El e-commerce no llora, factura
El comercio electrónico en España crece a ritmo de dos dígitos.
La facturación del segundo trimestre del 2022 alcanzó los 18.190 millones de euros, un 33,1% más que el mismo periodo del 2021.
Siguiendo con estos espectaculares datos que proporciona la revista IPMark, un reconocido medio de información sobre marketing, publicidad y comunicación, esta facturación se alcanzó a través de más de 325 millones de transacciones, un 16,4% más que en el segundo trimestre del 2021.
Pero la buena marcha del sector no debe hacernos pensar que es inmune a la ciberdelincuencia. Es justamente lo contrario. 325 millones de transacciones en sólo un trimestre significa una ingente cantidad de recogida de datos confidenciales que atraen toda la atención de los delincuentes. Según el Foro Económico Mundial, la ciberdelincuencia, a nivel global, ha tenido un aumento del 151%. Las empresas más afectadas son las pymes, por su tradicional falta de recursos.
El comercio electrónico no es ajeno a todo ello. Tanto el pequeño e-commerce, con su pequeña seguridad, como las franquicias en que… ¿todo se controla desde la central?… son objetivo de la ciberdelincuencia. Y es que el tema de las franquicias es muy preocupante, al contrario de lo que se suele creer, porque no basta con tener un sistema centralizado, sino que cada uno de los franquiciados debe velar también por sus sistemas de seguridad y con los datos que recoge de sus clientes.
Quizá por todo esto, el INCIBE ya publicó, hace años, una de sus guías dirigida a este sector: “Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario”, que podéis leer AQUÍ. Y si queréis saberlo todo sobre la cibercriminalidad 2021 en España, podéis leer el extenso informe del Ministerio del Interior AQUÍ.
¿Cuáles son los peligros para el e-commerce? ¿Cómo sabes que en este momento no han vulnerado ya tu página web?
Juniper Research es una prestigiosa firma británica de analistas del sector de la tecnología digital y móvil. Es especialista en identificar y evaluar nuevos sectores de mercado de alto crecimiento en el ecosistema digital. Sus investigadores creen que el fraude en el e-commerce puede llegar a generar pérdidas de 48.000 millones a escala mundial este año.
Este fraude se va a concentrar en los pagos online a través de la violación del correo electrónico y técnicas como el phishing, el envío de malware, la ingeniería social, etc. Por su Parte, Palo Alto Networks, un líder mundial en ciberseguridad, acaba de publicar su informe “The State of Cloud-Native Security 2023 Report” en el que asegura que el 90% de las organizaciones no puede detectar, contener y resolver las ciberamenazas en una hora.
¿Cuántas horas puede tu e-commerce quedarse sin actividad?
Concretando más, estos son algunos de los principales peligros: robar información confidencial de tu cartera de clientes y además hacerse con los datos bancarios, como el número de tarjeta. Porque una vez obtenida la información, pueden usarla para otros ataques o venderla en el mercado negro.
¿Qué soluciones aporta TECNOideas al e-commerce?
– Proteger convenientemente tu página web.
– Custodiar y proteger convenientemente los datos de tus clientes, para que cumplas la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDP).
– Con ello evitarás las posible multas (que pueden llegar a ser cuantiosas) de la Agencia de Protección de Datos (AEPD).
Con TECNOideas puedes facturar más, porque…
… podrás concentrarte en tu negocio y no perder el tiempo solucionando problemas. Nosotros nos ocupamos de las medidas de prevención necesarias.
Te proponemos soluciones, de acuerdo con las necesidades de tu negocio:
- Auditoría de servidores
- Auditoría de tu hosting
- Auditoría de tu página web
- Segurizamos todo tu entorno web
- Te ayudamos a cumplir con la LOPD
- Te ofrecemos la figura del CISO externo (persona encargada de la seguridad)
- Formación para minimizar riesgos
Te ofrecemos totalmente gratuita una primera cita para conocerte mejor
Clica aquí para agendar tu cita con TECNOideas
Imagen principal: Mediamodifier en Pixabay
- Publicado en Ataques / Incidencias, Comercio electrónico, Estudios, General, Noticias, Privacidad, Protección de datos, Seguridad, Servicios
Goodbye passwords
El gestor de contraseñas 1Password ya ha decidido sustituirlas por “passkeys” con datos biométricos y criptografía
Decir adiós a las malditas contraseñas que no se recuerdan, que no deben apuntarse en ningún sitio, que son débiles, que deben cambiarse periódicamente, etc. es un sueño para millones de usuarios de las nuevas tecnologías. Pero cada vez está más cerca el fin de las contraseñas tal y como las usamos en la actualidad.
1Password es un gestor de contraseñas desarrollado por la empresa AgileBits Inc., una compañía canadiense especializada en desarrollo de software.
El gestor ha anunciado que a partir de verano dejará de utilizar las contraseñas para centrarse en claves de acceso conocidas con el nombre de passkeys.
Seguramente muchos de vosotros recordaréis que ya os hablamos de ello en octubre del año pasado, cuando nos preguntamos si las passkeys eran ciberseguras y os explicábamos como funcionan. Lo podéis recordar leyendo ESTE ARTÍCULO.
El sistema se basa en una llave maestra capaz de acceder al desbloqueo de las contraseñas y a los datos de usuarios sin claves. Para ello el usuario solo deberá utilizar un autenticador como un smartphone y cuando quiera acceder no escribirá ni la dirección de mail ni un password, sino una clave de acceso que se basará en los datos biométricos, como el reconocimiento facial o la huella dactilar.
Las passkeys, además, utilizan criptografía de clave pública, por lo que se crea una clave de acceso única de forma predeterminada, que se almacena en sus dispositivos y no se comparte nunca.
¡Son resistentes al phishing!
Otra de las ventajas de las passkeys es que son resistentes al phishing y evitan el descifrado.
Resumiendo: para crear passkeys en 1Password el usuario solo deberá usar el “Touch ID” en el caso de ordenadores Mac o una identificación biométrica en un iPhone para crear una cuenta sin contraseñas.
