¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)?
Toda empresa que trabaje, preste un servicio en régimen de concesión, encomienda de gestión o contrato que le relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.) deben certificar que cumplen el Esquema Nacional de Seguridad.
El ENS determina la política de seguridad en la utilización de medios electrónicos. Está constituido por unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Naturalmente todas las Administraciones deben adecuarse a ello. Pero también las entidades privadas que manejan datos sensibles, de alto riesgo, deben implantar el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad?
• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.
Tenéis más información en la web del Centro Criptológico Nacional.
TECNOideas os ayuda en todo el proceso de certificación.
Confiad en una empresa especializada en ciberseguridad.
Quin és el marc regulador del ENS?
• Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se crea el Esquema Nacional de Seguridad.
• Real Decreto 3/2010 de 8 de enero. Se aprueba el ENS y determina la política de seguridad en la utilización de medios electrónicos. Fija los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley 40/2015 de 1 de octubre. Recoge el ENS en su artículo 156 apartado 2.
• Real Decreto 951/2015 de 23 de octubre. Recoge el entorno regulatorio de la Unión Europea de las tecnologías de la información y de la experiencia de la implantación del Esquema.
• Tras esta última actualización se determinó que sería exigible su completo cumplimiento a partir del 5 de noviembre de 2017.
La legislación prevé multas y sanciones para las empresas que aun no están certificadas.
Tenéis más información en el portal de la administración electrónica (PAE) del Gobierno.
La legislación prevé multas y sanciones
para las empresas que aun no están certificadas.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¿Qué medidas de seguridad recoge?
El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:
• Marc organitzatiu: 4 mesures
• Marc operacional: 31 mesures
• Mesures de protecció: 40 mesures
Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.
Para los niveles MEDIO o ALTO, la certificación es obligatoria.
En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.
Les empreses han d'implantar els controls que estableix el ENS per a cada cas. La certificació s'aconsegueix superant una auditoria d'una entitat independent i autoritzada pel Centro Criptológico Nacional.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¡Certificaros con TECNOideas 2.0.!
Os ayudamos a obtener vuestra certificación. Si ya sois clientes nuestros y ya conocemos vuestras necesidades, la certificación puede ser más rápida.
Si todavía no nos conocéis, podéis certificaros con nosotros y así descubriréis nuestra forma de trabajar y nuestra experiencia.
- Published in Consultoría, General, Noticias, Protección de datos, Seguridad
DNI 4.0: ¿es ciberseguro llevar el DNI en el móvil?
Llevar el Documento Nacional de Identidad en el móvil es una de las grandes novedades del Proyecto Identidad Digital DNIe, cuya herramienta estrella será el DNI 4.0 y la app «DNIe en el móvil» que el Gobierno ha anunciado ya y se espera esté listo en el año 2021.
La principal ventaja de este nuevo DNI que persigue la digitalización total es que ya no será necesario llevar el carné físico para identificarse. Se pretende que sea un sistema duradero y adopte todos los estándares de seguridad que se están imponiendo a través de las directivas de la propia Unión Europea, lo que va a permitir la libre circulación por todos los países de la Eurozona con un documento que será compatible con cualquier dispositivo de identificación, ya sea en Francia, Alemania o cualquier otro país de la Eurozona. Será compatible con el estándar de pasaportes digitales LDS2 y contendrá un chip bajo arquitectura ARM.
Es un paso más en el DNI electrónico (DNIe) o 3.0 que se presentó en diciembre de 2015 y que es ahora mismo el único que se expide. La novedad de ese carné era que incorporaba un chip con información digital. La nueva versión será como un pequeño ordenador, que mantiene el chip y una memoria flash que podrá almacenar mucha más información que los anteriores. También incorporará una fotografía del titular en alta resolución. La foto se hará en el momento de tramitar el carné, lo que ha motivado la queja de diferentes asociaciones de fotógrafos que van a perder mucho dinero por ello.
Junto con el DNI 4.0 se van a desarrollar aplicaciones para iOS y Android que además podrá servir para el pago de tasas a través de TPV.
Pero dicho esto, empiezan a surgir las dudas. La primera puede ser técnica y se refiere a la opción de meterse en el chip NFC de los iPhones, pues Apple no lo hace precisamente accesible. Esta es la razón, por ejemplo, que solamente los usuarios de Android pueden llevar su carné de conducir en la App miDGT. Y no hablemos de las demás plataformas, aunque minoritarias, también existen.
