCIBE el que ha echado el resto. Ha organizado un extenso programa de actividades, con talleres online y un interesante vídeo promocional que podéis ver AQUÍ.
Y para terminar, un par de apuntes curiosos: podéis encontrar este día escrito en masculino y en femenino, o sea Día de Internet Segura o Día de Internet Seguro. Y es que Internet es de las pocas palabras que admite masculino y femenino, como recoge la Real Academia Española en la voz internet, que escriben con minúscula i aclaran “Escrito también con mayúscula inicial” y luego indican “Masculino o femenino”.
Imagen principal: Incibe.
- Publicado en Evento, General, Historia, Medios de comunicación, Noticias
¿Se roban más coches por culpa de la cibertecnología?
Los vehículos siguen siendo uno de los objetos preferidos por todos. A pesar de la crisis, del calentamiento global, de las llamadas al uso del transporte público y la necesidad de una movilidad más racional, tener un coche propio está entre los deseos más queridos. La tecnología, la descarbonización o incluso el coche autónomo ya están ahí y la revolución del sector ha ayudado mucho a hacer coches más seguros y con más servicios para los ocupantes, pero… ¿se roban más coches por culpa de la cibertecnología?
En principio la respuesta parece que debería ser que no. Pero los que trabajamos en ciberseguridad no lo tenemos tan claro. Y según un estudio de la compañía española especializada en seguridad informática Panda Security, hay una evidencia clara: los coches no son ciberseguros.
Pocos sectores están inmersos en una revolución tecnológica tan grande como la automoción. Del tradicional vehículo que inundaba todo el parque automovilístico estamos pasando a una variedad increíble de opciones: vehículos electrificados, híbridos, de gas, autónomos… El objetivo está claro y la Asociación Española de Fabricantes de Automóviles y Camiones (Anfac), lidera este cambio bajo dos ejes fundamentales: el impulso de la descarbonización y la renovación del parque.
Pero todo este esfuerzo tiene también una contrapartida en la ciberdelincuencia y eso es lo que Panda Systems explica. Los vehículos tan tecnológicos tienen también sistemas vulnerables que los ciberdelincuentes aprovechan para robarlos. Los puntos oscuros son los siguientes:
• Cambio del sistema manual de apertura: de la llave a mandos móviles.
¿Cómo? Un ladrón se acerca al coche con un repetidor y su compañero se coloca cerca de la vivienda y capta las ondas que transmite la llave. En pocos segundos el robo es un hecho.
• Bloqueo de las puertas a distancia.
¿Cómo? Usando un inhibidor. De nuevo situándose cerca del automóvil o incluso adhiriéndolo a los bajos, porque hay inhibidores muy pequeños. Cuando el usuario cierra las puertas a distancia el inhibidor impide que se realice la maniobra. Las puertas permanecerán abiertas.
• Uso del móvil como llave.
¿Cómo? Hay smartphones que integran la llave de un vehículo. Los ciberdelincuentes envían un malware que les permite acceder a las aplicaciones del automóvil y controlar el sistema. Además pueden programar llaves nuevas en segundos y de esta forma tendrán acceso al automóvil y a su software de arranque cuando quieran.
• SOS Auto Keys.
¿Cómo? Esta es una prueba fehaciente de como los delincuentes son capaces de usar herramientas creadas para ayudar a los conductores. SOS Auto Keys es un dispositivo pensado para que los propietarios de un vehículo puedan acceder a él en caso de pérdida de llaves o de mando. El sistema para los ciberdelincuentes es muy sencillo, porque reciben una señal que registra el código único del coche. De esta forma tienen acceso a vehículos de innumerables marcas.
¡Se pueden evitar este tipo de robos!
La buena noticia es que sí, claro que hay solución. Y los propios técnicos de Panda explican soluciones de una simplicidad realmente increíble cuando estamos hablando de tanta tecnología. Lo que recomienda Panda es, sencillamente…
• Guardar las llaves en el interior de una lata metálica, con lo que el sistema queda aislado de las señales de los repetidores.
• Esta otra medida es algo más engorrosa, pero muy necesaria si estamos varios días sin usar el vehículo: consiste simplemente en que se retiren las pilas del mando mientras no se use el coche.
