Ayúdanos a protegerte
Esta frase ha sido la escogida como claim de una campaña de concienciación en redes sociales sobre los peligros de la ciberdelincuencia y prevenir estos delitos que no paran de crecer. Así que tú también, “Ayúdanos a protegerte”.
En publicidad se dice que un claim es una frase utilizada en productos o servicios para despertar emociones en los receptores del mensaje. Pues bien, esta frase que busca despertar emociones y algo más es la que utiliza el Ministerio del Interior en una campaña que ha lanzado en redes sociales para concienciar de los peligros de la ciberdelincuencia y explicar como prevenirlos.
La campaña consiste en una serie de vídeos de algo más de un minuto en el que expertos de la Policía Nacional y de la Guardia Civil explican los ciberdelitos más frecuentes y dan instrucciones sobre las alertas que debemos tener en cuenta en cada uno de ellos.
de la campaña del Ministerio del Interior
Podéis ver los vídeos AQUÍ.
Los vídeos se han adaptado también a las diferentes redes sociales donde se muestran, Twitter, Instagram y TikTok. Los seis primeros vídeos abordan casos de mucha actualidad:
- Suplantación por correo electrónico
- Los fraudes de las criptomonedas
- Falsas ofertas de empleo
- Fraudes en el alquiler de gangas
- La estafa del amor (ghosting)
- El phishing
Uno de cada cinco delitos se cometen en la red
La campaña va más allá de estos vídeos y pretende hacer frente al incremento de la cibercriminalidad, que supone ya uno de cada cinco delitos cometidos en España. Por ello se complementa con una campaña de publicidad, una estrategia de difusión de pautas de prevención en redes sociales así como la presencia de expertos de Policía Nacional y Guardia Civil en programas de radio y televisión.
Al mismo tiempo se muestran en la web unodecadacincodelitos.com, algunas cifras, espectaculares, como el aumento del 352,1% de ciberdelitos en España desde 2015 hasta el 2022.
En la web también se enumeran los delitos más comunes, explicándolos sucinta pero muy claramente. Son Sextorsión, Phishing y Smishing, Fraude del CEO, Ransomware, Comercio electrónico fraudulento y Love/Romance Scam.
Aplaudimos la iniciativa y os animamos a que todos os concienciéis seriamente sobre los peligros de no tener ningún plan de ciberseguridad.
A estas alturas ya no podéis pensar que a vosotros, por pequeños que seáis, no os va a afectar.
Y tampoco nos vale que aceptéis el tema como parte del sistema en el que estamos inmersos y que no se puede hacer nada, porque… ¡eso no es así! Con poco presupuesto y una formación a todo el personal de una empresa se puede hacer mucho.
Reclamamos una vez más que dedicar un presupuesto a la seguridad de vuestros sistemas no es un gasto, sino una inversión.
Las empresas de ciberseguridad que prestan todo tipo de servicios dentro del área de la seguridad de la información, como es el caso de TECNOideas, estamos para ayudaros, así que… ¡Ayúdanos a protegerte!
Imagen principal: web https://unodecadacincodelitos.com/
- Published in Ataques / Incidencias, General, Medios de comunicación, Noticias, Redes sociales, Seguridad
El e-commerce no llora, factura
El comercio electrónico en España crece a ritmo de dos dígitos.
La facturación del segundo trimestre del 2022 alcanzó los 18.190 millones de euros, un 33,1% más que el mismo periodo del 2021.
Siguiendo con estos espectaculares datos que proporciona la revista IPMark, un reconocido medio de información sobre marketing, publicidad y comunicación, esta facturación se alcanzó a través de más de 325 millones de transacciones, un 16,4% más que en el segundo trimestre del 2021.
Pero la buena marcha del sector no debe hacernos pensar que es inmune a la ciberdelincuencia. Es justamente lo contrario. 325 millones de transacciones en sólo un trimestre significa una ingente cantidad de recogida de datos confidenciales que atraen toda la atención de los delincuentes. Según el Foro Económico Mundial, la ciberdelincuencia, a nivel global, ha tenido un aumento del 151%. Las empresas más afectadas son las pymes, por su tradicional falta de recursos.