La segunda es que deberán explicar muy bien los sistemas de autentificación y seguridad que puede conllevar la digitalización de un documento tan importante para evitar falsificaciones y usurpaciones de identidad, sobre todo si tenemos en cuenta el alto índice de robos de móviles que existe. Y eso sin olvidar que los móviles tan conectados también son atacados por ciberdelincuentes. En esta web tenéis información sobre la suplantación de identidad.
Hay que recordar que el DNIe tenía que facilitar los trámites con la administración, puesto que almacenaba los certificados digitales de sus usuarios. Al principio se debía usar un lector de tarjetas donde se insertaba el DNI y que se conectaba como un USB al ordenador. Posteriormente, con el DNI 3.0 se podía saltar este paso gracias a la tecnología NFC y la opción que los móviles Android, junto a una aplicación creada para ellos, pudieran leer los datos almacenados en el chip. Pero todo ello no ha estado exento de problemas.
Nosotros ya habíamos comentado algunos de los problemas del DNIe en un artículo de 2013 titulado «El desastre del DNI electrónico».
Así las cosas, os queremos recordar algunas cosas: en TECNOideas no somos partidarios del pago con el móvil, a no ser que tengáis securizado y muy controlado el acceso a vuestro dispositivo. Podéis ver, por ejemplo, un artículo sobre la doble autenticación bancaria AQUÍ. Así que la idea de llevar el DNI en el móvil nos parece, de entrada un poco arriesgada porque no le vemos la ciberseguridad por ningún lado, y por la primera versión, que tantos problemas dió de seguridad.
Pero todavía no sabemos demasiado sobre todo ello, por lo que esperamos que cuando llegue tengamos toda la información para deciros que sí es seguro. De momento nos quedamos con la duda y este titular: DNI 4.0: ¿es ciberseguro llevar el DNI en el móvil?
Aplaudimos el interés del Ministerio y del Cuerpo Nacional de Policía por los esfuerzos de mejora en todos estos temas. Sobre todo porque el Proyecto Identidad Digital DNIe está financiado con recursos del Fondo de la Unión Europea para la Recuperación y Resiliencia de la economía española. Serán 25 millones de euros los que se dediquen a todo el programa. De ellos 6,5 millones tienen como destino la puesta en marcha del DNI 4.0, el DNI Exprés, la inclusión de tabletas en la expedición de documentos, pago de tasas mediante TPV y la app «DNIe en el móvil».
Para todos los que queráis saber algo más, os proponemos unos cuantos artículos: «24 hours Center and new Spanish eID Document 4.0«. Es un documento que el comisario general de Extranjería y Fronteras Enrique Tabordas presentó en la Organización de Aviación Civil Internacional (ICAO, de las siglas en inglés). Podéis leerlo AQUÍ.
El segundo es un documento de la Real Casa de la Moneda que bucea en la historia del DNI y se titula «The evolution of the Spanish Electronic ID Card». Lo podéis leer AQUÍ.
A los amantes de la historia y las anécdotas del DNI también os queremos decir que hace unos días el Ministro del Interior Fernando Grande-Marlaska presentó el libro «El DNI y los españoles. 75 años de historia común» que se acompaña de una exposición itinerante que ya ha visitado varias ciudades españolas. Podéis ver la nota del Ministerio AQUÍ.
Finalmente, si este artículo ha despertado vuestra curiosidad sobre los datos técnicos del DNI, os recomendamos visitar esta página del Cuerpo Nacional de Policía donde encontraréis un amplio desplegable en el que se incluyen descripciones técnicas del actual DNI como este PDF sobre la descripción técnica de aplicaciones de Android sobre DNIE v3.0.
- Published in General, Noticias, Protección de datos, Seguridad
ProMonitor: un servicio antipiratería y de reputación online
Una empresa de servicios como la nuestra, no puede estar cerrada nunca a las peticiones de sus clientes y a la evolución de los servicios que requiere el mercado. Es así como a veces comenzamos aventuras sin darnos prácticamente cuenta.
Hoy os queremos contar un caso de éxito surgido de estas necesidades y de nuestro conocimiento en diferentes áreas.