Si el usuario posee un PC de Windows o un nuevo dispositivo, lo que aparecerá es un código QR, que deberá escanearse a través de un dispositivo tipo smartphone que deberá garantizar la identificación biométrica. Así que ya estamos realmente en disposición de decir ¡Goodbye passwords!
Imagen principal: Thomas Breher en Pixabay
- Publicado en General, Hazlo tu mismo, Noticias, Privacidad, Seguridad, Tecnología
Se donde fuiste y se lo que hiciste…
No sorprendemos a nadie si decimos que “los datos son el oro del siglo XXI”. No es una frase nuestra, pero se ha hecho muy popular porque es verdad. Toooodo el mundo persigue los datos, nuestros datos, esos que damos tan alegremente… o no. ¿Somos conscientes que las webs por las que navegamos están repletas de rastreadores?
Los rastreadores web son capaces de recopilar muchas información sobre los hábitos de las personas que navegan por una web. Actúan estando insertados en el código de los sitios web, y un usuario que no sea técnico difícilmente los detectará. Entre las funciones de estos “observadores” encontramos identificar la IP y la ubicación, el navegador que usamos, el historial de navegación, donde clicamos, cuánto tiempo leemos y qué tipo de contenido, etc.
¿Para qué se usan? Pues para ganar dinero con ello, porque muchas webs pueden vender esos datos a anunciantes, vendedores, agencias gubernamentales, etc. Lógicamente —y esa es la excusa oficial— lo hacen para poder ofrecer servicios o productos personalizados, para sus análisis internos y mejorar el aspecto, los contenidos y la navegabilidad de la web.
Hay 18 rastreadores de media en las webs españolas
La empresa NordVPN es uno de los principales proveedores de redes privadas virtuales (del inglés Virtual Private Network, VPN). Sus investigadores han realizado un estudio centrado en los rastreadores y han encontrado algunos resultados que dejan claro para lo que sirven y el porque de “Se donde fuiste y se lo que hiciste…” Por ejemplo:
- La cifra de 18 rastreadores en una web es una media, porque en el caso de webs de compras, tecnología o noticias, pueden tener hasta 28 rastreadores distintos.
- La mayoría de rastreadores encontrados son propiedad de otras empresas, no de la que estamos navegando. ¿Sabéis cuáles se llevan la palma? Sííí, Google (aproximadamente un 30%), Facebook (11%) y Adobe (7%).
El estudio se ha hecho analizando los 100 sitios webs más populares de 25 países del mundo. Por eso la empresa advierte que el número de rastreadores también depende de la legislación de cada uno de ellos. Así, por ejemplo en Europa, gracias a la aplicación del Reglamento General de Protección de Datos (RGPD), los sitios web tienen menos rastreadores que en las webs de Estados Unidos, donde las leyes no protegen la privacidad de todos los tipos de datos en todos los estados.
NordVPN también ha realizado una encuesta a los internautas españoles. Al 45% les preocupa ser rastreados por los grandes de las redes sociales (Facebook). Un 37% rechazan que sus datos sean recogidos por agregadores de información (Google) y el 34% no desea que las agencias de marketing obtengan sus datos.
Si queréis saber más cosas sobre este estudio, como el país que tiene más rastreadores o el tipo de webs que más rastrean, clicad AQUÍ.
Google paga casi 40 millones de dólares en EE.UU. por rastrear
Quizá en Estados Unidos no exista una RGPD tan global y exigente como la europea, pero no se andan con chiquitas. En 2018 la agencia Associated Press descubrió que Google mantenía el rastreo de los datos de ubicación de las personas incluso después de haber indicado que no querían ser objeto de ese rastreo. El tema llegó a la fiscalía, que empezó a investigar y resultó que esta mala praxis se había producido en 40 estados. Ahora Google ha llegado a un acuerdo con la fiscalía de esos estados para evitar una sanción mayor, ya que violaron las leyes estatales de protección al consumidor. El resultado: deberá pagar 391,5 millones de dólares, que se van a repartir esos estados. Así, por ejemplo, Massachusetts recibirá unos 9,3 millones y Connecticut unos 6,5 millones.
Google se está convirtiendo en una de las empresas que más paga por su mala praxis. Este mismo año la justicia europea, a través de su Tribunal General, ha confirmado la multa por competencia desleal al gigante tecnológico. Como recordaréis, el motivo ha sido por competencia desleal ligada a consolidar su motor de búsqueda en el sistema operativo Android. Google fue multado con la friolera de 4.125 millones de euros.
¿Seguís confiando en Google? ¿O en Facebook/Meta? ¿O en otro proveedor que os de algo “gratis”?
Imagen principal: Imagen de Kris en Pixabay
- Publicado en Estudios, General, Noticias, Privacidad, Protección de datos
Passkeys, el futuro de las contraseñas… ¿son ciberseguras?
Si eres de los que nunca se acuerda de las contraseñas, estás de enhorabuena: ya tenemos una nueva tecnología basada en claves criptográficas y datos biométricos llamada “passkeys” que va a sustituir pronto a las viejas y desmemoriadas contraseñas.
A principios de este año 2022, las mayores empresas de tecnología, como Google, Apple y Microsoft, anunciaron que habían unido fuerzas para simplificar el acceso a aplicaciones, sitios web y dispositivos con una herramienta basada en datos biométricos. Esta propuesta de identificación nos hará olvidar por fin esas contraseñas complicadas que no queremos recordar y que son propensas a las filtraciones. Sin embargo esta propuesta, que recibe el nombre de passkeys, genera una duda: ¿cuán segura es?
Las passkeys solicitaran nuestro registro en una plataforma que almacenará nuestros datos en una nube. Para ello usaremos un PIN, huella dactilar, reconocimiento facial o iris. Dependiendo de la autentificación biométrica que soporte el sistema operativo del móvil, ya sea Android o iOS, en la nube se harán copias de seguridad y se sincronizarán para evitar bloqueos si se pierde el dispositivo en el que se generaron inicialmente.