• Instalar un localizador oculto en el coche, lo que se conoce popularmente con el nombre de Detector, que en la actualidad es una compañía llamada Viasat Telematics y que ofrece soluciones telemáticas para la automoción.
• Esta es de Perogrullo: mantener el software del vehículo siempre actualizado y protegido. Como no nos cansamos de repetir para cualquier sistema tecnológico que usemos.
Vulnerabilidades reales
Quizá pensamos que la realidad no supera la ficción. Y cuando vemos en una película de James Bond como el agente secreto es capaz de conducir a toda velocidad y con gran destreza su magnífico coche a distancia, con su propio móvil, como si fuera un joystick de un PC, pensamos que eso no es posible.
Pero sí, a veces la realidad supera la ficción. Hace unas semanas conocimos la noticia de que un joven alemán de 19 años, investigador de ciberseguridad, descubrió casualmente una vulnerabilidad en los coches Tesla. Un programa en la red de Tesla contenía datos del vehículo del jefe de tecnología de la marca, incluyendo su localización precisa en ese instante. El joven fue capaz de abrir y cerrar las puertas, bajar ventanillas con el coche en marcha o variar el volumen de la música. Luego descubrió que este problema lo tenían 25 modelos de Tesla lanzados en América del Norte y Europa. Naturalmente informó a Tesla y sus ingenieros investigaron el error. Podéis ver la noticia en la web de Bloomberg, que fue el medio que dio a conocer la noticia.
La verdad es que la ciberseguridad y los automóviles están condenados a entenderse. Hace ya unos meses que en este mismo blog os hablamos de la legislación sobre coches ciberseguros que han de cumplir todos los automóviles que se vendan en Europa, ya sean de segunda mano como nuevecitos. Y recordamos que dejamos infinidad de datos en un automóvil actualmente. Por ejemplo en los navegadores: se conocen las rutas, los lugares donde paramos, el tiempo que estamos detenidos, si comemos en un restaurante y cuál es… O si viajamos con dos o tres ocupantes, la música que nos gusta, a quién llamamos por teléfono… ¿Ya somos conscientes de todo esto?
Deberíamos, porque realmente, ¿se roban más coches por culpa de la cibertecnología? Quizá no, pero los ciberdelincuentes han encontrado una nueva mina para delinquir.
En la web de Panda tenéis el artículo que explica con más detalle este tipo de vulnerabilidades en los automóviles. Podéis leerlo AQUÍ.
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Seguridad
Estafas a través de WhatsApp
Usamos con una insensata facilidad WhatsApp, por la rapidez, por mantenernos en contacto con amigos y familiares o para tener conectados grupos de diversa índole. Tan fácil nos lo ponen que somos incapaces de pensar lo que ocurre con nuestros datos o algo tan sencillo para los delincuentes como estafar a los seguidores de esta mensajería instantánea.
La historia de WhatsApp es realmente un relato de éxito. Esta aplicación de mensajería instantánea para teléfonos inteligentes fue desarrollada por el estadounidense de origen ucraniano Jan Koum y el estadounidense Brian Acton en los años 90. Se lanzó al mercado en 2009. Su inmediato éxito, desplazando los mensajes SMS que todos usábamos entonces, provocó que en 2014 lo comprara Facebook por la friolera de 19.000 millones de dólares.
Hoy queremos hablaros de las estafas a través de WhatsApp. No es la primera vez que hablamos de WhatsApp en este blog. En octubre del año pasado, por ejemplo, publicamos un artículo titulado Otras formas de “ataque”. En él había un apartado reservado a WhatsApp.
Pero hoy nos centramos en los intentos de estafa que ha denunciado WABetaInfo, el portal independiente más importante de noticias y actualizaciones sobre WhatsApp.
Los estafadores compran un número de VoIP (método por el cual se pueden hacer llamadas de voz a través de la red) y que no se permite usar en WhatsApp. Pero con él pueden buscar personas aleatoriamente. Cuando encuentran un número telefónico válido contactan con el usuario de WhatsApp y de modo inocente preguntan cosas como “¿Quién eres? Me he encontrado tu número en mi agenda”. De esta forma inician una conversación banal y poco a poco el interlocutor va confiando en el estafador, que empieza a hacer preguntas sobre la edad, el trabajo o cosas parecidas.