La realidad es que tras un par de peticiones por parte de unos clientes descubrimos que podíamos prestar un nuevo servicio muy concreto. Y que además el mercado no lo tenía cubierto y lo necesitaba. Así que nos pusimos a trabajar y poco a poco avanzamos hasta la creación de ProMonitor. El proyecto se convirtió en un éxito hasta el punto que decidimos que tuviera vida propia más allá de los servicios que prestaba TECNOideas 2.0 ciberseguridad.
ProMonitor: un servicio antipiratería y de reputación online que son cuatro servicios muy ligados entre sí
Tener vida propia significa, entre otras cosas, que hemos creído conveniente crearle su propia web: ProMonitor.es.
Si navegáis un poco por ella veréis que se trata de ayudar a proteger el contenido digital o físico de su venta fraudulenta en Internet; del monitor reputacional de personas, marcas o empresas y del proceso de venta de los e-commerces.
Todo comenzó con el encargo de un cliente, que nos pidió que indagáramos sobre la posibilidad que hubieran pirateado sus productos físicos. El cliente creaba un producto artesanal, de alto precio y que vendía por Internet. Tras haber vendido varias unidades a un cliente de China, se percató que sus ventas habían bajado más de un 50%.
Empezamos a trabajar y, efectivamente, encontramos copias del producto original que se vendían a un 10% del valor inicial. Y además nuestro cliente no recibía nada por ello.
Como somos peritos judiciales redactamos informes periciales, y acompañamos a nuestro cliente en todo el proceso judicial que aun sigue a día de hoy.
Este hecho nos abrió los ojos y contactamos con otro cliente que se dedica a la formación online grabada. Lo hicimos porque éramos conscientes que en su sector hay mucha piratería. Muchos de sus cursos se vendían en Internet a un precio irrisorio sin que el verdadero propietario de los derechos recibiera nada a cambio.
Nuestro cliente se prestó a que estudiáramos su caso, que funcionó y tuvimos éxito, por lo que luego contactamos a otras empresas del ramo.
Así que con todo probado, pasada la fase Alpha y la Beta, y teniendo ya varios clientes, lo hemos puesto en orden y perfeccionando. Para ello acudimos a una empresa hermana, ORION ANALISTAS, de manera que ahora ofrecemos un servicio más completo a nuevos clientes que tengan la piratería por condena, tocada su reputación online por trolls, o que crean que la venta de sus productos físicos o su proceso de postventa no es del todo óptimo.
En resumen, ProMonitor significa un servicio antipiratería y de reputación online que consta de cuatro servicios interconectados:
• Antipiratería de productos digitales
• Protección de productos físicos en la venta online
• Monitor reputacional, comentarios falsos
• Certificación de calidad en los procesos de compra
Así que si haces contenido digital, cobras por él, o tienes productos físicos que fabricas tu o tu empresa, eres o tienes una marca, en la que te influye la reputación online a la hora de los ingresos, o tienes un e-commerce, y quieres auditar el proceso de después de la compra, en ProMonitor te podemos ayudar.
- Published in Consultoría, General, Privacidad, Protección de datos, Seguridad, Sobre TECNOideas
Inteligencia artificial I: de empresas que pretenden mejorar la privacidad, a protección predictiva.
La empresa española Sherpa.ai de Xabi Uribe-Etxebarria, y que tiene socios ilustres como Doug Solomon o Tom Gruber, presentó en el mes de Julio, una nueva plataforma, que con unos algoritmos e inteligencia artificial, pretende compartir información sin compartir datos privados. Todo esto siendo opensource, y destinado sobre todo a investigadores y estudiantes.
Sherpa lleva ya años lanzando productos de mejora de productividad con motores de inteligencia artificial, intentando revolucionar el mercado con estas soluciones.
También lanzó durante el Covid, un motor de predicción médica para abordar las curvas de infección en diferentes lugares, necesidades de servicios de salud y UCI, etc.
La inteligencia artificial ha venido para quedarse, de eso no hay duda, y tienen como no seguidores y detractores, alabadores que hasta han fundado una religión, o conspiranoicos que advierten que puede llevar al fin de la humanidad.