La idea final es usar esta passkey para iniciar sesión en sitios web sin necesidad de poner los típicos credenciales de usuario y contraseña. Para acceder, se va a desbloquear desde el móvil, de forma segura, con los datos biométricos registrados. Cuanto tengamos que identificarnos en una web, nos ofrecerá un código QR, que leeremos con nuestro móvil, para pedirnos la passkey. Para ello usaremos la huella o rostro y nos identificaremos. En caso de robo del aparato la passkey no tendrá valor, porque es necesario activarla biométricamente cada vez que se use.
¿Qué ocurre con la seguridad?
Técnicamente el proyecto parece no tener ningún fallo, pero podemos aplicar aquello de “poner todos los huevos en la misma cesta” o lo que es lo mismo, tener todos nuestros credenciales en la nube. ¿Es eso suficientemente seguro? No hemos dejado de hablar de lo poco segura que es la nube en algunos de nuestros artículos, como ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD o este otro titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
También podemos preguntarnos ¿qué ocurre si falla? Al ser una herramienta todavía en desarrollo podríamos encontrarnos con varios problemas técnicos en el camino.
Pero no adelantemos acontecimientos pesimistas. La idea es buena, los datos biométricos son únicos en cada persona y son, sin duda, el futuro de nuestra autenticación.
Para la empresa que está gestionando el tema, las passkeys “son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación frente al phishing, ya que no se pueden reutilizar, no se filtran en las fugas de datos”. Esto funciona en diferentes plataformas y navegadores, incluidos Windows, macOS, iOS y ChromeOS.
Como primeros pasos, antes de usar la passkey, se aconseja realizar una limpieza digital, para mejorar la privacidad y tener control sobre el acceso a la diferente información que guardemos, por lo que se sugiere realizar una verificación de seguridad rápida y proteger las cuentas, entre estas otras recomendaciones:
- Utilizar la verificación en dos pasos (2FP).
- Usar un administrador de contraseñas.
- Revisión de contraseñas periódicamente, al menos cada 3 meses.
- Realizar copia de seguridad cada mes.
- Agregar ordenadores, teléfonos o dispositivos de confianza.
También debemos recordar y reconocer aquí y ahora que hace años que la FIDO Alliance está intentado impulsar métodos de autenticación más seguros y cómodos para los usuarios. Por ello también ha tenido un importante papel en el desaroolo de esta técnica, como podeís ver AQUÍ. De hecho, esta asociación industrial abierta, creada en febrero de 2013, tiene como objetivo desarrollar y promover estándares de autenticación que ayuden a reducir la dependencia excesiva de las contraseñas en el mundo.
Se espera que todas estas funciones del passkeys estén disponibles para todo el mundo a finales de 2022.
Artículo redactado con la colaboración de: Astrid Carolina De Dios
Imagen principal: 200 Degrees en Pixabay
- Publicado en General, Noticias, Privacidad, Protección de datos, Seguridad, Servicios
Cuando el teclado es el ciberdelincuente
Muchos de los avances tecnológicos para luchar contra la ciberdelincuencia se han centrado en aplicaciones, smartphones o dispositivos varios, como los asistentes de voz conectados. Pero ¿qué pasa con los ordenadores que siguen siendo vulnerables a acciones un tanto sofisticadas? ¡Cuidado con el teclado!
Seguramente muchos de vosotros no habéis prestado demasiada atención al teclado que usáis. Quizá, como mucho, os habéis preocupado de que sea ergonómico. Pero nada más. Pues tenéis que saber que el teclado os puede delatar y que los ciberdelincuentes han encontrado un sistema de escuchas a través de las pulsaciones en el teclado.
Hace ya un tiempo publicamos un artículo titulado ¿La ciberseguridad supera a la ciencia ficción? en el que os explicábamos algunas técnicas surrealistas usadas por delincuentes. Entre ellas os hablábamos de un algoritmo capaz de averiguar las palabras escritas por una persona en una videoconferencia, sin verle las manos ni el teclado.
Ahora parece que han dado un paso más, porque la empresa Panda Security ha explicado la posibilidad de robo de contraseñas a través de escuchas en el teclado. Hervé Lambert, gerente de operaciones de consumo global de la empresa, ha explicado que esta nueva técnica se basa en las pulsaciones que realizamos sobre el teclado. Incluso es posible diferenciar tipologías de pirateo informático relacionadas con el teclado.
¡Esos eran totalmente ciberseguros!
Imagen de Valerio Errani en Pixabay
- Keylogger. A través de un malware se monitoriza cada tecla y a través de ello se puede obtener lo que uno escribe de un modo bastante fácil. Así se pueden obtener contraseñas o datos bancarios.
- Acoustic Keyboard Eavesdropping Keylogging attack, o ataques de espionaje a través del teclado acústico. Es un poco más sofisticado que el anterior. Esta técnica reconoce el sonido que produce cada pulsación de las teclas. Para ello se usa un programa que usa un algoritmo al que se le ha “enseñado” a diferenciar pulsaciones mediante diversos escritos. Además se precisa un micrófono que recoja los sonidos y que no interfiera con los ruidos ambientales. Aun así los delincuentes son capaces de obtener información, que, sin ser completa, permite ir probando las opciones que faltan hasta obtener el “¡bingo!”.
Quizá os preguntaréis de dónde sale el micrófono. La respuesta es clara: a través de las escuchas de dispositivos como Alexa, el Asistente de Google, Meta o Siri. No en vano alguna de estas grandes empresas ya han admitido haber grabado escuchas con el desconocimiento de sus propietarios. - Altavoces y ventiladores. Hace ya unos cuantos años de eso, pero hubo escuchas y filtraciones de información a través de los altavoces de los ordenadores de sobremesa, que lograron a distancia cambiar la polaridad de los mismos, y claro, un altavoz… ¡no deja de ser un micro, pero al revés!
También existió el caso de transmisión de datos a través de ultrasonidos, con el mismo sistema.