El comercio electrónico no es ajeno a todo ello. Tanto el pequeño e-commerce, con su pequeña seguridad, como las franquicias en que… ¿todo se controla desde la central?… son objetivo de la ciberdelincuencia. Y es que el tema de las franquicias es muy preocupante, al contrario de lo que se suele creer, porque no basta con tener un sistema centralizado, sino que cada uno de los franquiciados debe velar también por sus sistemas de seguridad y con los datos que recoge de sus clientes.
Quizá por todo esto, el INCIBE ya publicó, hace años, una de sus guías dirigida a este sector: “Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario”, que podéis leer AQUÍ. Y si queréis saberlo todo sobre la cibercriminalidad 2021 en España, podéis leer el extenso informe del Ministerio del Interior AQUÍ.
¿Cuáles son los peligros para el e-commerce? ¿Cómo sabes que en este momento no han vulnerado ya tu página web?
Juniper Research es una prestigiosa firma británica de analistas del sector de la tecnología digital y móvil. Es especialista en identificar y evaluar nuevos sectores de mercado de alto crecimiento en el ecosistema digital. Sus investigadores creen que el fraude en el e-commerce puede llegar a generar pérdidas de 48.000 millones a escala mundial este año.
Este fraude se va a concentrar en los pagos online a través de la violación del correo electrónico y técnicas como el phishing, el envío de malware, la ingeniería social, etc. Por su Parte, Palo Alto Networks, un líder mundial en ciberseguridad, acaba de publicar su informe “The State of Cloud-Native Security 2023 Report” en el que asegura que el 90% de las organizaciones no puede detectar, contener y resolver las ciberamenazas en una hora.
¿Cuántas horas puede tu e-commerce quedarse sin actividad?
Concretando más, estos son algunos de los principales peligros: robar información confidencial de tu cartera de clientes y además hacerse con los datos bancarios, como el número de tarjeta. Porque una vez obtenida la información, pueden usarla para otros ataques o venderla en el mercado negro.
¿Qué soluciones aporta TECNOideas al e-commerce?
– Proteger convenientemente tu página web.
– Custodiar y proteger convenientemente los datos de tus clientes, para que cumplas la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDP).
– Con ello evitarás las posible multas (que pueden llegar a ser cuantiosas) de la Agencia de Protección de Datos (AEPD).
Con TECNOideas puedes facturar más, porque…
… podrás concentrarte en tu negocio y no perder el tiempo solucionando problemas. Nosotros nos ocupamos de las medidas de prevención necesarias.
Te proponemos soluciones, de acuerdo con las necesidades de tu negocio:
- Auditoría de servidores
- Auditoría de tu hosting
- Auditoría de tu página web
- Segurizamos todo tu entorno web
- Te ayudamos a cumplir con la LOPD
- Te ofrecemos la figura del CISO externo (persona encargada de la seguridad)
- Formación para minimizar riesgos
Te ofrecemos totalmente gratuita una primera cita para conocerte mejor
Clica aquí para agendar tu cita con TECNOideas
Imagen principal: Mediamodifier en Pixabay
- Published in Ataques / Incidencias, Comercio electrónico, Estudios, General, Noticias, Privacidad, Protección de datos, Seguridad, Serveis
Goodbye passwords
El gestor de contraseñas 1Password ya ha decidido sustituirlas por “passkeys” con datos biométricos y criptografía
Decir adiós a las malditas contraseñas que no se recuerdan, que no deben apuntarse en ningún sitio, que son débiles, que deben cambiarse periódicamente, etc. es un sueño para millones de usuarios de las nuevas tecnologías. Pero cada vez está más cerca el fin de las contraseñas tal y como las usamos en la actualidad.
1Password es un gestor de contraseñas desarrollado por la empresa AgileBits Inc., una compañía canadiense especializada en desarrollo de software.
El gestor ha anunciado que a partir de verano dejará de utilizar las contraseñas para centrarse en claves de acceso conocidas con el nombre de passkeys.
Seguramente muchos de vosotros recordaréis que ya os hablamos de ello en octubre del año pasado, cuando nos preguntamos si las passkeys eran ciberseguras y os explicábamos como funcionan. Lo podéis recordar leyendo ESTE ARTÍCULO.
El sistema se basa en una llave maestra capaz de acceder al desbloqueo de las contraseñas y a los datos de usuarios sin claves. Para ello el usuario solo deberá utilizar un autenticador como un smartphone y cuando quiera acceder no escribirá ni la dirección de mail ni un password, sino una clave de acceso que se basará en los datos biométricos, como el reconocimiento facial o la huella dactilar.