Hoy en día abundan chats conversacionales humano/I.A., apoyados por inteligencia artificial, en los servicios de atención al cliente de grandes marcas, que aunque suelen ser muy simples, sirven de guía para buscar en sus F.A.Q. o ayudas.
El caso del chatbot de, Facebook, que hace un tiempo creó una I.A. para que hablase con otra versión de si misma. Les dio tanto miedo, o demasiado respeto, que abandonaron el programa deshaciéndose de hardware y software del mismo.
El experimento, que constaba en ver como reaccionaban estas inteligencias hablando entre ellas, derivo en que crearon su propio lenguaje, que los humanos (y sus creadores) no entendían, para comunicarse entre ellas, de manera criptográfica.
Y como se está haciendo algo largo ya el artículo, dejaré varios puntos para una segunda parte. Solo hacer un inciso en cuanto al tema ciberseguridad, y es que varios servicios y productos incluyen esta tecnología para hacerlos mejores cada día.
Uno de ellos es el Blackberry Cylance, un software predictivo, que se adelanta a que haya firma de virus de software sospechoso, y nos ayuda a defendernos.
TECNOideas lo distribuye junto con un seguro de ciber riesgo, que lo complementa, y en el caso de que falle, nos cubrirá de cualquier gasto derivado, y todo ello a un precio muy competente, PREGÚNTENOS!!!
- Published in Noticias, Privacidad, Protección de datos
¿Cumple vuestra empresa la Ley de Protección de Datos? ¿Ha sido ya multada?
El Reglamento General de Protección de Datos (RGDP) y la Ley de Protección de Datos española que siguió al Reglamento europeo cada vez están más en boca de todo el mundo por el aumento de ciberataques y las multas a las empresas. Es hora de preguntarse ¿cumple vuestra empresa la Ley de Protección de Datos?
Las leyes de protección de datos no son una broma y no sólo afectan a las grandes empresas. Muy al contrario, las pymes también deben cumplirlas, así como cualquiera organización, despacho profesional o consultorio que maneje datos ajenos, incluidos los de sus clientes.
En el ámbito de ciencias de la salud, que maneja datos muy sensibles de sus pacientes, la ley contempla apartados específicos.
Vamos a recordar someramente la legislación actual y la afectación consecuente a las empresas que no la han tenido en cuenta y que por ello han sido sancionadas con multas de importes bastante elevados.
Todo arranca con el Reglamento 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea relativo a la protección de datos personales y a la libre circulación de estos datos (RGDP).
Este Reglamento, que data del 27 de abril de 2016, entró en vigor el 25 de mayo de 2018, como quedó reflejado en este blog.
y del Consejo de la Unión Europea
entró en vigor el 25 de mayo de 2018.
Naturalmente la legislación española tuvo que adaptarse a este Reglamento y por ello se creó la Ley Orgánica 3/2018, de 5 de diciembre de 2018 relativo a la Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Hay que conocer las obligaciones que se imponen a las empresas
Entre las numerosas obligaciones que le ley exige a las empresas, destacamos las siguientes:
• Toda brecha de seguridad o pérdida de datos deberá ser comunicada a las autoridades de control (Agencia Española de Protección de Datos, AEPD) tan pronto sean conocidas. Se debe comunicar en un plazo máximo de 72 horas.
• Cualquier empresa debe proporcionar más información y más inteligible a los ciudadanos al tratar datos personales.
• El consentimiento del ciudadano (proveedor, empleado, cliente, paciente…) debe ser inequívoco.
Todavía hay pymes que no cumplen el
Reglamento europeo y la ley española.
Se exponen a multas que pueden llegar al 4%
del volumen de negocio total.
• Los interesados tienen una serie de derechos que toda empresa debe respetar y facilitar. Entre ellos los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y de oposición.
• Las empresas deben llevar un “Registro de Actividades de Tratamiento” (RAT). La mayoría de las pymes tienen que hacerlo. Esa idea que tienen algunos empresarios de que la ley no está hecha para las pequeñas empresas, no es cierta.
• La ley española tiene diez títulos y 97 artículos. El Título IX está dedicado al Régimen sancionador y distingue infracciones leves, graves y muy graves.
• Las empresas deben poner todo el interés en la protección de los datos que obran en su poder. En el caso de no hacerlo, pueden ser sancionadas y con multas bastante elevadas.