Y para rizar más el rizo, a través de los ventiladores, como podéis leer AQUÍ. Como ya se sabe, las modas vuelven, así que ¡estad atentos también a estas posibilidades! - Teclados inalámbricos. Panda Security también habla de este tipo de teclados que funcionan a través de una antena conectada al puerto USB. Los delincuentes pueden captar sin demasiados problemas la radiofrecuencia usada, a una distancia de hasta 250 metros.
La empresa desarrolladora de software de seguridad, en su informe, también incluye algunas recomendaciones para evitar que el teclado sea una fuente más de problemas de ciberseguridad.
Podéis leer su artículo AQUÍ.
Si todavía pensáis que todo esto es pura ciencia ficción y no os acabáis de creer lo que puede ocurrir cuando el teclado es el ciberdelincuente, os invitamos a ver uno de los vídeos tutoriales que Marcelo Vázquez, un popular creador de contenido de hacking y ciberseguridad, conocido como @S4vitar, tiene en su canal de YouTube. AQUÍ.
Imagen principal: Gerd Altmann en Pixabay.
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Seguridad
Las filtraciones de datos no van de vacaciones
Brechas y filtraciones de datos, ataques… los ciberdelincuentes no hacen vacaciones y durante agosto ha habido algunos casos singulares, como los que se han producido en empresas tan populares como Twitter o Signal.
Cada vez hay más empresas que no cierran por vacaciones. Hacer turnos o como máximo cerrar una semana se ha convertido en algo frecuente que viene a contradecir el tradicional “Cerrado por vacaciones”, que venía a significar que la empresa en cuestión “desaparecía” todo agosto. Sin embargo las filtraciones de datos no van de vacaciones. Y los ciberdelincuentes tampoco. Es más, suelen aprovechar que las empresas ralentizan su actividad para tener más opciones de éxito.
Signal es una aplicación de mensajería instantánea y llamadas que usa código abierto y se esfuerza en la privacidad y seguridad. Como se lee en su web, “es un programa de chat simple, potente y seguro”. Usa el cifrado de extremo a extremo “en todos tus mensajes, todas tus llamadas, para siempre”.
A pesar de todo ello ha tenido una brecha de datos debido a un phishing de ingeniería social que ha sufrido la empresa Twilio. Se trata de una compañía que ofrece una plataforma de comunicaciones y de servicios en la nube ubicada en San Francisco. Y resulta que Signal es cliente de Twilio, por lo que el ataque a esta compañía afectó a un par de miles de usuarios de Signal.
Según Signal, la brecha de datos ha afectado “a un porcentaje muy pequeño” de usuarios de la aplicación. Se han puesto en contacto con ellos y les han pedido que vuelvan a registrarse. Podéis ver el comunicado que emitió la empresa AQUÍ. Es un buen ejemplo de reacción e información sobre lo sucedido, ofreciendo soluciones concretas a sus usuarios.
También Twitter
También la popular red social del pajarito sufrió un ciberataque debido a una vulnerabilidad ocurrida un año antes, cuando efectuó una actualización de su código. Twitter solucionó esta vulnerabilidad, pero… alguien había aprovechado el tema para recopilar direcciones de correos electrónicos y teléfonos en la versión de Twitter para Android. Este verano estaba intentando vender esta filtración de datos que alcanzaba a más de cinco millones de usuarios de Twitter.
Restore Privacy, una web que se encarga de crear conciencia sobre privacidad y seguridad online y brindar a todo el mundo herramientas para mantenerse seguros en el entorno digital, dio la voz de alarma y por eso Twitter tuvo conocimiento de la filtración.
Como en el caso anterior, reaccionó correctamente. Notificó a los propietarios de las cuentas afectadas el error y publicó en su blog ESTE ARTÍCULO porque no podían confirmar todas las cuentas que potencialmente podían haberse visto afectadas y así alertar a todos sus usuarios. En el post también explicaban como proteger las cuentas, recomendando a los usuarios que habilitaran la autenticación de dos factores y ofrecían un formulario de contacto.
Está claro que las filtraciones de datos no van de vacaciones. De hecho los ciberdelincuentes están siempre atentos. Podéis comprobarlo si leéis dos artículos publicados en este blog. Uno de ellos habla de filtraciones en Safari y el otro de filtraciones en Telefónica Chile, Apple y Phone House. Lo podéis leer AQUÍ. Lo dicho: ¡nadie se libra!
Imagen principal: James Osborne en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Redes sociales, Seguridad
“Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida.” Carlos Otto, periodista tecnológico.
Hemos querido traeros a este blog a Carlos Otto, reconocido periodista de tecnología, economía, reportajes y emprendimiento. Es autor de la primera serie documental sobre ciberseguridad hecha en España, “El enemigo anónimo”. En 20 capítulos nos ha acercado a diversos temas de la máxima actualidad relacionados con la ciberseguridad. Para ello ha entrevistado a una cuarentena de expertos.
Carlos es un profesional que lleva más de 15 años ejerciendo de periodista. Desde febrero de 2010 colabora con El Confidencial.com, donde escribe sobre tecnología, emprendimiento, derechos de autor e incluso política. Pero su gran contribución al mundo de la ciberseguridad se encuentra en la serie “El enemigo anónimo”. Hablamos de todo ello en esta entrevista.
Has trabajado mucho el tema de contenidos. Pero podrías decirnos cómo llegaste a especializarte en economía y ciberseguridad?
La especialización, por norma general, no suele responder a otra cosa que a los intereses de cada cual. Siempre me han llamado la atención los temas de economía, así que mi especialización en ese sentido ha sido más o menos natural. La de la ciberseguridad quizá haya sido más circunstancial. Casi siempre he hecho periodismo tecnológico, pero curiosamente no soy excesivamente tecnófilo: no sé por qué iPhone vamos ya, no entiendo excesivamente de ordenadores, no sabría recomendarte un smartwatch… pero siempre me han interesado la tecnología e internet como ecosistemas en sí mismos; es decir, qué hacemos en internet, cómo nos relacionamos, qué actitudes tenemos, qué delitos se cometen… Y cuando hablas de delitos online, el interés por la ciberseguridad llega solo. Porque, para mí, la ciberseguridad es mucho más que los ciberataques: es la privacidad, el uso que hacen de tus datos las grandes empresas, el ciberacoso, el voto electrónico, la ciberguerra… Los ciberataques pueden ser interesantes en el mundo empresarial, pero el resto de temas pueden interesar al ciudadano medio.
