¿Cómo configuro el primer smartphone de mis hijos?
En la pasada Navidad, Santa Claus dejó a muchos niños, su primer smartphone, un regalo que esperaron con ansias y que ya están disfrutando, quizá sin mucho conocimiento de la tecnología que hoy tienen en sus manos. Porque, cuando se trata de la vida digital de sus hijos y el uso de estas tecnologías, la privacidad se convierte en una de las principales preocupaciones para 69% de los papás chilenos, de acuerdo al estudio de Kaspersky llamado Hábitos Digitales. A fin de protegerlos, algo que deben tener en cuenta los ayudantes de Melchor, Gaspar y Baltazar es que configurar adecuadamente los nuevos dispositivos móviles de los pequeños será de gran ayuda para reducir riesgos. El estudio revela que 3 de cada 10 niños chilenos recibe su primer dispositivo móvil entre los 8 y 9 años. Los países de América Latina están entre los principales objetivos de ciberataques a estos dispositivos pues entre agosto de 2022 y agosto de 2023, se registraron 5 ataques por minuto a smartphones y tabletas. Dado que los niños pueden llegar a ser aún más vulnerables a estos ataques si no cuentan con la protección necesaria, otras preocupaciones han crecido entre los padres de familia, por ejemplo, que sus hijos encuentren contenidos inapropiados para su edad, que sufran acoso en línea, que desarrollen una dependencia a los videojuegos o una percepción distorsionada de la realidad, y que su vida mental, física o social se vea afectada. Cinco sencillos pasos para configurar el primer smartphone de nuestros hijos: Podría interesarle: ¿Qué datos personales extrae de tu móvil Threads, la nueva red social de Meta? 3. Limita el tiempo de uso de los dispositivos. Para garantizar un equilibrio saludable, establece zonas y horarios libres de tecnología, tal vez durante la cena o las horas previas a dormir. Existen herramientas que te ayudan a delimitar el tiempo en el que tus hijos pueden usar sus dispositivos, ya sean 15 minutos, 1-2 horas o más; después de ese límite las apps se bloquearán. También puedes asignar una cantidad de tiempo a aplicaciones específicas, como sus juegos o aquellas que utilicen para sus tareas, además de ajustar periódicamente estos límites a medida que tus hijos crecen. 4. Controla el uso de Internet. Para prevenir el uso de Internet sin supervisión, desactiva el uso de datos móviles en los dispositivos de tus hijos y configura el acceso a la red WiFi de tu hogar. Esto debería ayudar a que los niños solo se conecten a Internet en casa. Si bien existen redes de WiFi gratis en varios lugares, es importante tener en cuenta que, comúnmente, estas redes no están protegidas, por lo que es muy fácil para los ciberdelincuentes interceptarlas y robar la información de quienes se conecten (contraseñas, sitios que visitan, contactos, etc). 5. Instala herramientas de control parental es de gran ayuda para que puedas filtrar el contenido, las webs no deseadas y las restricciones de aplicaciones por categoría y edad. También pueden apoyarte en la supervisión de la cantidad de tiempo que tus hijos pasan en línea y rastrear su ubicación actual. FUENTE: TRENDTIC. »CIBERSEGURIDAD. ¿CÓMO CONFIGURO EL PRIMER SMARTPHONE DE MIS HIJOS?» Trendtic.cl. 05/01/2024. (https://www.trendtic.cl/2024/01/ciberseguridad-como-configuro-el-primer-smartphone-de-mis-hijos/).