• Las sanciones pueden llegar a ser muy considerables: a mayor sanción, mayor plazo de prescripción. Cuando el importe sea igual o inferior a 40.000 euros prescriben en el plazo de un año. Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
• En el caso del RGPD establece las multas por no cumplir con el Reglamento. Pueden llegar a ser de 20 millones de euros o suponer la cantidad equivalente del 2 al 4% del volumen de negocio total con respecto al ejercicio anterior.
Ahora es posible conocer mejor todos estos temas. Ya podemos revisar las multas de manera oficial, en una sola página, gracias al Comité Europeo de Protección de Datos.
podemos revisar las multas.
En esta web se puede buscar, ordenar, filtrar, por fecha, tema, ley, etc. Además encontraremos el sumario y la sentencia. Así que tenemos mucha información que dar a los clientes para que sean conscientes de la importancia de adecuarse al RPGD.
Ahora ya podéis preguntaros: ¿cumple vuestra empresa la Ley de Protección de Datos?
Las empresas deben adoptar medidas preventivas para reducir los riesgos de incumplimiento. También tendrán que demostrar que las medidas son eficaces y efectivas. Y por eso deben acudir a expertos en ciberseguridad.
TECNOideas 2.0 Ciberseguretat además de hacer un completo análisis de vulnerabilidad de vuestros sistemas (servidores internos, servicios en la nube, webs, puntos de acceso wifi, cámaras, móviles…) y otros servicios que podéis ver AQUÍ, puede asesoraros en todos estos temas legales y sus expertos profesionales pueden adaptar al 100% vuestras estrategias digitales a las normativas vigentes.
• Podéis consultar el texto completo del Reglamento General de Protección de Datos AQUÍ.
• Podéis consultar el texto completo de la Ley Orgánica española (LOPDGDD) relativa a la Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) AQUÍ.
- Published in General, Noticias, Privacidad, Protección de datos, Seguridad
Guía sobre uso de cookies: el 31 de octubre, fecha límite para implementar los nuevos criterios de la AEPD
El Comité Europeo de Protección de Datos modificó en mayo las directrices sobre consentimiento. Ahora la AEPD ha actualizado su guía sobre uso de cookies. La fecha tope para implementar los nuevos criterios es el 31 de octubre.
Las nuevas directrices europeas persiguen básicamente aclarar su posición respecto a dos puntos siempre controvertidos:
1.- La validez de la opción “seguir navegando” como forma de prestar consentimiento por parte de los usuarios.
El Comité considera que “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.
2.- La opción de utilizar los “muros de cookies”, una práctica que limita el acceso a contenidos y servicios sólo a los usuarios que acepten el uso de cookies.
El Comité considera que el acceso no debe estar condicionado a que el usuario consienta el uso de cookies y se recalca la importancia de este criterio, porque la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.
No obstante podrán existir determinados supuestos en los que la no aceptación impida el acceso al sitio web o el uso del servicio, pero para ello deberá informarse adecuadamente al usuario y ofrecerle una alternativa de acceso al servicio.
Como es natural, la Agencia Española de Protección de Datos (AEPD) ha actualizado su Guía sobre el uso de las cookies para adaptarla a las directrices europeas.
La publicación consta de cuatro apartados significativos y un anexo:
1. Alcance de las normas
2. Terminología y definiciones
3. Obligaciones
4. Responsabilidades de las partes en la utilización de cookies
En cuanto al anexo decir que contiene un interesante gráfico con los principales agentes que intervienen en la compra digital de publicidad programática.
- Published in Comercio electrónico, General, Noticias, Protección de datos
Entrevista a los creadores de DinoSec y GuardedBox
Tener varias delegaciones, teletrabajar, viajar por negocios… la necesidad de compartir información de forma totalmente segura en la red se ha convertido en un dolor de cabeza para la mayoría de las empresas. Pero DinoSec, junto a Juan José Torres, ha desarrollado una solución on line que está triunfando en el mundo empresarial: GuardedBox.
Hace unos días os hablábamos en este mismo blog de GuardedBox, pero hoy damos un paso más y entrevistamos a Mónica Salas y Raúl Siles, analistas de seguridad y fundadores de DinoSec y a Juan José Torres, creador original de GuardedBox.
¿Cómo nació DinoSec y cuáles son los principales servicios que ofrece?