Las passkeys, además, utilizan criptografía de clave pública, por lo que se crea una clave de acceso única de forma predeterminada, que se almacena en sus dispositivos y no se comparte nunca.
¡Son resistentes al phishing!
Otra de las ventajas de las passkeys es que son resistentes al phishing y evitan el descifrado.
Resumiendo: para crear passkeys en 1Password el usuario solo deberá usar el “Touch ID” en el caso de ordenadores Mac o una identificación biométrica en un iPhone para crear una cuenta sin contraseñas.
Si el usuario posee un PC de Windows o un nuevo dispositivo, lo que aparecerá es un código QR, que deberá escanearse a través de un dispositivo tipo smartphone que deberá garantizar la identificación biométrica. Así que ya estamos realmente en disposición de decir ¡Goodbye passwords!
Imagen principal: Thomas Breher en Pixabay
- Published in General, Hazlo tu mismo, Noticias, Privacidad, Seguridad, Tecnología
El WiFi hace posible ver a través de las paredes
Con el paso del tiempo, vamos desbloqueando mitos que creíamos imposibles. Desde poder vernos y hablar con alguien que está en la otra punta del mundo, hasta conseguir que un crucero de 200 toneladas se mantenga a flote sin ningún tipo de impedimento. ¿Pero, esperabas poder ver a través de las paredes algún día, como si de rayos X se tratara?
En 2018, Facebook ensayaba un sistema que permitía ubicar en tiempo real a un objeto en movimiento. Así mismo, avisaban de que un sistema de Inteligencia Artificial llamado Dense Pose, iba un paso por delante, ya que no solo ubicaba los objetos en movimiento, sino que también los identificaba con exactitud.
Hoy día, a principios de 2023, os corroboramos que, gracias a unas investigaciones de la Universidad Carnegie Mellon, de Pittsburgh, se espera que pronto estemos vigilados incluso a través de las paredes. Esto gracias, en parte, a las señales WiFi.
Pero… ¿De qué se trata este sistema realmente? Dense Pose se basa en Inteligencia Artificial. Los sistemas de procesamiento de imágenes de Facebook permiten detectar la posición en tiempo real de un objeto en movimiento. Pero, cuando crearon Dense Pose, vieron que iba un paso más allá, al detectar a varios objetos en movimiento. Entre otras cosas, es capaz de mapear lo que viene siendo la superficie del cuerpo humano (ya sea a través de un video o de una foto 2D). A raíz de ahí, crearon una red neuronal que, junto a los sistemas programados anteriormente. De esta manera consiguieron que fuera capaz de mapear la fase y amplitud de las señales WiFi, tanto entrantes como salientes, en el cuerpo humano.
Una vez programado y en funcionamiento. ¿Cuál sería el siguiente paso para hacer funcionar lo que supuestamente, podría llegar a atentar contra la privacidad de las personas?
Fácil, instalaron un sensor ubicado en una habitación cuya finalidad era detectar cuerpos, ya sea en la oscuridad o incluso detrás de otros objetos. El “algoritmo” terminó prediciendo las poses estrictamente en función de las señales WiFi.
Aunque suene algo contradictorio, Dense Pose asegura que su tecnología es amigable con la privacidad, dado que no es capaz de detectar características de identificación personal: protege la privacidad de las personas. Como la mayoría de los hogares en los países desarrollados ya tienen WiFi, los investigadores creen que esta tecnología puede escalarse para monitorear el bienestar de las personas mayores o simplemente identificar comportamientos sospechosos en el hogar.
¿Creéis que pueden estar en lo cierto? No obstante, no tienen en cuenta un matiz muy importante: una cosa es para lo que está diseñado un producto, servicio o sistema y otra muy diferente para la inmensa cantidad de cosas que se puede terminar utilizando. Si esta tecnología termina en manos equivocadas, podrían utilizarse para espiar y estudiar las actividades de sus posibles víctimas con mayor facilidad. ¡Ni siquiera tendrían que entrar ni hacerse notar… simplemente lo harían con una serie de cámaras externas!
Anteriormente ya nos habíamos interesado en comentaros varios temas sobre WiFi, es recomendamos leeros: Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia.