Has sido pionero en nuestro país, en hacer información sobre ciberseguridad. ¿Cómo recuerdas tus inicios cuando nadie sabía nada de este tema? ¿Qué te decían los directores de los medios cuando ibas a “venderle” un tema de ciberseguridad?
Esto puede parecer falsa modestia, pero de verdad que no creo haber sido ningún pionero. Hace muchos años que gente como Chema Alonso hace contenido sobre ciberseguridad, y mucha parte de su contenido va dirigido al usuario medio, al ciudadano de a pie. También han estado medios como Bit Life Media, elhacker.net, la revista SIC… había muchos medios hablando de ciberseguridad antes de que yo llegara. En cuanto a ‘vender’ temas a directores, los que más fácilmente se ‘vendían’ a los directores eran los ciberataques, pero, contrariamente a lo que la gente suele pensar, los artículos sobre ciberataques en la prensa generalista apenas tienen visitas, salvo contadísimas excepciones. Es verdad que hubo un punto de inflexión: Wannacry. A partir de ahí, la prensa generalista se tomó más en serio estos temas, ya que vio los perjuicios que puede ocasionar un ciberataque.
De todos modos, en mi opinión, los contenidos sobre ciberataques siguen sin tener un éxito excesivo en cuanto a visitas en los medios. A mí, al menos, siempre me han funcionado mucho mejor los temas dirigidos a los usuarios: qué hacer para proteger tu privacidad en internet, qué hacen las redes sociales con tus datos, qué medidas tomar si sufres ciberacoso…
“La ciberseguridad es mucho más que los ciberataques:
es la privacidad, el uso que hacen de tus datos las grandes empresas,
el ciberacoso, el voto electrónico, la ciberguerra….”
Y cómo se vende mejor la ciberseguridad, ¿dando miedo o explicando la prevención?
Sin duda, dando miedo. Y esto puede parecer negativo, pero no creo que necesariamente lo sea. En ciertos ámbitos, las personas no actuamos ante un hecho si no conocemos sus posibles consecuencias negativas. Aprendemos a cruzar en verde porque alguien nos puede atropellar, a cerrar nuestra casa con llave porque alguien nos puede robar… en la ciberseguridad pasa exactamente lo mismo.
Otra cosa es que hagamos ‘victim blaming’, es decir, culpabilización de la víctima. Si una persona sufre un robo de datos, no podemos decirle que la culpa es suya por no cuidar su privacidad; si entran a su correo, no podemos culparla por no cambiar la contraseña; si difunden una foto suya desnuda, no podemos decirle que no tendría que haber compartido esa foto con nadie. Es lo que bajo ningún concepto se debe hacer. Hay que centrar el foco. En vez de hablar de que la gente no es consciente de los datos que le da a Facebook, ¿por qué no hablamos de que Facebook hace negocio con los datos de sus usuarios de una forma, digamos, sospechosa? Mucha gente no tiene ni idea de ciberseguridad… ni falta que les hace.
Y ahora que la ciberseguridad está en boca de todos, ¿has tenido que cambiar la orientación o el mensaje?
Si te soy sincero, no tengo tan claro que la ciberseguridad esté en boca de todos. Sí veo que está en boca de todas las empresas, sobre todo las grandes, pero eso no significa que haya un mensaje diferencial. Si te fijas en el contenido de ciberseguridad que hacen las empresas, todas dicen exactamente lo mismo: cambia tus contraseñas, vigila los permisos que das a las apps, no compres en webs que no sean seguras, no pinches en emails que supuestamente proceden de tu banco… Llevan diez años haciendo exactamente el mismo contenido.
Donde sí he visto un cambio es en la sociedad. Quien tengan más de 30 años recordarán que en Tuenti la gente se registraba con sus nombres y apellidos, aparte de que subía fotos de fiesta, en plena borrachera, etc. En la primera etapa de Facebook también pasaba. Ahora, sin embargo, ves que mucha gente pone su perfil de Instagram en privado, pone su nombre sin apellidos (o con solo un apellido), no acepta solicitudes de cualquiera, tiene más cuidado cuando habla con desconocidos, etc. Ese sí ha sido un cambio positivo, y eso es fruto del cambio de orientación/mensaje por el que me preguntabas. Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida. Nadie va a cambiar su contraseña cada tres meses por una totalmente nueva y complicadísima, pero quizá sí proteja mejor su identidad para no dejar demasiado rastro.
En tus newletters sueles incluir ofertas de trabajo. ¿Cómo y por qué decidiste incorporar estas demandas de empleo?
En mi opinión, está claro que el empleo en ciberseguridad está creciendo muchísimo. Antes solo contratan perfiles de ciberseguridad las empresas que se dedicaban a ello, pero ahora cualquier gran empresa tiene un equipo numeroso que trabaja en todas las ramas de la ciberseguridad.
Además, todas las empresas aseguran que no encuentran los profesionales que necesitan, así que parece evidente que el mercado va a crecer mucho. Otra cosa (y esto es una sensación meramente personal) es que haga falta tantos nuevos perfiles. Sé de algunas empresas que, cuando dicen “No encontramos perfiles de ciberseguridad”, lo que realmente quieren decir es “No encontramos perfiles de ciberseguridad… que quieran cobrar 20.000 euros, que es lo que pensamos pagarles”. Es evidente que, a medida que crezca el empleo en el sector, empeorarán las condiciones.
Eso te ha permitido ver más claramente lo que se está demandando. ¿Puedes hacernos una demanda tipo del sector?
Lo que más veo, a mucha distancia del resto, es demanda de consultores de ciberseguridad. Imagino que esto defraudará a los perfiles más técnicos, pero al menos es lo que yo veo.