Al final la víctima le añade como contacto en sus redes sociales y a partir de ahí el delincuente tiene acceso a fotografías, lista de contactos y toda la información personal que el incauto tiene en las redes. Y ahí llega el problema: el estafador se hace con fotos de la víctima y pide dinero a cambio de no usarlas de modo fraudulento.
El portal explica que hay que denunciar el hecho al propio WhatsApp, cosa que se puede hacer desde la información del perfil; elevar el nivel de seguridad o también denunciarlo a la policía.
Podéis leer el artículo en el portal WABetainfo AQUÍ, así como las principales recomendaciones sobre la protección de la aplicación.
Esta estafa no es nueva, pero de vez en cuando hay un pico que vuelve a ponerla en el primer plano de la actualidad. Eso es lo que está ocurriendo ahora desde que han circulado las noticias sobre la posible comercialización de nuestros datos en WhatsApp y que han motivado una fuga masiva hacia Telegram.
Una vez más debemos insistir en que las ventajas de la tecnología son muchas, pero hay que ser consciente también de los problemas que nos pueden ocasionar. Hay que ser precavido y usar Internet, las redes, los móviles o las aplicaciones con sentido común y con desconfianza ante lo desconocido. Eso que parece tan sencillo acabamos por olvidarlo en el día a día. Así que toda precaución es poca.
Imagen principal: Pixabay
- Publicado en Ataques / Incidencias, General, Historia, Noticias, Privacidad
Día Europeo de la Protección de Datos
La preocupación para proteger nuestros datos llevó al Consejo de Europa a proclamar el 28 de enero como el Día Europeo de la Protección de Datos. Puede parecer paradójico que con las constantes noticias sobre ciberdelincuencia, apropiación indebida de bases de datos, incesantes llamadas telefónicas para cambiar de empresas varias de servicios y, por qué no decirlo, comercio de nuestros credenciales, que realmente haya voluntad de proteger nuestros datos.
Como en muchas otras cosas de la sociedad, lo cierto es que avanzamos. Quizá con un paso atrás de vez en cuando, quizá con obstáculos que debemos superar, pero la tendencia global es hacia una única dirección: los datos son sagrados y deben protegerse. El motivo principal es claro: con el desarrollo de Internet, telefonía móvil, redes sociales, App’s y otras delicias tecnológicas, estamos permanentemente sujetos a un bombardeo comercial y a cosas más oscuras como hemos visto, por ejemplo, en las mismas elecciones presidenciales de Estados Unidos.
Una historia de corta vida
La proclamación del Día Europeo de la Protección de Datos arranca con una resolución del Consejo de Europa del 26 de abril de 2006. Pero tuvimos que esperar al año 2018 para que entrara en vigor en toda la Unión Europea el Reglamento General de Protección de Datos. Entre otras cuestiones, significó la posibilidad de multar con bastante dinero por su incumplimiento. Introdujo además tres temas importantes:
• Obligación de consentimiento expreso por escrito de aceptar el tratamiento de los datos de carácter personal.
• Creación del Delegado de Protección de Datos, una figura que se encarga de garantizar el cumplimiento del Reglamento.
• Derecho al olvido o derecho de supresión. Este derecho, que arranca mucho antes del Reglamento, ha sido objeto de una larga serie de conflictos jurídicos, especialmente con Google. Finalmente, una sentencia del 13 de mayo de 2014 del Tribunal de Justicia de la Unión Europa dejó las cosas muy claras. En la Wikipedia tenéis un interesante artículo sobre el conflicto de la Unión Europea con Google, así como ejemplos de legislación de algunos países europeos. Lo podéis leer AQUÍ.
Podés ver más información sobre este derecho y las circunstancias por las que se puede exigir en la web de la Agencia Española de Protección de Datos.
En la misma web tenéis toda la información sobre nuestros derechos (y también nuestros deberes), el Reglamento, los proyectos europeos y cuanta información necesitéis sobre este tema.
