Seguridad de la Información

Por un Internet seguro

por

A finales de enero tuvo lugar el Día Internacional de la Protección de Datos con el objetivo de promover el conocimiento entre los ciudadanos sobre cuáles son sus derechos y responsabilidades en materia de protección de datos. Este día está impulsado por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los estados miembros de la Unión Europea.

Los Días Internacionales son un buen mecanismo para alertar y concienciar a los ciudadanos de temas importantes que nos afectan a todos. Conocemos días por temas sanitarios, cuestiones sobre los derechos humanos, el racismo, el feminismo y tantas otras causas nobles. Pues bien, la Protección de Datos tiene su día, 28 de enero, y el Internet Seguro, también: 9 de febrero. Del primero hablamos hace unos días (ver post) y del segundo hablaremos hoy.

El Día de Internet Seguro (“Safer Internet Day”) es un acontecimiento que tiene el apoyo de la Comisión Europea y que tiene como objetivo promover un uso seguro y positivo de las tecnologías digitales, en particular, entre niños y jóvenes. No tan solo se pretende la creación de un Internet más seguro, sino mejor, para convertirlo en un espacio donde todos hagamos un uso responsable, respetuoso, crítico y creativo de la tecnología. Y dirigido en especial a niños y jóvenes, un colectivo muy vulnerable y que resulta imprescindible formarlo como futuro pilar de la sociedad.

Referente en esta materia es INCIBE (Instituto Nacional de Ciberseguridad) y su portal is4k, INTERNET SEGURA FOR KIDS. Sus programas, ayudas y campañas son imprescindibles para que todos aprendamos a navegar más seguros en Internet. INCIBE trabaja para afianzar la confianza digital, elevar la Ciberseguridad y la resiliencia y contribuir al mercado digital de forma que se impulse el uso seguro de ciberespacio en España.

Coincidente con el Día de Internet Segura, Microsoft ha publicado su informe anual que titula “Índice de Civismo En línea” en el portal dedicado a promover el civismo digital. El titular más llamativo del estudio dice que España encabeza, a nivel mundial, los fraudes, las estafas y engaños en línea. Para ser nuestra primera inclusión en el estudio, los resultados no son muy esperanzadores y tienen bastante margen de mejora. Dice también el estudio que el civismo en Internet ha empeorado desde el comienzo de la pandemia y que un 34% asegura haber recibido contacto no deseado a Internet y un 26% afirma haber sido víctima de “sexting” (El sexting es una práctica que consiste en enviar mensajes con contenido erótico a través de dispositivos tecnológicos de manera voluntaria).

Conviene concienciarnos sobre los riesgos que comporta el mal uso de la tecnología. Todo lo beneficioso que resulta en tantos ámbitos, imprescindibles a estas alturas, se nos puede volver en contra por ignorancia o exceso de confianza. No dejemos que pase.

Cuidaos!

Pandemia, Ciberseguridad y Protección de Datos

por

La pandemia ha acelerado muchos procesos digitales, tanto a nivel particular como profesional y empresarial. Teletrabajo, videoconferencias, nube, transformación digital, etc. ya eran tendencias antes del Covid pero ahora se han hecho casi imprescindibles. Y en el nuevo escenario, la Ciberseguridad ha saltado a la primera plana.

Nuevas maneras de trabajar y hacer negocios han tenido que adaptarse y hacer un salto cualitativo en el uso de las tecnologías para poder sobrevivir. Además, hemos sido testigos de un fenómeno inaudito cómo es que hemos podido hacer un experimento sociológico a nivel global que era impensable hace un año. Si en enero le digo a un cliente que, en vez de venir al despacho, haremos una videoconferencia, lo más probable es que me hubiera quedado sin cliente. Y ahora hemos aprendido todos, incluso la gente mayor, que la tecnología nos abre un abanico enorme de posibilidades y que nada volverá a ser igual. Y para mejor.

Pero, claro, todo anverso tiene un reverso. Y un ejemplo, no el único, es el de la Ciberseguridad. Según la encuesta anual Digital Trust Survey 2021 de PwC, la pandemia ha obligado a las empresas a dar un salto en las tecnologías digitales para, en muchos casos, cambiar o reinventar sus modelos de negocio. Y esto está provocando un aumento de las brechas de seguridad que se encuentran en determinados escenarios (por ejemplo, en el teletrabajo) más expuestos que nunca a los ciberataques. La falta de medios, de preparación y de cultura digital, entre otros, sitúan a las empresas en un escenario muy delicado, frente al que deben hacer inversiones en Ciberseguridad y minimizar riesgos.