Estos fueron los 10 ciberataques más graves de 2023
La firma de seguridad ESET recopiló los 10 ciberataques más graves del año pasado y reveló las fallas que los hicieron posibles. En términos de ciberseguridad, los actores de las ataques prosperaron en un contexto de continua incertidumbre macroeconómica y geopolítica, utilizando todas las herramientas e ingenio a su disposición para abrirse paso a través de las defensas corporativas. Según el Data Breach Investigations Report (DBIR) de Verizon, los agentes externos son responsables de la gran mayoría (83%) de los ciberataques, y el beneficio económico es responsable de casi todas (95%). ESET, compañía líder en detección proactiva de amenazas, analiza los 10 de los mayores ciberataques de seguridad de 2023. “La mayoría de los ciberataques que aparecen en la lista de accidentes de seguridad de este año se deben al ransomware o a extorsionadores que roban datos. Pero no siempre es así. En ocasiones, la causa puede ser un error humano o un intruso malintencionado. Y a veces los ataques tienen un impacto desmesurado, aunque el número de víctimas sea relativamente pequeño”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica. Top 10 ciberataques a nivel global en 2023 No está claro cuántos datos se han sustraído ni cuántas víctimas hay. Pero algunas estimaciones apuntan a más de 2.600 organizaciones y más de 83 millones de personas. El hecho de que muchas de estas organizaciones fueran, a su vez, proveedores o prestadores de servicios de otras agravó el impacto. La culpa podría haber sido de un servidor Microsoft Exchange sin parches, aunque no está claro por qué la comisión tardó 10 meses en notificarlo al público. También afirmó que agentes de amenazas podrían haber estado sondeando su red desde agosto de 2021. Podría interesarle: Ciberdelincuentes atacarán Telegram en 2024: ¿cómo protegerse? El PSNI anunció que un empleado había publicado accidentalmente datos internos sensibles en el sitio web WhatDoTheyKnow en respuesta a una solicitud de libertad de información (FOI). La información incluía los nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos quienes trabajan en vigilancia e inteligencia. Aunque solo estuvo disponible durante dos horas antes de ser retirada, ese tiempo fue suficiente para que la información circulara entre los disidentes republicanos irlandeses, que la difundieron aún más. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo. Un investigador de seguridad se percató del error y lo notificó a la empresa, que corrigió el problema rápidamente. Sin embargo, no está claro durante cuánto tiempo habían estado expuestos los datos, ni si alguien había accedido a ellos previamente con malas intenciones. Irónicamente, el botín de datos contenía correos electrónicos y contraseñas procedentes tanto de filtraciones de datos notificadas anteriormente como de otras no notificadas. Es otro ejemplo de la necesidad de vigilar de cerca y continuamente los sistemas para detectar errores de configuración. Lea también: 3 tecnologías clave para combatir ciberdelitos en 2024 Al parecer, los datos se extrajeron de la base de datos de pruebas COVID del ICMR, e incluían nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del gobierno). Esto podría dar a los ciberdelincuentes todo lo que necesitan para intentar una serie de ataques de fraude de identidad. Aadhaar puede utilizarse en la India como identificación digital y para el pago de facturas y las comprobaciones de “Conozca a su cliente”. Al parecer, primero utilizaron técnicas de relleno de credenciales para acceder a las cuentas de los usuarios, básicamente utilizando credenciales previamente violadas que estos usuarios habían reciclado en 23andMe. Artículos relacionados: Las amenazas de ciberseguridad más relevantes en el segundo semestre del 2023 En el caso de los usuarios que habían optado por el servicio DNA Relatives del sitio web, la amenaza pudo acceder a muchos más datos de posibles familiares. Entre la información que aparecía en el volcado de datos estaban la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética. Según Google, estos alcanzaron un pico de 398 millones de peticiones por segundo (rps), frente a la mayor tasa anterior de 46 millones de rps. La buena noticia es que gigantes de Internet como Google y Cloudflare han parcheado el fallo, pero se ha instado a las empresas que gestionan su propia presencia en Internet a que sigan el ejemplo inmediatamente. Un segundo incidente revelado en abril afectó a unos 800 clientes, pero incluyó muchos más datos, como los PIN de las cuentas de T-Mobile, números de la seguridad social, datos de identificación del gobierno, fechas de nacimiento y códigos internos que la empresa utiliza para dar servicio a las cuentas de los clientes. Otros artículos: El secuestro de datos provoca pérdidas millonarias: qué pueden hacer las empresas para estar preparadas En el caso de MGM, consiguieron acceder a la red simplemente a través de una investigación en LinkedIn y, a continuación, mediante un ataque de vishing en el que se hicieron pasar por el departamento de TI y le pidieron sus credenciales. Sin embargo, el ataque tuvo un importante costo económico para la empresa. Se vio obligada a cerrar importantes sistemas informáticos, lo que interrumpió el funcionamiento de las máquinas tragamonedas, los sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días. La empresa calculó un costo de 100 millones de dólares. El costo para Cesars no está claro, aunque la empresa admitió haber pagado a sus extorsionadores 15 millones de dólares. Jack Teixeira, de 21 años, miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, filtró documentos militares muy delicados para presumir ante su comunidad de Discord. Posteriormente, estos documentos fueron compartidos en otras plataformas y reenviados por los rusos que seguían la guerra en Ucrania. FUENTE: »#Datos Estos fueron los 10 ciberataques más graves de 2023‘‘ Bancaynegocios.com. 05/01/2023. (https://www.bancaynegocios.com/datos-estos-fueron-los-10-ciberataques-mas-graves-de-2023/).