DinoSec nació hace más de diez años para ofrecer servicios técnicos avanzados personalizados de seguridad informática en entornos complejos que requieren de un alto grado de conocimiento técnico y de la aplicación de tecnologías innovadoras, queriendo dar un paso más ante la creciente demanda de servicios de ciberseguridad en todos los ámbitos.
Ofrecemos servicios avanzados de análisis e investigación sobre la seguridad de nuevas tecnologías antes de que las implante el cliente, cursos de formación técnicos especializados, y servicios ofensivos mediante análisis, auditorías y pruebas de intrusión multiplataforma y/o basadas en tecnologías específicas para todo tipo de entornos.
¿Podríais resumirnos vuestros principales logros a lo largo de esta ya larga trayectoria?
La mayoría de los análisis y actividades que realizamos no pueden ser desveladas públicamente. Sin embargo, de manera general, nuestros principales logros son la seriedad y profesionalidad a la hora de realizar nuestros servicios. Siempre seguimos aprendiendo y ampliando nuestras habilidades, capacidades y conocimientos, para aplicarlos con una alta profesionalidad y exigencia en nuestros servicios. Nuestros clientes buscan la excelencia y reconocen y valoran como hacemos las cosas, por eso contamos con su confianza, ganada y consolidada a lo largo de los años.
La estrella actual de la empresa es GuardedBox, esta solución on line de almacenamiento seguro de información secreta. ¿Cómo desarrollasteis esta idea y cuánto tiempo os ha ocupado hasta tenerla en el mercado?
DinoSec es una compañía de servicios profesionales y GuardedBox es el primer producto o servicio que lanzamos, y donde estamos poniendo parte de nuestros esfuerzos durante este año 2020. La idea partió de nuestro compañero Juan José Torres como propuesta de participación en el Hackathon de CyberCamp 2018, donde llegó con una versión funcional básica que principalmente tenía características de almacenamiento y gestión de secretos y unas capacidades para compartir entre individuos limitada. Posteriormente el proyecto evolucionó con nuevas capacidades en su participación en el Hackathon de CyberCamp 2019.
DinoSec se unió a la iniciativa a principios de 2020, porque nos pareció una solución que, evolucionada y madurada, cubría varias necesidades fundamentales de todo el sector, no solo de la industria de ciberseguridad, sino de cualquier organización e individuo: además del almacenamiento seguro, permite la compartición entre usuarios y grupos con el mismo nivel de seguridad, que nunca trasciende del lado del cliente, y constituye un panel de control para la gestión de cómo y con quién se comparte o se compartió información secreta.
¿La crisis sanitaria de la COVID-19 tuvo su papel en el lanzamiento de GuardedBox?
La idea original era evolucionar el producto para ofrecerlo al mercado al alcanzar un nivel de funcionalidad mayor, pero la crisis sanitaria del COVID nos llevó a tomar la decisión de acelerar su lanzamiento inicial, porque constatamos que las condiciones de teletrabajo impuestas sin planificación habían descontrolado el modo en que la sociedad y las organizaciones estaban intercambiando secretos por las vías más inseguras. Así que decidimos proporcionar a la comunidad un mecanismo seguro de compartición de secretos.
«GuardedBox es una solución web,
accesible mediante cualquier navegador,
para el almacenamiento, protección y compartición
de secretos, es decir, para la gestión
centralizada y homogénea de secretos.»
¿Qué es exactamente y cómo funciona?
En una frase, GuardedBox es una solución de código abierto pensada para que, sin necesidad de instalar, mantener, o actualizar ningún tipo de aplicación en el lado cliente, sea posible acceder a tus secretos sin más que disponer de un navegador web y acceso a tu e-mail (necesario únicamente para el doble factor de autentificación). Una vez dentro del entorno, el interfaz de usuario ofrecido por el código JavaScript que corre en el navegador web proporciona capacidad para consultar, crear, eliminar y, muy importante, compartir o descompartir en un par de clicks cualquier secreto con cualquier otro usuario de GuardedBox.
¿Por qué es tan seguro?