Lo último: una ley europea de gobernanza de los datos
Como bien sabéis, desde entonces la cosa ha ido a más y poco a poco la concienciación de empresas, comercios y particulares ha sido una constante. Con algún contratiempo, como decíamos en la introducción. Así, por ejemplo, como no se pueden poner vallas a Internet, la publicidad ha seguido llegando por mil caminos. Así que la Unión Europea tuvo que atender las demandas del sector y reconocer los tratamientos de datos con fines publicitarios. Surgió así el Reglamento UE 2016/679, que rápidamente tuvo su réplica en la Lista Robinson. Se trata de un servicio gratuito que básicamente protege al ciudadano de la publicidad no querida. Cuando uno se inscribe, sólo puede recibir publicidad de las empresas a las que se haya dada consentimiento.
Las normativas europeas sobre estos temas no han cesado y el último peldaño se está escribiendo en la actualidad. Se llama Ley europea de gobernanza de los datos.
Gracias a este Reglamento, habrá y se intercambiarán más datos en la UE, entre sectores y Estados miembros. Impulsará el intercambio de datos y el desarrollo de espacios comunes europeos de datos, por ejemplo, en la industria manufacturera, el patrimonio cultural y la sanidad.
La propuesta de ley se presentó en noviembre de 2020 y es la primera iniciativa legislativa adoptada en el marco de la Estrategia Europea de Datos.
Ya ha habido acuerdo político entre el Parlamento europeo y los Estados miembros y se espera que pronto quede aprobada, tanto por la Comisión Europea como por el Parlamento.
Tenéis más información sobre esta ley en el portal de la administración electrónica del Gobierno AQUÍ y también en el portal oficial de la Comisión Europea.
En realidad esta es la penúltima acción legislativa, porque la Comisión quiere proponer otra iniciativa importante, la Ley de datos.
La Ley de datos tiene por objeto fomentar el intercambio de datos entre las empresas y entre las empresas y los gobiernos. Entre el 3 de junio y el 3 de septiembre de 2021 se celebró una consulta pública abierta cuyos resultados se publicarán en los próximos días. Como veis, el tema es de la máxima importancia para la Unión Europea y constantemente hay novedades.
TECNOideas os informa
Para terminar, no podemos dejar pasar la ocasión para refrescaros la memoria y obsequiaros con tres artículos nuestros sobre este tema. A ver si así aumentáis vuestro fantástico seguimiento de este blog. ¡Gracias por seguirnos!
• El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos. Y ese mismo día publicamos ESTE POST.
• Dos años después insistíamos en la importancia de la Ley y nos preguntábamos ¿Cumple vuestra empresa la Ley de Protección de Datos? ¿Ha sido ya multada?
• Poco después nos hacíamos eco de la actualización de las directrices sobre consentimiento y la guía sobre uso de cookies. La fecha tope para implementar los nuevos criterios fue el 31 de octubre de 2020.
Es obligado también recordar que de nada sirven todas estas leyes
si continuamos ofreciendo alegre y voluntariamente todos nuestros datos en el día a día:
al comprar online, al registrarnos en una web, al usar redes sociales o al bajarnos una App. Claro que aun así nuestra empresa os puede asesorar en como hacer las cosas
con un mínimo de seguridad.
Además de nuestros servicios, en este blog podéis encontrar
mucha documentación al respecto.
Imagen principal: Biljana Jovanovic en Pixabay
- Publicado en General, Historia, Noticias, Protección de datos
¿Se puede teletrabajar con 100 millones de ciberamenazas diarias?
La pandemia con las mutaciones del virus sigue obligándonos a cambiar nuestra forma de trabajar. La polémica se mantiene y ya hay dos formas de enfocar el trabajo en el 2022: las empresas que quieren la presencialidad de sus trabajadores y las que entienden que el teletrabajo ha llegado para quedarse y prefieren una modalidad de trabajo híbrida. Pero a lo que no renuncian ni unas ni otras es a usar la nube.