Ciberseguridad y colaboración, piezas esenciales en la evolución hacia la industria 5.0
La industria continúa siendo uno de los principales contribuyentes para la economía europea. Este peso específico denota su importancia, pero también, y a tenor de los cambios medioambientales, sociales, económicos y políticos que marcan la actualidad, exige una necesaria evolución con la que adecuarse a los nuevos tiempos. Ya no se trata simplemente de digitalizar el entorno industrial por encima de todo, sino de aspirar a un equilibrio entre los valores ecológicos, los recursos energéticos y la estabilidad social y humana. Es por eso que, en línea con lo comentado por la Comisión Europea en su informe »Industria 5.0: Hacia una industria europea sostenible, centrada en el ser humano y resistente”, Stormshield respalda un desarrollo industrial “equilibrado”, pero también seguro: La Industria 5.0 debe combinar sus principios cardinales –las personas, la sostenibilidad y la resiliencia– con una mayor concienciación en materia de ciberseguridad, junto con la integración de dispositivos robustos en el corazón de sus sistemas y una mayor colaboración entre los equipos humanos cibernéticos. Lea también: Perspectivas y tendencias para 2024: las 5 claves de la evolución en ciberseguridad La cooperación entre humanos y máquinas requiere en primer lugar tecnologías de seguridad sólidas si quiere afianzarse y garantizar la protección de los trabajadores. La confianza en la robótica que asiste y se mueve en torno a los empleados se evaporaría rápidamente ante ataques informáticos capaces de alterar el comportamiento de las máquinas colaboradoras. Y los escenarios potenciales son infinitos: el mantenimiento predictivo, la calidad de los procesos, la solidez de la infraestructura de red subyacente, la fiabilidad de los datos en los que se basarán las decisiones futura. Todo ello representa un desafío al que hay que enfrentarse hoy. Para abordar este reto, Stormshield propone dos escenarios; el primero basado en la renovación y en el que la cadena de producción se actualiza integrando la cuestión de la ciberseguridad en los propios equipos. Para ello debe optarse por componentes como los modelos SNi40 y SNi20 de cortafuegos de Stormshield, para segmentar los flujos y descubrir y analizar protocolos industriales, y por una protección estricta de las estaciones de trabajo con Stormshield Endpoint Security Evolution que bloquea cualquier proceso no autorizado, y realiza una gestión exhaustiva de los puertos USB, las redes WiFi y los accesos. Es la única manera de garantizar una defensa en profundidad sin eslabones débiles. Industria 5.0: dar respuesta a las necesidades de seguridad El segundo escenario de la Industria 5.0 se refiere a los dispositivos más recientes que incorporan la ciberseguridad como característica nativa, y donde el aspecto humano y un enfoque colaborativo son claves. Para superar y dar respuesta a las necesidades de seguridad de los equipos humanos cibernéticos y a las limitaciones operativas de los departamentos de Informática es necesario adoptar un rumbo conjunto. Esto va a permitir comparar puntos de vista y alcanzar compromisos que satisfagan todas las limitaciones, tanto las cibernéticas como las de OT. Stormshield lleva a cabo una política de apertura al ecosistema y colabora con otros operadores para desarrollar soluciones conjuntas, intercambiar información sobre las amenazas y mejorar colectivamente las defensas de sus clientes. FUENTE: Algora Martínez, Antonio. »Ciberseguridad y colaboración, piezas esenciales en la evolución hacia la industria 5.0» Cuadernosdeseguridad.com. 08/01/2024. (https://cuadernosdeseguridad.com/2024/01/industria-5-0-ciberseguridad/).