Porque las consecuencias de sufrir un ciberataque pueden ser devastadoras. No poder acceder a la información por un ataque de ransomware o que los datos de los que somos custodios (por ejemplo, los datos personales de los que somos responsables) se vean expuestos tendrá consecuencias en términos económicos y, a buen seguro, en términos de reputación con un coste incalculable. La empresa, incluso, puede incurrir en responsabilidad penal, derivada del delito de daños informáticos (art. 264 Código Penal) y del de revelación de secretos (art. 197 y siguientes CP), sin contar la responsabilidad civil subsidiaria de la persona jurídica que recoge el artículo 120.4 CP.

En resumen, pasada el necesario arrebato inicial en la que las empresas estaban comprensiblemente luchando por su supervivencia, hay que establecer las bases de desarrollo del negocio haciendo las correspondientes inversiones en infraestructuras tecnológicas, en cumplimiento de las diferentes normativas y, sobre todo, en cultura digital en el entorno de las personas. Sólo así nos garantizaremos el futuro.

¡Cuidaos!

Twitter, ¿a dónde vas?

por

Hemos conocido este semana, miércoles, que Twitter, la red social de los mensajes cortos, ha sido hackeada. Las cuentas de Jeff Bezos, Musk, Obama o Gates se han visto decididamente comprometidos. Esto, junto con la respuesta de la compañía al incidente, ha disparado todas las alarmas.

En los Estados Unidos ya lo han calificado de «tweet-tastrophe«. Y no es para menos. La brecha de seguridad ha afectado a unas 130 cuentas de personas relevantes. Y los hackers, según las primeras informaciones, han podido tener acceso total a un número indeterminado de estas cuentas.

Twitter puede tener actualmente unos 400 millones de usuarios y es la forma más rápida de comunicación de masas. Ningún otro medio puede competir. Y todo lo que tiene de bueno lo tiene de perverso en situaciones como ésta. Y perversidad en dos vertientes: la gravísima situación creada por un lado y, del otro, la irresponsabilidad de la compañía y su decepcionante respuesta al incidente.

Respecto a la primera, ahora se ha evidenciado el riesgo que supone que los líderes mundiales utilicen un producto comercial que no ha sido verificado por las autoridades de seguridad y que está en manos de una empresa privada. Imaginemos, por un momento, la importancia que puede tener para la cotización de Tesla en bolsa un tweet malintencionado tuitado, supuestamente, por Elon Musk. O para las economías mundiales si el tweet procede de un Bill Gates impostado. Y que decir de un tweet fake de Trump cuando los verdaderos ya nos ponen los pelos de punta. Desde el hundimiento de una compañía a un estallido económico, o vete a saber si sanitario si el tuit se refiere al Covid-19, hasta poner en peligro la seguridad mundial con tuits falsos cruzados entre Trump y Putin, por ejemplo.

Respecto a la responsabilidad de la compañía cabe decir que es máxima. Está claro que todo sistema es susceptible de ser hackeado pero para ello las empresas, y más cuando son así de relevantes, deben tener planes de contingencia que permitan minimizar, sino evitar, los posibles daños. Y en cualquier caso, si las cuentas son atacadas, nunca debería existir la posibilidad de que alguien tomara el control de la cuenta de un usuario cuando éste ha seguido todas las normas y ha aplicado sus medidas de seguridad. La irresponsabilidad de Twitter es estratosférica y absolutamente imperdonable.

Y la respuesta al incidente has sido absolutamente insuficiente. Sin comunicación, sin información, sin explicaciones, sin disculpas. Silencio total. Descontrol total. Y este no es el camino. Por eso preguntamos, Twitter, ¿a dónde vas?

Imagen Pixabay

Teletrabajo y Ciberseguridad en tiempos revueltos

por

Quizás el Covid-19 hará más por la transformación digital de la sociedad que todo lo que se ha hecho hasta ahora. Y tal vez, de golpe, nos damos cuenta de que ya no estamos en el imaginario País de Nunca Jamás de Peter Pan sino en un escenario VUCA [1] al que tenemos que hacer frente desde la responsabilidad. Y la Ciberseguridad es, sin duda, una materia que hasta ahora ha estado en un segundo plano y que tendrá mucho protagonismo a partir de ahora.

A partir de las medidas que se están imponiendo a la población para preservar su salud, el teletrabajo, forma de trabajar en la conectada sociedad del siglo XXI, se impone como clara alternativa a la habitual «presentismo», permaneciendo de una sociedad post industrial que cada vez tiene menos sentido para una gran parte de las empresas y los trabajadores.

[1] VUCA, es el acrónimo que se utiliza para describir los entornos caracterizados por la volatilidad, la incertidumbre, la complejidad y la ambigüedad. Este término procede de las siglas de las palabras inglesas volatility, Uncertainty, Complexity y Ambiguity.