Poner información sensible en la nube es un error. Hay opciones mucho más seguras, tal y como os explicamos en un artículo hace ya un tiempo. Podéis volver a leerlo AQUÍ. Insistimos en el tema con este otro post del mes de mayo de 2021, titulado ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Pero a pesar de nuestra insistencia, parece que todavía no somos conscientes del trabajo oscuro de los ciberdelincuentes. Los expertos de la empresa Cisco Systems, especializada en equipos de telecomunicaciones, han dado a conocer unos datos que no dejan lugar a dudas:
• Hasta el 60% de las empresas esperan que la mayoría de aplicaciones estén en la nube y un 50% del trabajo operando de forma remota.
• Desde el inicio de la pandemia los intentos de acceso remoto maliciosos han crecido un 240%.
• En septiembre de 2021 los trabajadores híbridos recibieron 100 millones de amenazas diarias en su correo electrónico.
¿Qué técnicas usan los ciberdelincuentes para robar contraseñas?
No nos cansamos de repetir que el correo electrónico es el enemigo público número uno. Ya es peligroso que las empresas apuesten por el teletrabajo sin conocer los sistemas de los hogares de sus trabajadores. Parece que no les importa que se salten su propio perímetro de seguridad. Pero si a esto añadimos la poca formación en ciberseguridad de los teletrabajadores entenderemos que el correo electrónico sea tan peligroso.
Con 100 millones de amenazas diarias en todo el mundo, ¿quién cree que a él o ella no le va afectar? Por eso es conveniente saber las técnicas más usadas por los ciberdelincuentes para robar contraseñas. La compañía de seguridad ESET ha publicado la siguiente lista basada en su experiencia:
• Phishing. A pesar de que ya empieza a ser bastante conocida, sigue siendo una de las más utilizadas. Ya sabéis, los delincuentes se hacen pasar por entidades legítimas y conocidas por los usuarios que no dudan en morder el anzuelo (o sea clicar un enlace o un archivo malicioso). ¡Esa maldita costumbre que tiene el ser humano de hacer lo que no debe!
• Malware. Un programa malicioso aparece en nuestro ordenador en forma de correo, anuncio o incluso visitando sitios webs comprometidos. Los malware son como el virus de la COVID-19, aparecen cuando menos te lo esperas, pueden incluso esconderse detrás de una aplicación móvil y existen tantas variedades como os podáis imaginar. Total, la realidad supera (casi) siempre a la ficción.
• Fuerza bruta. Se calculó que el número de contraseñas que usaba una persona en 2020 aumentó un 25% interanual. Manejar ese volumen de contraseñas no es nada fácil, sobre todo teniendo en cuenta que muy poca gente usa los gestores de contraseñas que existen en el mercado y que solucionan todos nuestros problemas de memoria. Los ciberdelincuentes introducen grandes volúmenes de combinaciones de nombres y contraseñas en un software automatizado y claro, alguna aciertan. Según el gobierno de Canadá, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Así que no os de pereza alguna poner contraseñas complicadas ¡y usar un gestor de contraseñas, por favor!
• Adivinanzas. Como en la misma sociedad, hay delincuentes para todo. Así que no todos son muy sofisticados y tienen la opción de usar complicados sistemas para delinquir. De la misma manera que no todos los delincuentes comunes se dedican a grandes robos de cajas fuertes de bancos, también en el caso de la ciberseguridad hay delincuentes de poca monta. Estos se conforman con cosas tan sencillas como probar las contraseñas más habituales: 1,2,3,4 o escribir la palabra “password”, que ocupa el cuarto puesto de contraseñas usadas. Así que ya estáis siendo un poco más originales.
• Mirar por encima del hombro. Pues sí, no os lo toméis a broma, pero esta técnica está descrita. Vendría a ser la traducción del inglés, shoulder surfing. Esta “técnica” es muy útil en cosas tan cotidianas como escribir el pin de la tarjeta de crédito. Algo que hacemos muy alegremente en el supermercado, en la caja de una tienda de ropa o de cualquier otro comercio, naturalmente sin fijarnos quien está detrás nuestro.
La mejor solución para todo esto es el sentido común, ese tan conocido y que resulta ser el menos común de los sentidos.