Imagen principal: Web de Dense Pose
- Published in Ataques / Incidencias, General, Inteligencia Artificial, Noticias, Seguridad
Primeros malos usos de ChatGPT
Dos meses han tardado los ciberdelincuentes en usar ChatGPT para crear campañas de malware. La herramienta de Inteligencia Artificial de moda, ChatGPT, que fue presentada en noviembre del año pasado, ya ha sido usado para recopilar archivos de Office, PDF o imágenes.
ChatGPT es una nueva herramienta de Inteligencia Artificial que ha sido desarrollada por la compañía OpenAI. Esta empresa, especializada en investigación de IA y que dice que no tiene ánimo de lucro, desarrolló la herramienta y la ofrece gratuitamente a toda persona que tenga una cuenta con ellos.
Se está hablando mucho de ChatGPT, porque puede entablar una conversación en texto, ya que tiene una importante capacidad de generar y enlazar ideas. Además recuerda las conversaciones previas, por lo que va “aprendiendo” a medida que se utiliza.
El hecho de que cualquier persona puede hacer uso (bueno o malo) de esta herramienta es precisamente lo que ha hecho saltar las alarmas de diferentes compañías de seguridad. Por ejemplo la empresa Check Point.
Desde principios de diciembre, investigadores de esta empresa hicieron una serie de estudios y seguimientos. En ellos encontraron indicios de usos maliciosos a través ChatGPT. Además y en paralelo, apareció un hilo sobre el tema en un foro clandestino de piratería. En el se hablaba de las opciones que ofrecía para insertar campañas de malware. Para ello se había utilizado un software malicioso basado en Python para buscar archivos, copiarlos en una carpeta, comprimirlos y subirlos a un servidor FTP codificado. Posteriormente se ha comprobado que, efectivamente, es capaz de crear un malware que recopila archivos de Microsoft Office, PDF o imágenes del sistema.
No solo eso, en caso de encontrar un archivo que le interese y se lo quiera guardar, lo podrá hacer sin ningún tipo de problema. Simplemente tendrá que comprimirlo y compartirlo a través de la web. ¿Lo peor? Que todo eso se haría sin añadir cifrado, por lo tanto, estos archivos podrán terminar en manos de terceros por el hecho de no utilizar ese tipo de sistema de seguridad.
Esa no fue la única evidencia de mal uso del ChatGPT. También han podido crear scripts (secuencia de comandos que se usa para manipular las instalaciones de un sistema existente) con la herramienta. La misma empresa terminó concretando que se trataba de un script con diferentes finalidades como encriptado y cifrado, aunque también tiene una utilidad maliciosa.
Si queréis saber más sobre esta herramienta, podéis obtener más información AQUÍ.
Ya en este blog os hemos hablado de algunas de las opciones que han generado cierta controversia sobre la Inteligencia Artificial. Os recordamos el caso de los autógrafos de Bob Dylan en el artículo “La “estafa” de las dedicatorias
Anteriormente ya nos habíamos interesado por todo lo relacionado con la Inteligencia Artificial, a raíz del proyecto MarIA en el artículo ¿Ya podemos decir que la IA es más presente que futuro?
Imagen principal de: Alexandra_Koch en Pixabay
- Published in Ataques / Incidencias, General, Inteligencia Artificial, Noticias, Productos, Seguridad
La nueva ISO 27032 es un estándar de ciberseguridad
Ya se ha hecho pública la nueva versión de la norma ISO 27032, que se convierte en la más específica certificación sobre ciberseguridad. Se trata de una nueva oportunidad para que las empresas demuestren a sus clientes que cumplen con la ley y las diferentes normativas. Y además que son sensibles a los problemas de ciberseguridad, protegiendo y preservando la confidencialidad, integridad y disponibilidad de la información.
Llevamos mucho tiempo insistiendo en la necesidad de que las empresas se certifiquen en los estándares de las tecnologías de la información y os hemos hablado a menudo de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Pero hoy queremos hablaros de la ISO/IEC 27032, porque es un nuevo estándar concreto de ciberseguridad.
La ISO 27032 nació en el año 2012 con el objetivo de mejorar el estado de la ciberseguridad o lo que entonces se llamó “la seguridad del ciberespacio”. Se entendía el ciberespacio como “el entorno complejo resultante de la interacción de personas, software y servicios en Internet por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en cualquier forma física”. Por su parte la RAE lo define como “Ámbito virtual creado por medios informáticos”. Y por lo tanto la seguridad del ciberespacio es “la preservación de la confidencialidad, integridad y disponibilidad de la información en el Ciberespacio”.