“Estoy preparando un informe financiero completo
sobre el sector de la ciberseguridad en España:
las empresas que más facturan, las que tienen más beneficios,
las que más crecen, las que tienen inversión externa,
las que se financian con sus propios medios, las que tienen más y menos empleados…“
Hablemos de “El enemigo anónimo”. La serie ya se terminó, el último capítulo se publicó en febrero de 2021. ¿Qué valoración haces? ¿Qué tema ha suscitado más interés?
Mi valoración fue muy buena, la verdad. Sobre todo porque fuimos más allá de los ciberataques y hablamos de más aspectos que, en mi opinión, también forman parte de la ciberseguridad: hablamos de ciberguerra, del negocio que las empresas hacen con nuestros datos, de ciberacoso, de sexting, de fake news…
¿Se puede ver toda la serie? ¿Es accesible a todo el mundo?
Está 100% disponible y 100% gratuita en esta lista de reproducción.
Con la moda de la ciberseguridad, ¿has tenido conversaciones con cadenas importantes, plataformas…?
Una productora me propuso llevarlo a Amazon Prime Video, pero la cosa quedó en nada. Te soy sincero: El Enemigo Anónimo es una serie documental de divulgación y siempre tuve claro que su espacio era Youtube; un contenido así no tiene cabida en una gran plataforma. Esto puede parecer una crítica, pero en absoluto lo es: de hecho, estoy convencido de que debe ser así.
En una gran plataforma lo que debe haber son historias, que es un término que nos encanta a los periodistas y que está muy manido, pero es verdad: lo que mandan son las historias. Me invento un ejemplo: un documental sobre cómo evitar que te ciberacosen en internet no tendría cabida en Netflix; un documental sobre un tipo que lleva diez años acosando a gente en internet, sí.
¿Va a haber nuevos capítulos?
No. Es una serie en la que metí los temas de los que quería hablar, así que hacer nuevos capítulos me parecería estirar el chicle innecesariamente. A menos que un día vea una nueva serie de contenidos que realmente crea interesantes, no habrá más capítulos.
Hace años los medios estaban controlados por periodistas, pero parece que ahora son proyectos empresariales. ¿Qué opinas de la evolución que han tenido los medios?
Me temo que te voy a llevar la contraria: en mi opinión, los medios siempre han sido proyectos empresariales y han estado controlados por sus propietarios. Y es lógico que así sea. Otra cosa es que ahora haya más debate sobre la supuesta independencia de los medios, pero el control empresarial siempre ha existido.
De hecho, si ahora debatimos más sobre esa supuesta independencia es porque han surgido otros medios, más pequeños y humildes, que destapan cosas a las que no han llegado los medios grandes. Pero te digo más: precisamente ahora sí que hay algunos medios que, siendo montados casi exclusivamente por periodistas, están siendo sostenibles y rentables: eldiario.es, Civio o Maldita.es son algunos ejemplos.
Para terminar, ¿puedes hablarnos de tus planes a corto y medio plazo?
A medio y largo plazo, tengo algunos proyectos relacionados con la ciberseguridad. Para empezar, quiero consolidar Empleo en ciberseguridad, una newsletter en la que cada semana enviamos más de 100 ofertas de empleo a cerca de 700 suscriptores. Mi objetivo ahora mismo es mejorar la newsletter para seguir creciendo en suscriptores.
A medio plazo (para finales de 2022 o inicios de 2023), estoy preparando un informe financiero completo sobre el sector de la ciberseguridad en España: las empresas que más facturan, las que tienen más beneficios, las que más crecen, las que tienen inversión externa, las que se financian con sus propios medios, las que tienen más y menos empleados…). Será un informe de pago para empresas que quieran analizar a su competencia, para fondos de inversión que estén pensando en invertir en pequeñas startups de ciberseguridad, para instituciones públicas, etc.
Y a largo plazo, quizá me plantee una nueva serie documental, pero tengo que centrar el foco, ya que estoy entre 2-3 posibles ideas. ¿Una serie sobre cómo se vivió Wannacry en España, quizá? ¿O una serie para ayudar a ciudadanos corrientes a proteger sus comunicaciones y su privacidad, quizá? Si hay alguien interesado en patrocinar alguna idea, ¡que me avise!
- Publicado en Ataques / Incidencias, Empleo, Entrevistas, General, Privacidad, Protección de datos, Redes sociales, Tecnología
¡Esos malditos algoritmos!
Hay palabras que a duras penas sabemos lo que significan, pero están en boca de todos. Una de las más usadas con el desarrollo de la tecnología es “algoritmo”. Y es que gobiernan totalmente nuestra vida sin que ni siquera seamos conscientes de ello. Pero… ¿qué pasa con los sistemas algorítimicos que utiliza la Administración? ¿Todo lo que averiguan de nosotros es legal? ¿Cumplen la ley?
La Real Academia Española, en su primera acepción, define algoritmo como “Conjunto ordenado y finito de operaciones que permite hallar la solución a un problema”.
Aunque la definición, lógicamente, es correcta, en los sistemas informáticos las cosas no son tan sencillas. Basta con intentar saber como actúa y posiciona el famoso “algoritmo de Google” para que nos demos cuenta de lo complejo que puede llegar a ser. En la actualidad los algoritmos gobiernan las redes sociales, los portales informáticos, las Apps, los smartphones, las puntuaciones de los videojuegos o el averigüar los asientos libres de un avión o tren al comprar un billete. Y claro, por todo ello, hay muchas familias de algoritmos. Tenéis mucha información sobre lo que es un algoritmo en la Wikipedia.
Los algoritmos de la Administración
Suele decirse que los datos son el petróleo del siglo XXI. Además de Google, seguramente quien maneja más datos de ciudadanos es la Administración. Quizá por ello y para que el manejo de esos datos fuera el adecuado, se creó el Esquema Nacional de Seguridad. A pesar de ello, pocas administraciones se han certificado, pero en la actualidad se exige a las empresas que trabajen con datos de la Administración, como podéis ver en este artículo.