Os recordamos también que la solución a todos estos problemas está en nuestras manos. Entre los servicios que presta TECNOideas están también cosas muy sencillas del día a día:
• Destrucción de documentación y soportes digitales,
con sus correspondientes certificados de destrucción.
• Escritorios virtuales seguros, que sustituyen la peligrosidad
de los equipos de vuestra organización.
• Correo, almacenamiento y envío de datos y ficheros encriptados y seguros…
¡Y muchos más que podéis encontrar en nuestra sección SERVICIOS!
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Teletrabajo
¿Un sistema es más seguro que otro? Ninguno se libra: filtraciones en Safari.
En nuestro sector, como en muchos otros, existen algunas leyendas urbanas cuyo origen siempre es dudoso y su veracidad nunca está contrastada. Una de las más extendidas es que el sistema operativo de Mac OS de Apple es más seguro y en consecuencia, no hay virus en los ordenadores Mac. Pues no, lo sentimos, pero… ¡eso es falso!
Nosotros ya os lo hemos dicho en más de una ocasión. Quizá la más contundente llegó tras un informe de Kaspersky que publicamos hace ya un tiempo en este mismo blog. Lo podéis ver AQUÍ.
Pero como siguen habiendo escépticos, hoy os presentamos una nueva prueba que no deja lugar a dudas.
En esta ocasión es la empresa FingerprintJS la que ha indicado la causa de un error en la implementación de la versión 15 del navegador Safari en iOS e iPadOS. Este error posibilita la filtración de información confidencial de los usuarios, incluyendo datos de cuentas personales en Google.
Recordamos que Mac OS son los sistemas operativos desarrollados por Apple para toda su familia de ordenadores Mac. El error en cuestión se debe a que Apple requiere que los navegadores en iOS 15 e iPadOS 15 usen el motor Webkit en sus sistemas operativos. El software introducido para implementar la versión 15 de Safari posee la API IndexedDB y sería ésta la que permitiría que cualquier sitio web restree su actividad en Internet.
API es el acrónimo de Interfaz de Programación de Aplicaciones, del inglés Application Programming Interface. Se trata de una especie de traductores que posibilitan conectar sistemas, softwares y aplicaciones y ofrece un uso de la tacnología más comprensible para las personas.
Cuando una página web tiene interacción con una base de datos, la base se duplica con el mismo nombre en el resto de pestañas abiertas. Esa base de datos duplicada sería suficiente para extraer de ella información y documentos de un usuario de Google.
Para frenar la filtración de datos confidenciales, hay dos opciones: bloquear JavaScript o usar un bloqueador de anuncios, como AdBlock.
FingerprintJS es una empresa estadounidense, con sede en Chicago que se dedica a la detección de fraudes para diferentes negocios. En su web explican que esta fuga ya la habían detectado el 28 de noviembre y que los ingenieros de Apple trabajaron en el error y fusionaron posibles soluciones poco después.
Pero FingerprintJS insiste en que el error persiste e incluso ha creado una página de demostración simple que demuestra la forma en que una web puede llegar a conocer la identidad de la cuenta de Google de cualquier visitante. Esta demo está disponible en safarileaks.com donde además publican una lista de sitios web que interactuan con la API de IndexedDB y encontramos algunas tan usadas como Alibaba, Bloomberg, Dropbox, Netflix, Twitter, Web.whatsapp o Youtube.
Podéis leer el extenso artículo sobre esta filtración que la propia FingerprintJS ha publicado en su blog AQUÍ.
Como veis, una vez más, deciros que trabajar con un Mac no asegura la inviolabilidad de vuestro ordenador y de las fuentes que se usan. Estas filtraciones en Safari son una prueba más de que no, en absoluto. Y es que, como nos preguntábamos al principio, ¿un sistema es más seguro que otro? Filtraciones en Safari.
Según Apple, “Safari es el navegador más rápido del mundo gracias a la supervelocidad del motor JavaScript. Se ha desarrollado específicamente para funcionar en dispositivos Apple, por eso ofrece un consumo muy eficiente que logra que la batería de mucho más de sí. Y ahora, con el chip de Apple, se ha convertido en un verdadero cohete.”
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad, Sistemas operativos, Tecnología
Español 
Català