Podéis ver un artículo sobre la nueva norma en la web del Centro Criptológico Nacional AQUÍ.
La nueva ISO 27032 es un estándar de ciberseguridad
Desde hace un tiempo la Organización Internacional de Normalización estaba trabajando en una nueva versión de esta norma y ahora finalmente se ha presentado. Entre las novedades más destacadas se encuentra el cubrir los espacios que hasta ahora no quedaban encuadrados en anteriores normas de seguridad de la información. También es importante señalar que la empresa que se va a certificar debe ser muy proactiva en las medidas de seguridad y en los mecanismos de prevención.
Con la ISO 27032 se pretende garantizar la seguridad en los intercambios de información en la red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con cooperación y coordinación. La certificación proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros todos los procesos.
Una vez más debemos recomendar a las empresas que consideren el certificarse, porque la ISO 27032 ayuda a prepararse, detectar, monitorizar y responder a los ataques. Al mismo tiempo permite luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
¿Cómo es la certificación?
TECNOideas puede ayudar a certificaros, como en el caso de la ISO 27001 y del Esquema Nacional de Seguridad. Con el método TECNOideas os será sencillo el trabajo a realizar porque os acompañamos de principio a fin.
La certificación engloba cuatro partes:
- Seguridad de las redes
- Seguridad de la información
- Seguridad en internet
- Protección de las infraestructuras críticas
A partir de ahí, trabajamos con nuestro cliente para revisar los productos y servicios que posee, el marco normativo, su documentación de seguridad, los flujos de información de los procesos, etc. con el fin de llegar al análisis de riesgos.
Sobre ellos establecemos el plan de acción, según las directrices que marca la ISO 27032. Naturalmente, este plan supone la implicación de los diferentes departamentos de la empresa.
En la web de la Organización Internacional para la Estandarización tenéis toda la información sobre esta norma desde sus inicios en 2012, la información general, etc. AQUÍ.
Precisamente la semana pasada publicamos un artículo sobre la necesidad que tienen de certificarse los Centros de Procesos de Datos (CPD). Y es que las certificaciones son necesarias para grandes y pequeñas empresas y por supuesto para los CPD’s, que si no pueden acreditar que cumplen los estándares exigidos, se van a quedar sin clientes.
Esta certificación, como las anteriormente citadas, son de gran ayuda en el modelo de negocio de las empresas que la obtienen porque:
- Asegura el cumplimiento de la ley y las normativas.
- Ofrecen seguridad y seriedad a sus clientes.
- Certifican el buen uso de los datos que sus clientes les confían.
- Ordenan internamente los distintos departamentos en temas de ciberseguridad.
- Ofrecen formación personalizada (según las necesidades de cada departamento) a todo el personal.
- Es una importante ventaja frente a la competencia.
¡Podéis obtener la certificación ISO 27032
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: mcmurryjulie en Pixabay
- Published in Certificaciones, General, Normativa, Noticias, Seguridad
Entrevista a José Manuel Ortega, ingeniero de software e investigador de seguridad (2ª parte)
Publicamos hoy la segunda parte de la entrevista que realizamos a José Manuel Ortega, un ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Es un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros…
La semana pasada nos dabas algunos consejos para los jóvenes que quieran iniciarse en este cibermundo. Y acabábamos mencionando tu manual práctico de ciberseguridad. Así que hoy empezamos con eso. Hablas de la seguridad en la nube, en internet, en aplicaciones web, etc. ¿Dónde crees que fallamos más para que los ciberdelitos están creciendo de esta forma?
Por una parte tenemos el usuario, que sigue siendo el eslabón más débil y hay que continuar la labor de divulgación para que cada vez se sienta más seguro y minimizar el éxito de los ataques que se producen. Desde el punto de vista de las empresas también hay un largo recorrido por hacer, relacionado con mantener la integridad de la infraestructura de las organizaciones, sobre todo por las nuevas amenazas que salen cada día.
“Las empresas necesitan aumentar sus recursos
en cuanto a realizar auditorías de seguridad
y mantenimiento de la infraestructura.”