No suele hablarse mucho de ello, pero las diferentes administraciones también usan, lógicamente, algoritmos. Y la Fundación Éticas, que se ocupa de la defensa de los derechos digitales, a través de su Observatorio de Algoritmos con Impacto Social (OASI), se ha ocupado de investigar los sistemas algorítmicos utilizados por distintos organismos públicos.
Así descubrimos VioGén, un sistema que detecta el riesgo de reincidencia de agresores en casos de violencia de género; Riscanvi, usado en Cataluña para calcular la probabilidad que tiene un preso en libertad de voler a reincidir o VERIPOL, que se encarga de detectar denuncias falsas.
Pero hay muchos más, que afectan a todos los ciudadanos, como es el caso de la identificación facial o el de los servicios sociales, que clasifican a las personas según sus necesidades o urgencias.
También hemos conocido que el chatbox de la Seguridad Social es ISSA, y parece que deja bastante que desear. BOSCO regula el bono social. En el ámbito laboral, los que están en búsqueda de empleo deben saber que existe el algoritmo SEND@.
Podéis leer un artículo sobre todos estos ejemplos en la web ZonaMovilidad.es un portal especializado en tecnología móvil del que ya hemos hablado en otras ocasiones. Y en la zona del OASI de la web de l a Fundación Éticas tenéis un listado de un centenar de algoritmos de diversos países con la explicación de su uso y por parte de quien.
¿Están fuera de la ley los algoritmos que usa la Administración?
Lógicamente hemos querido ir un poco más allá para ver si todos estos algoritmos cumplen la ley. Y para ello le hemos pedido a Inma Barrufet, abogada especializada en Tecnologias de la Información y la Comunicación y colaboradora habitual de TECNOideas que nos de su opinión. A continuación podeís leer sus comentarios.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula las relaciones entre los propios órganos de la Administración pública. Entiéndase por organismo público cualquier institución que esté participada por capital público, desde un Ayuntamiento, pasando por organismos públicos hasta sociedades participadas de capital público. Dicha normativa regula la interoperabilidad y cooperación entre las propias administraciones públicas, sometidas a los siguientes principios:
- Lealtad institucional.
- Adecuación al orden de distribución de competencias establecido en la Constitución y en los Estatutos de Autonomía y en la normativa del régimen local.
- Colaboración: deber de actuar con el resto de Administraciones públicas para el logro de fines comunes.
- Cooperación: cuando dos o más Administraciones publicas, asumen compromisos en aras de una acción común.
- Coordinación: cuando una Administración pública y, singularmente, la Administración General del Estado, tiene la obligación de garantizar la coherencia de las actuaciones de las diferentes Administraciones públicas afectadas por una misma materia para la consecución de un resultado común, cuando así lo prevé la Constitución y el resto del ordenamiento jurídico.
- Eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes, salvo que no resulte posible o se justifique en términos de su mejor aprovechamiento.
- Responsabilidad de cada Administración pública en el cumplimiento de sus obligaciones y compromisos.
- Garantía e igualdad en el ejercicio de los derechos de todos los ciudadanos en sus relaciones con las diferentes Administraciones.
- Solidaridad interterritorial de acuerdo con la Constitución.
Las Administraciones públicas tienen ingentes masas de datos de sus administrados y necesitan darles un uso práctico para obtener el máximo de información del contribuyente. Para ello, se han hecho acopio de la tecnología de inteligencia artificial, el big data y algoritmos muy tecnificados que entran en tromba en la privacidad de las personas y la confidencialidad de las comunicaciones. Hemos de tener en cuenta que en un mundo global como el actual, los datos solo deben usarse para fines legítimos y con expreso consentimiento de su propietario.
Los chatbots del internet de las cosas (IoT) automatizan las respuestas a las preguntas de los ciudadanos. Con un sencillo software reconocen a los individuos por sus rasgos personales, se canalizan los estados de ánimo, la ansiedad, la alegría, la depresión… Pasando por el reconocimiento facial y biométrico de las personas, en nombre de la más estricta seguridad de los ciudadanos.
Con el fin de mejorar las comunicaciones electrónicas, la seguridad de los pagos y la supuesta integridad de todo este mapa tecnológico se deja a un lado y se olvidan plenamente los derechos individuales de las personas, lo más preciado que se tiene como ser humano: la privacidad, el derecho a la intimidad y al secreto de las comunicaciones, conceptos consagrados en nuestra Constitución.
Si como sociedad estamos dispuestos a sacrificar la intimidad personal por una supuesta seguridad legal y física, entonces adelante. Pero en el momento que tal sacrificio solo se canaliza por el beneficio de unos pocos en detrimento del propio individuo, es cuando se debería hacer un parón en el camino para poner negro sobre blanco el detrimento de la más estricta intimidad personal por un falso avance social.
Existe un gran conflicto entre la recopilación de datos masivos y la privacidad. Por un lado se quiere y se necesita avanzar para no impedir el desarrollo tecnológico, que dicho sea de paso, nos aporta muchos beneficios. Pero por otro lado, con menos datos existe menos pérdida de privacidad. Es necesario investigar más profundamente salvaguardas legales que anonimicen datos estructurados que protejan al ciudadano.
Como habréis observado, no nos queda otra que exclamar ¡Esos malditos algoritmos! Pero el margen de maniobra que nos queda es prácticamente cero, cuando la Administración obliga a que cantidad de trámites se hagan online. En consecuencia todos nuestros datos pasan a estar en una nube sideral, muy dificilmente accesible a la ciudadanía. Hemos de ser conscientes que muchas decisiones importantes de nuestra vida de administrados dependen de unos algoritmos que deciden lo que las distintas Administraciones públicas van a hacer con nuestros trámites y peticiones.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, Estudios, General, Normativa, Noticias, Privacidad, Seguridad, Tecnología
La verificación en dos pasos ya tiene un malware
Mucho se ha hablado de la necesidad de tener una verificación en dos pasos (2FA), por ser un plus de seguridad. Y de hecho lo es, hasta el punto que en las aplicaciones bancarias y otras de tipo financiero es obligatoria.
La mala noticia es que ya se ha creado un malware que simula una app de verificación en dos pasos que intenta estafar a los usuarios de servicios bancarios.