Los secretos solo viven temporalmente en la memoria asociada a la pestaña del navegador web, y se destruyen cuando la sesión se cierra, eliminando cualquier rastro de tus secretos en el dispositivo cliente (móvil u ordenador). El resto del tiempo permanecen almacenados cifrados, sólo accesibles para su propietario (o aquel con quien éste los haya compartido), en el lado servidor.
El que sea de código abierto es uno de los elementos que, a nuestro juicio, lo hacen más atractivo, ya que cualquier persona puede confirmar que se hace uso de las mejores prácticas y estándares criptográficos y de desarrollo y despliegue de software, así como corroborar y cotejar mediante su código fuente que la solución (o sus responsables, DinoSec) no tiene acceso ninguno a la información que cada usuario almacena en el servidor, que solo puede ser descifrada en su propio navegador web cuando accede al servicio.
«Es importante que todo el mundo sepa
que el servicio gratuito
siempre estará disponible para la comunidad.
Pero, complementariamente,
queremos ser capaces de atender las demandas y necesidades específicas de organizaciones
que no pueden limitarse a las de una instancia pública.»
La idea es innovadora, porque, ¿a diferencia de otras soluciones de almacenamiento y gestión de contraseñas, toda la maquinaria criptográfica tiene lugar en el lado cliente? ¿Las claves privadas que envuelven los secretos nunca se exponen fuera de la memoria de su navegador?
Efectivamente, aunque el almacenamiento de los secretos cifrados se encuentra en el entorno o lado servidor (backend), es el código JavaScript del lado cliente que el usuario obtiene al iniciar sesión quien realiza todas las operaciones criptográficas, desde la derivación de claves hasta el intercambio de la información cifrada con el servidor mediante una conexión cifrada extremo a extremo. El servidor únicamente almacena la semilla de login de cada usuario, a partir de la cual, tras diversas validaciones e interacciones criptográficas, el cliente deriva sus claves para acceder a sus secretos. Todos los detalles de su funcionamiento han sido publicados en conferencias de seguridad que hemos impartido en los últimos meses y que están disponibles desde Guardedbox.es.
Al no disponer el servidor ni de la contraseña ni de las claves privadas de los usuarios, evitamos la posibilidad de que, incluso aunque un tercero tuviese acceso al servidor o a la base de datos de secretos, se pudieran comprometer los secretos almacenados. Esto nos proporciona bastante tranquilidad.
¿Cuál es vuestra política de marketing? ¿Cómo vais a dar a conocer el producto y quiénes van a ser vuestros prescriptores?
Puesto que la decisión de ofrecer en primer lugar el servicio a toda la comunidad de manera gratuita y la acogida ha sido muy buena, estamos en el proceso de definir una política comercial que conviva con la instancia gratuita actual, que, por supuesto, continuamos y continuaremos manteniendo. En estos meses hemos confirmado la necesidad por parte de las empresas y corporaciones de disponer de una versión de GuardedBox adaptada a necesidades específicas, y estamos evolucionando la solución para poder responder a ellas.
En esta andadura hemos aprendido y profundizado mucho en el mundo de los secretos, y entendido que las necesidades de gestión son muy diversas, pero que todo el mundo las tiene: desde el punto de vista personal, un individuo que quiere tener sus secretos totalmente controlados y compartirlos eventualmente con un conocido, hasta el plano profesional, como una organización compleja que necesita intercambiar secretos tanto a nivel interno como externo (clientes, proveedores, colaboradores, etc.), y que requiere funcionalidades muy específicas, como auditorías precisas del acceso y modificación de los secretos, un sistema de notificaciones avanzado, múltiples roles de acceso, etc. Las posibilidades son infinitas, y por eso nos hemos centrado mucho en plantear una arquitectura escalable que acomode cualquier tipo de necesidad y que nos permita desarrollar e implantar la larga lista de ideas y funcionalidades que ya tenemos identificadas.
En vuestra web ya advertís de algunas limitaciones del producto, cosa bastante normal cuando se saca algo al mercado. Pero automáticamente se van actualizando y mejorando. ¿En qué versión estáis trabajando ahora?