Creo que la evolución a nivel complejidad de las aplicaciones, sistemas e infraestructura en los últimos años, hace que muchas veces las empresas necesitan aumentar sus recursos en cuanto a realizar auditorías de seguridad y mantenimiento de la infraestructura y muchas veces esto no es posible en algunas empresas, sobre todo en las pymes.
Al final la ciberseguridad es una labor de todos y cada uno de nosotros, desde el usuario final, proveedores de servicios de internet, empresas especializadas y administración pública. Lo más importante es perderle el miedo a los ciberdelincuentes y desde el punto de vista de la seguridad hacer un esfuerzo entre todos para que cada día que pase ponérselo un poco más difícil.
La ciberseguridad es dinámica y continuamente cambia, avanza… ¿Habrá una segunda parte de tu guía de ciberseguridad actualizada?
Es posible que en unos años se pueda hacer una revisión e incluir temas que no se han tratado como criptografía o inteligencia artificial, donde el campo de la ciberseguridad cada vez está recurriendo más a este tipo de técnicas para la detección de amenazas.
José Manuel Ortega.
Otra de tus especialidades es el lenguaje Python. ¿Por qué crees que está de moda en el hacking ético y en la ciberseguridad?
Python es uno de los lenguajes más versátiles que se viene utilizando desde hace algunos años en la creación de herramientas orientadas al pentesting y hacking ético. La gran cantidad de módulos y paquetes para el desarrollo de este tipo de soluciones la hacen una de las mejores plataformas.
Con Python puedes desarrollar herramientas orientadas a la extracción de información de diferentes fuentes de internet como redes sociales, conexión con bases de datos de diferentes tipos, realizar auditorías a aplicaciones web, uso de aprendizaje automático para la detección de ataques y anomalías en una red.
También permite el desarrollo de herramientas desde el punto de vista defensivo y ofensivo gracias a capacidad para interactuar con los sistemas operativos para la ejecución de comandos o la obtención una shell reversa por poner algunos ejemplos.
Desde el punto de vista de la detección de amenazas y vulnerabilidades también podemos utilizar Python como lenguaje de scripting para obtener información sobre vulnerabilidades que puedan surgir en nuestra infraestructura y aplicaciones y correlacionar esta información con diferentes bases de datos de vulnerabilidades como CVE Y NVD para tener una primera visión de aquellas que pueden ser más críticas.
También haces conferencias a nivel internacional y alguno de tus libros se ha publicado en inglés. Teniendo en cuenta que es la eterna asignatura pendiente de nuestro país, ¿cómo has conseguido esto?
Pues la editorial me contactó a raíz de una conferencia que impartí en la EuroPython, que es una conferencia internacional de Python. Me ofrecieron escribir un libro tomando como base lo que había explicado en la conferencia y bueno, la decisión fue fácil ya que me gusta bastante escribir.
“Lo más importante es perderle el miedo a los ciberdelincuentes
y, desde el punto de vista de la seguridad, hacer un esfuerzo entre todos
para que cada día que pase ponérselo un poco más difícil.”
En mi caso, lo que más me ha costado han sido los procesos de revisión y estoy bastante contento, ya que publicar en inglés no es nada fácil. El tema del inglés cuesta un poco al principio, pero gracias al apoyo y al trabajo de la editorial al final el proyecto acaba saliendo y queda un buen trabajo que tiene mayor público objetivo que si lo publicara en español.
Eres un hombre muy dinámico. Vamos, que no paras. Es imprescindible que nos digas en qué estás metido en la actualidad, ¿qué estás preparando ahora mismo?
Pues ahora mismo sigo escribiendo y tengo previsto publicar un libro sobre Python con temas de Big data, ciencia de datos e inteligencia artificial que es otra temática que me atrae bastante y probablemente escriba una nueva edición del libro de seguridad en Python.
A nivel de conferencias, estoy viendo la posibilidad de presentar alguna ponencia relacionada con arquitecturas y seguridad en la nube a raíz de los estudios que estoy realizando en ciberseguridad.
Hasta aquí la entrevista a José Manuel Ortega, esperamos que os haya resultado interesante todo lo que dice y hace.
Si queréis recordar la primera parte de la entrevista, podéis leerla AQUÍ.
- Published in Congresos, Entrevistas, General, Noticias, Productos
J.M. Ortega: “Hay que tener formación reglada y luego complementarlo con asistencia a congresos.”