Y Teletrabajo y Ciberseguridad son dos caras de la misma moneda. Y para que sea más seguro teletrabajar, os hacemos algunas recomendaciones a tener en cuenta.

    • Para la empresa
      • Disponer de una Política de Uso de Medios Tecnológicos, a disposición de los trabajadores
      • Política de Seguridad a través de un dominio
      • Disponer de una VPN (red privada virtual) que cifre las comunicaciones entre el equipo remoto y el servidor (prohibir el uso de redes públicas -aeropuertos, bares, etc.)
      • Revisar las credenciales de acceso (contraseñas). Comprobar que son seguras y cambiarlas con frecuencia
      • Implementar herramientas colaborativas como videoconferencia, chats, espacios de grupo, etc.
      • Mantener actualizados los servidores, routers, infraestructura de comunicaciones, etc.
      • Formar un equipo de comunicación + técnico que pueda resolver dudas, apoya e intervenir en caso de crisis
      • Formación de los trabajadores en la materia

 

    • Para el trabajador
      • Utilizar (a menos que no se pacte lo contrario) exclusivamente medios corporativos, siguiendo las indicaciones de la Política aprobada por la empresa.
      • Tener especial cuidado con la utilización de dispositivos propios (BYOD [1]): deben estar aprobados por la empresa y consentido por el trabajador (Política de Uso de Medios Tecnológicos)
      • Cifrar los dispositivos móviles (USBs, Discos duros, …) y las carpetas confidenciales en los portátiles
      • Tener mucho cuidado con las «fake news», el phishing [2], el scam [3], ficheros anexos, … El teletrabajo nos pone en una situación muy vulnerable (estamos en un lugar diferente, podemos tener problemas técnicos, distracciones, etc.) y tenemos que estar muy atentos a las amenazas.

Y, como siempre, prudencia y sentido común.

 

[1] Bring Your Own Device: traer el propio dispositivo
[2] Fraude de suplantación de personalidad
[3] Estafa nigeriana

COVID – 19: Lavarse las manos también en Ciberseguridad

por

Hemos aprendido estos días que la mejor profilaxis con el virus es lavarse las manos. Pues también debemos lavarnos las manos en el ámbito de la Ciberseguridad. Los cibercriminales no pierden ninguna oportunidad y con el coronavirus no es diferente.

Estos días, las redes llenas de noticias y consejos sobre el coronavirus y aunque muchos son adecuados y nos pueden ayudar, encontramos también todo tipo de engaños y estafas. Sí, a pesar de encontrarnos en una situación límite, hay gente sin escrúpulos decididos a sacar partido.

Pondremos un par de ejemplos. Uno muy reciente fue advertido por la empresa de seguridad Malwarebytes que encontró un sitio web que muestra un mapa de casos de coronavirus en todo el mundo, que estaba infectado con software malicioso. El sitio web infectado es una parte del sitio real de la Johns Hopkins University. Parece exactamente lo real; Si visitas el mapa con una vulnerabilidad en el navegador (porque, por ejemplo, no está actualizado) quedarás infectado, naturalmente no con Covidien-19, pero sí con un virus que puede poner en peligro tu empresa o tu vida personal, o las dos.

Otro ejemplo: las campañas de Phishing y otras estafas en cuenta del coronavirus. Los delincuentes se aprovechan del miedo, la ansiedad y la desinformación de los usuarios para enviar correos en nombre de supuestas instituciones o empresas con el ánimo evidente de estafar al receptor. Por ejemplo, los enviados supuestamente por la Organización Mundial de la Salud (OMS) con un link a una página de acceso falsa para intentar robar las credenciales de acceso del usuario. O correos vendiendo todo tipo de protecciones, reales o cibernéticas, que al final sólo quieren estafar.

Y con el virus ha venido un aumento masivo del teletrabajo. Esto supone generalmente entornos menos seguros (en casa no tenemos la infraestructura que tenemos en la empresa), nos faltan las rutinas que tenemos en el trabajo, nos cuesta más comunicarse con compañeros y, en definitiva, estamos más expuestos en términos de Ciberseguridad.

En estas circunstancias sólo podemos acudir a las instituciones de referencia y seguir sus indicaciones. En este caso, el INCIBE (Instituto Nacional de Ciberseguridad) para empresas y is4k por la familia (no olvidemos que estos días la gente joven, y los más pequeños, pasan muchas horas conectados, lo que quiere decir, expuestos).

Al final, como siempre, protegernos lo mejor que podamos y aplicar el sentido común.

Revisión Textos Legales Web