El hecho de que las entidades bancarias y financieras lo usen para infinidad de transacciones ha despertado el interés de los ciberdelincuentes que han olido el dinerito calentito que podían ganar. Se pusieron manos a la obra y desarrollaron una apliacación de phishing que simula una app de verificación de dos pasos. Para sus fechorías eligieron la interfaz del BBVA y así tratar de robar el dinero de los usuarios de este banco.
¿Cómo lo hacen?
Como en muchos actos de ciberdelincuencia, todo empieza con una réplica de la web oficial de una entidad. En este caso, de la web del BBVA. Y a partir de ahí se sigue esta sucesión de acciones:
• Réplica de la web del BBVA.
• Aviso a los usuarios de la existencia de una nueva aplicación de verificación que va a ser obligatoria en un futuro inmediato para cualquier gestión de la cuenta.
• Muchos usuarios se descargan la aplicación.
• La falsa aplicación posibilita que un malware (concretamente un troyano, de nombre Revive), infecte el dispositivo del cliente.
• Este troyano tiene la particularidad que captura todo lo que se escribe en el dispositivo en cuestión (keylogger).
• El malware pide al cliente que acepte dos permisos relacionados con los SMS y las llamadas telefónicas.
• Aparece una página que suplanta a la del BBVA y pide al cliente que introduzca los credenciales de acceso. Con ello quedan en poder de los ciberciminales, que podían transferir dinero de la cuenta de las víctimas hacia las suyas.
El descubrimiento de este troyano se lo debemos a los investigadores de la empresa italiana Cleafy, dedicada a la prevención del fraude online. Lo explican detalladamente en este artículo publicado en su web.
También podéis leer el artículo que el INCIBE ha publicado para alertar a los usuarios sobre este troyano bancario AQUÍ.
Un remedio muy asequible
La moraleja es muy clara: a pesar del doble factor de autenticación, nunca podemos estar seguros de nada. Y ante la duda, antes de clicar, molestaros en preguntar.
Hay que actuar con sentido común y no fiarse de nada de lo que recibimos. Pero también hay que proteger los dispositivos y eso no es tan complicado. Con poner una VPN suele bastar.
¿Qué es una VPN o red privada virtual? Seguro que habéis oído hablar de ella. Esta red lo que hace es redirigir el tráfico de un dispositivo hacia un túnel seguro; oculta la dirección IP y encripta los datos. En consecuencia protege frente a los timos como el que describimos.
Con este post os queremos advertir: la verificación en dos pasos ya tiene un malware. Así que agudizad las precauciones cuando os llegue un mensaje de vuestra entidad bancaria.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Protección de datos, Seguridad
¿Es Telegram más segura que WhatsApp?
Los mitos y las leyendas urbanas sustentadas en palabrerías sin más, acaban por caer tarde o temprano. Y podemos añadir que en el caso de la tecnología todavía más. Ahora le toca el turno al mito de la seguridad de Telegram, un motivo esgrimido por sus defensores que decían que era mucho mayor que la seguridad de su rival WhatsApp y que llevó a un aluvión de altas en esta aplicación de mensajería instantánea. Pero… ¿qué hay de cierto en esta afirmación?
Pues bien, unos informes presentados en la conferencia de seguridad informática Rooted CON, que se celebró en Madrid en marzo, cuestionan fehacientemente esta seguridad. Los estudios presentados por Alfonso Muñoz, fundador de la compañía CriptoCert, cuya especialización es la protección de datos y la criptografía y por Pablo San Emeterio, responsable de Evaluaciones Técnicas en el departamento de nuevos mercados de Telefonica Cyber Tech no dejan lugar a dudas.
Las dos aplicaciones no han parado de asegurar que hay un cifrado punto a punto. WhatsApp lo implementó en 2016 y Telegram nació ya con este cifrado. Ambas añaden que gracias a este cifrado desconocen el contenido de las conversaciones de sus usuarios.
Muñoz, en su ponencia, informó que en el caso de Telegram, la mayoría de informaciones y ficheros intercambiados, solamente tienen cifrado el sentido cliente-servidor, por lo que la aplicación sí conoce la información intercambiada.
Añadió, además, que los llamados “chats secretos” de Telegram quedan almacenados en ficheros cifrados, por lo que también son accesibles a los responsables de la aplicación y por ende se conocen datos de las personas que los usan, cuándo lo hacen, el tamaño que tienen y por supuesto, sus nombres.
San Emeterio presentó una forma de añadir protección adicional: incluir una capa extra de cifrado, cosa que es factible hacer con técnicas de instrumentación dinámica y de introspección. Basta con inyectar un código específico.
Así que ya veis: ¡estamos rodeados! Y parece claro que no existe una solución fácil e ideal para el problema de la privacidad tan deseada en este tipo de aplicaciones. Pero Alfonso Muñoz recordó que sí que existen plataformas que permiten la comparación de App’s y así poder escoger la que mejor se adapte a cada usuario según sus necesidades y hábitos.
Nosotros creemos que la partida entre WhatsApp y Telegram acabará en empate. Y recordamos que cuando uno se da de alta en este tipo de aplicaciones, redes sociales, etc. está, consciente o inconscientemente, vendiendo su alma (léase datos) al diablo.
Debemos desconfiar de las promesas de encriptación que están a la orden del día. Y por supuesto, no debemos creernos los rumores, mitos y leyendas que circulan por ahí. Aunque el refranero nos diga que “cuando el río suena agua lleva”, no siempre es así.
¡Ah, se nos olvidaba! En este blog ya hemos desmentido algunas leyendas urbanas, como por ejemplo, que en los ordenadores Mac no entran virus. Hay otros artículos donde desmentimos cosas así. Por ejemplo, también hemos hablado de Linux. ¿Queréis jugar un poco? ¡Descubrid el/los artículo/s donde hablábamos de Linux!
Imagen principal: Alfredo Rivera en Pixabay.
- Publicado en Aplicaciones de mensajería, Congresos, Evento, General, Noticias, Privacidad, Protección de datos
Español 
Català