Nos acercamos a la figura de José Manuel Ortega, un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros… Algunos son de temática bastante profesional, como los dedicados a Python, pero otros están pensados para el gran público. Este es el caso del libro “Ciberseguridad. Manual práctico”, editado por Paraninfo.
En este mundo ligado a la ciberseguridad encontramos todo tipo de profesionales. Los hay que desarrollan sus aptitudes desde una formación reglada, ya sea técnica o empresarial. Otros lo hacen desde el mundo laboral, a costa de los cambios naturales de sus empresas. Y finalmente hay otras personas que llegan a la ciberseguridad desde el interés por la tecnología, lo que les ha llevado a ser auténticos hackers (en la definición que reivindicamos siempre desde TECNOideas) o frikis.
José Manuel Ortega es ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Ha impartido formación a nivel universitario y ha colaborado con la escuela oficial de ingenieros informáticos. Algunos de sus libros están relacionados con el lenguaje de programación Python, seguridad, docker y devops.
Publicamos la entrevista en dos fases. La primera hoy y la segunda la próxima semana.
“Lo más importante es tener una mente abierta y despierta
para aprovechar al máximo los congresos.
Todo va muy rápido y la cantidad de información es abrumadora.”
Nunca has trabajado realmente en empresas de ciberseguridad. ¿Cómo llegaste a este mundo?
Bueno, llevo trabajando en una empresa de ciberseguridad solo desde hace aproximadamente un año. Si bien es cierto que mi perfil es más de desarrollador que auditor de seguridad, me han interesado los temas de ciberseguridad sobre todo a raíz de trabajar en diferentes proyectos relacionados con la seguridad en aplicaciones para móviles y al descubrimiento del lenguaje de programación Python como una de las plataformas más usadas para el desarrollo de herramientas orientadas al pentesting. Gracias al conocimiento adquirido dentro de la ciberseguridad, he podido aplicarlos al desarrollo de arquitecturas y desarrollo seguro de aplicaciones.
Algunos autodidactas empiezan a introducirse en este mundo a través de encuentros, jornadas y congresos del sector. ¿Es un buen sistema?
No sólo es un buen sistema, sino que creo que es la mejor opción para conocer qué empresas hay, realizar networking con otros asistentes y estar al tanto de todo lo que se mueve en este sector. La mayoría de los congresos ofrecen talleres para introducirse en nuevas tecnologías y las charlas son impartidas por profesionales del sector. Lo más importante es tener una mente abierta y despierta para aprovechar al máximo este tipo de congresos. Las veces que he podido asistir tengo la sensación que todo va muy rápido y en ocasiones la cantidad de información es abrumadora. Lo difícil y complicado es cuando llegas a casa con todo lo que has aprendido y todo lo que te falta por aprender y entonces te preguntas ¿por dónde empiezo?
Participaste en la segunda edición de una de las cons decanas de España, la Navaja Negra. ¿Qué tal resultó la experiencia de las ponencias en general?
Navaja Negra es hoy por hoy una de las conferencias más importantes a nivel de ciberseguridad y participar en ella me abrió un mundo de posibilidades hasta ese momento desconocido para mí. Fue una de las primeras conferencias a las que asistí para dar una charla sobre seguridad en aplicaciones móviles y la experiencia fue muy buena. En los sucesivos años he estado en alguna ocasión como asistente y el nivel de las ponencias es muy alto.
Queremos recordar a todos los seguidores de nuestro blog, que este año se celebra la décima edición de esta conferencia. Se espera que sea una de las ediciones más espectaculares, porque vuelve trans dos años de sequía. Apuntaros las fechas: del 10 al 12 de noviembre en Albacete. Tenéis aquí toda la información sobre Navaja Negra 2022 .
¿Cómo ves la formación de ciberseguridad en España? ¿Qué les recomendarías a los jóvenes frikis amantes de la tecnología?
La formación en ciberseguridad ha crecido mucho en los últimos años y cada año es más amplia y variada en diferentes formatos como cursos online, másteres reglados y bootcamps. Para tener el perfil más completo posible mi recomendación es tener tanto formación reglada ya sea a nivel universitario o formación profesional y luego complementarlo con la asistencia a congresos que tengan relación con alguna de sus motivaciones.