Aprende sobre ciberseguridad con este curso gratuito en línea con certificación
¿Te gustaría aprender sobre ciberseguridad, pero no sabes cómo puedes hacerlo? ¿Estás interesado en conocer cuáles son los conceptos más básicos de ciberseguridad para resguardar los datos y equipos personales, de tu empresa u otra organización? Aquí has llegado al lugar correcto, pues el día de hoy te traemos un curso gratuito en línea con el que podrás lograr esto, así que si quieres saber de qué se trata, cuáles son los temas que aborda y cómo puedes tomarlo, te invitamos a seguir leyendo, pues te contaremos todos los detalles a continuación. Características generales del curso El curso que te presentamos el día de hoy se denomina «Técnico en seguridad informática (análisis de riesgos)», este se oferta por la Fundación Carlos Slim mediante la plataforma ‘Capacítate para el empleo’, la cual aloja diversos cursos gratuitos en distintas áreas del conocimiento con la finalidad de que al final de la capacitación los participantes tengan las habilidades necesarias como para desarrollarse en un trabajo o poner un negocio relacionado a dicha capacitación. Podría interesarle: ¿Cómo están cambiando los roles de ciberseguridad y qué esperar? En lo que respecta al curso de ciberseguridad, este cumple con el objetivo de enseñar a los participantes todos los conocimientos básicos como para que sean capaces de blindar los datos y equipos de un sistema, así como dar soporte y mantenimiento a las redes de datos para un sistema seguro. De esta manera, se espera que al final del curso los estudiantes puedan: Sobre el curso, también es importante que consideres que este tiene una duración de 65 horas que puedes tomar a tu ritmo, asimismo, recuerda que al concluir todos los módulos de manera satisfactoria se te otorgará una constancia que acreditará tu participación en esta capacitación y tus conocimientos en ciberseguridad. ¿Cuáles son los temas que se abordarán en el curso? Nivel 1 Parte 2 Bloque 3 ¿Cómo puedo inscribirme al curso gratuito con certificación? Inscribirte a este curso es muy sencillo, pues lo único que debes de hacer es generar una cuenta en la plataforma ‘Capacítate para el empleo’ y con ello podrás comenzar con tu capacitación, se guardará tu avance y podrás descargar tu constancia de estudios una vez que termines el curso. Para más información del curso y realizar la inscripción consulta: Técnico en seguridad informática (análisis de riesgos), Capacítate para el empleo. FUENTE: ensedecienciaalan. »Aprende sobre ciberseguridad con este curso GRATUITO en línea con CERTIFICACIÓN» Ensedeciencia.com. 06/01/2024. (https://ensedeciencia.com/2024/01/06/aprende-sobre-ciberseguridad-con-este-curso-gratuito-en-linea-con-certificacion/).
Perspectivas y tendencias para 2024: las 5 claves de la evolución en ciberseguridad
El panorama de la ciberseguridad se encuentra en constante evolución y transformación. Los avances tecnológicos y la cada vez más conectada sociedad gracias a los dispositivos IoT evidencian un futuro en el que los riesgos son cada vez más altos. El año 2023 marcó un hito en la historia de la ciberseguridad al evidenciar la omnipresencia de la IA en numerosos aspectos tecnológicos y sus implicaciones en el ámbito de la seguridad digital. Pero, ¿qué sucederá en 2024? Los expertos dan las claves en la evolución de las tendencias ciberseguridad este próximo año. Mayor uso de la Inteligencia Artificial como defensa, pero también como arma para los cibedelincuentes. El creciente uso de la Inteligencia Artificial (IA) en el entorno empresarial ha llevado consigo tanto oportunidades innovadoras como riesgos significativos en el ámbito de la ciberseguridad. Los avances en IA han permitido a los ciberdelincuentes desarrollar tácticas más sofisticadas, aprovechando herramientas de IA generativa (GenAI) para identificar vulnerabilidades en sectores críticos de manera más eficiente. Podría interesarle: Ciberdelincuentes atacarán Telegram en 2024: ¿cómo protegerse? Esta evolución ha resultado en un aumento significativo de actores y vectores de amenazas de IA, acompañados por asistentes de código de IA que introducen nuevas vulnerabilidades en los sistemas. Ante esta realidad, las empresas se verán desafiadas a