Efectivamente, la premura para publicar la versión 1.0 implicaba definir y cerrar las características y funcionalidades iniciales en un punto estable. Desde el 1 de abril hemos ido añadiendo nuevas funcionalidades, tanto las que teníamos ya pensadas, como las que nos han trasladado los usuarios por cuestiones específicas y, en consecuencia, liberando nuevas versiones cada pocas semanas. A principios de julio hemos publicado las versiones 1.5.1 y 1.5.2, que consolidan los componentes tecnológicos actualizándolos a las últimas versiones estables —como Java 14— y mitigan la posible existencia de vulnerabilidades conocidas, e introducen nuevos mecanismos avanzados de integración continua.
Para las próximas semanas intentaremos ir liberando sucesivas versiones, continuando con la misma dinámica, que permitirán desde el esperado cambio de contraseña (incluido en las limitaciones mencionadas desde el inicio en la web de GuardedBox), el uso de un TOPT como segundo factor de autentificación que no requiera hacer uso del e-mail, opciones de visibilidad y privacidad para que el usuario se pueda poner en modo oculto, hasta otras como poder cambiar el orden de las propiedades de los secretos, por enumerar sólo algunas de las que conforman la lista de futuras capacidades de GuardedBox.
¿Te ha gustado esta entrevista? Regístrate ahora en nuestra web y recibirás gratuitamente nuestro boletín y te anunciaremos nuestros cursos de formación.
Gracias por confiar en TECNOideas 2.0.
- Published in Entrevistas, General, Productos, Protección de datos
¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Published in Consultoría, Formació, Malos hábitos, Protección de datos
El riesgo cibernético por sectores: salud Parte I
Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de «ataques», infecciones, timos y demás variantes.
Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.
Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.
Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.
¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.
Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un «delegado» de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…
¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.
Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.
Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.
Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.
¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.
Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:
- Ataque a Hospitales Rumanos para robar datos.
- ¿Porqué el sector médico? Artículo de Cybersecurity News
- Ataque a Prosegur con Ransomware también afectó a hospitales.
- Como varios ataques en Hospitales de EEUU causaron muertos.
- Implantes hackeables
- Marcapasos hackeables.
- Listado de casos que están siendo investigados en EEUU por Ciberataques en sector médico.
- Y cuando se empezó a ver esta epidemia, el ataque al servicio de salud Britanico.
Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y «aparatos» conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.
- Published in Consultoría, Noticias, Protección de datos, Seguridad
Telegram elimina canales con contenido que infringe el Copyright.
Tal como anunciaron varios medios generalistas la semana pasada, Telegram ha eliminado, por fin, canales que compartían material protegido por derechos de autor.
Eran canales donde se publicaban links de libros y revistas en pdf, pero también vídeos de cursos online por ejemplo.
Ha sido gracias as la asociación CEDRO, «Centro Español de Derechos Reprográficos», la asociación sin ánimo de lucro de autores y editores de libros, revistas, periódicos y partituras, editadas en cualquier medio y soporte.
Aunque queremos creer que nosotros, y empresas como la nuestra, hemos tenido algo que ver, ya que hemos inundado de correos y peticiones no solo Telegram, sino otras plataformas y buscadores.
Y eso, porque tenemos un servicio de persecución de infracciones de derechos de autor, ProMonitor, donde ponemos a disposición de los autores nuestra experiencia y herramientas para perseguir a quien hace uso ilícito de su obra, infringiendo al tipo de norma que se hayan suscrito los autores.
Aunque hay diferentes tipos de derechos de autor, y cada uno es libre de acogerse a ellos (podéis leer nuestro artículo de Creative Commons AQUÍ), no somos nadie para vulnerar esa decisión.
Como defensores del software libre, del copy left, creative commons y todas las variantes, también defendemos que si alguien, es autor, vive de ello, y quiere acogerse a licencias privativas, está en todo su derecho, y no somos quien para ganar dinero a su costa.
Porque si, no es solo que se usen copias ilícitas, cuando las originales tiene precios suficientemente bajos, sino que se trafica y comercia con ellas, ganando dinero gente que no ha contribuido a su creación o publicación.
Por ello, para autores, tanto vídeo como pdf, y próximamente inventores, obras gráficas, etc… tenemos un servicio de vigilancia – ProMonitor – y de retirada de links que infringen vuestros derechos, a un precio realmente competitivo.
Pregúntanos, o déjanos tus datos y te contactaremos.
- Published in Consultoría, Hazlo tu mismo, Noticias, Productos, Protección de datos, Seguridad, Sobre TECNOideas, software libre
- 1
- 2
Català 
Español