A los más jóvenes pues comentarles que al final la motivación, actitud y
ganas de superarse son la clave, más allá de los conocimientos que
uno puede adquirir en los cursos o conferencias donde aquellos que
les gustan más cacharrear se encontrarán como pez en el agua con las competiciones CTF (Capture The Flag) y los talleres que se imparten.
¿Para quién está pensado el libro “Ciberseguridad. Manual práctico”?
La ventaja de este libro es que no es excesivamente técnico y tiene un público bastante amplio. Los primeros capítulos son de introducción y tienen un objetivo más divulgativo. Luego a partir del capítulo 5 se tocan temas más específicos donde el público objetivo va variando
al tratar temas sobre desarrollo seguro, hacking ético, investigación en fuentes abiertas
y centros de operaciones de seguridad. Lo escribí pensando en una línea que va desde lo más generalista a lo más específico, dando una visión global de lo que se puede encontrar un usuario que se introduce en la ciberseguridad, sin dejar de lado usuarios con conocimientos más específicos.
Hasta aquí la primera parte de la entrevista mantenida con José Manuel Ortega. En la próxima entrega os seguiremos mostrando interesantes temas relacionados con su actividad y sobre la seguridad de la información.
- Published in Congresos, Entrevistas, Formació, General, Noticias, Seguridad, Sistemas operativos
La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.
Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Published in Ataques / Incidencias, General, Normativa, Noticias, Seguridad
Buzoneo maldito y llave USB maliciosa
El ser humano es curioso por naturaleza. Pero a veces nos olvidamos que la curiosidad mató al gato. Recibir en el buzón una memoria USB que no hemos pedido nos llevará ineludiblemente a ponerla en nuestro ordenador para ver el contenido. ¡Cuidado! Seguramente albergará un ransomware. Y el falso remitente será un avispado ciberdelincuente.
Esta práctica, que parece sacada de una película de Bond, James Bond, acaba de ser una realidad en el Reino Unido. El tema es como sigue: uno recibe un paquete en su buzón. Al abrirlo hay una supuesta copia nueva y original de Microsoft Office Professional Plus (valorado en unos 400 euros) con una llave USB. Al poner el USB aparece un mensaje en el que se informa que tienes un virus. Y aparece un número de teléfono. Se bloquea el ordenador. El ransomware ha cumplido con su razón de ser. Solo queda llamar al teléfono en cuestión. Se piden los datos y la estafa es un hecho.
Martin Pitman es un experto consultor de la empresa especializada en seguridad cibernética, defensa y sector nuclear Atheniem. Pitman ha examinado el USB y el estuche de Microsoft y ha manifestado su sorpresa por lo bien que han copiado todos los elementos del paquete. Lo que implica que los ciberdelincuentes se han molestado en crear un producto de alta calidad y por lo tanto bastante caro. Pero con solo un puñado de estafados ya les sale a cuenta. Por su parte Microsoft declaró que la estafa era real.
Hay que decir que este método no es nuevo. El buzoneo con trampas varias ya había sido usado hace años por ciberdelincuentes. Esta práctica fue cayendo en desuso, porque los buzones cada vez están más vacíos. Sin embargo, la locura de comprar por internet en plataformas tipo Amazon, ha hecho que los delincuentes la recuperen. Para saber más sobre esta estafa, podéis leer un artículo de Sky News donde explican lo que ha sucedido en Gran Bretaña. Y si lo preferís, en nuestro país ha sido Computer Hoy la que le ha dedicado un artículo que podéis leer AQUÍ.
La curiosidad mata al gato decíamos al inicio. Y es que lo sabemos a ciencia cierta porque lo hemos probado. Hace unos años, esta empresa se dedicó a dejar en las oficinas de algunos de nuestros clientes una memoria USB con el título “Importe nóminas dirección”. La tasa de apertura fue del 98%. Debemos decir que esa actuación nuestra contaba con el beneplácito de la dirección. Fue una prueba para ver el grado de sensibilización de los trabajadores ante memorias desconocidas. Y por supuesto, no había el contenido anunciado.
Una vez más insistimos en la necesidad de usar el sentido común. Pensar unos segundos antes de realizar cualquier acción desconocida como abrir correos electrónicos o sus adjuntos es una práctica que debemos recomendar.
Imagen principal: Esa Riutta en Pixabay
- Published in Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Català 
Español