implementar estrategias de defensa cibernética basadas en IA para contrarrestar estas amenazas emergentes. Las redes 5G y el IoT serán objetivo prioritario para ataques a sectores fundamentales como el transporte, la salud o la industria. El año 2024 no solo estará definido por los avances en Inteligencia Artificial (IA) en el ámbito de la ciberseguridad. Las redes 5G continuarán siendo un objetivo prioritario para los ciberdelincuentes. El aumento del acceso a una diversidad de tecnologías interconectadas se vislumbra como una oportunidad inminente para que estos actores encuentren nuevos puntos de vulnerabilidad y compromiso en la infraestructura digital. La posibilidad de ataques dirigidos a dispositivos IoT y a las redes 5G plantea riesgos graves para sectores cruciales como el suministro de petróleo o gas, el transporte, la seguridad pública, las finanzas y la atención médica, como enfatizan varios especialistas en ciberseguridad. En 2024, los ciberataques podrían evolucionar de ser incidentes aislados que desafían a empresas de todos los tamaños, a convertirse en auténticas catástrofes físicas con impactos devastadores. Desinformación en el ámbito electoral, ataques al ciberespacio y sofisticación del ransomware Los ataques cibernéticos siguen ampliando su alcance en diferentes ámbitos y parece que va a seguir esa tendencia en este nuevo año. En el ámbito electoral, el año 2024 se vislumbra como un periodo electoral sin precedentes a nivel global, con una cifra récord de países, al menos 76, preparándose para celebrar elecciones. En España, el calendario electoral dará inicio con los comicios autonómicos en Galicia programados para el 18 de febrero. Además, en este mismo año, se llevarán a cabo elecciones al Parlamento Europeo y las muy esperadas elecciones presidenciales en los Estados Unidos. La ciberseguridad estará marcada por la desinformación propagada en las redes sociales, que seguirá dañando la integridad de procesos electorales mediante campañas destinadas a influir en la opinión pública y socavar la confianza en los sistemas democráticos. Además, en el espacio se ha observado un crecimiento notable en los ataques cibernéticos que también seguirá evolucionando en este 2024. Estos ataques, no solo se dan en programas generales, sino también en una carrera cibernética que involucra a satélites y vehículos espaciales de próxima generación. Esta expansión de amenazas también se refleja en la evolución del ransomware, del que se prevé un enfoque más sofisticado que permita el acceso y la gestión de identidades mediante tácticas avanzadas de phishing y métodos lanzados en redes sociales. Asimismo, los ataques a la cadena de suministro seguirán en crecimiento y evolución, con los desarrolladores siendo el objetivo primordial a través de los administradores de paquetes de software. Nuevas regulaciones y normativas en torno a la ciberseguridad Las instituciones a nivel global como la Unión Europea seguirán trabajando para establecer regulaciones que contrarresten los posibles abusos en el ámbito tecnológico. Ejemplos emblemáticos como la NIS2, la Data Act y la AI Act de la Unión Europea se han convertido en pilares fundamentales en la creación de marcos regulatorios orientados a fortalecer la ciberseguridad. Así, en este 2024, por ejemplo, todos los fabricantes de vehículos deberán cumplir normativa de ciberseguridad WP.29 y la Comisión Europea espera que la Ley de Ciberresiliencia se adopte antes del fin de este 2024. Estas normativas no solo buscan impulsar la seguridad digital, sino también mejorar la resiliencia ante posibles amenazas cibernéticas. El CISO tendrá un papel más importante y decisivo en las empresas El año entrante podría marcar un punto de inflexión para el rol de los Directores de Seguridad de la Información (CISO) dentro de las empresas. Con el creciente poder y un rol cada vez más amplio que han venido desempeñando en los últimos años, las nuevas regulaciones europeas enfatizan la importancia y relevancia que esta figura ostentará en el seno de las organizaciones. Este cambio deberá otorgar un papel destacado al CISO, no solo como un guardián de la seguridad de los sistemas, sino también como un actor esencial para la protección integral del negocio en un entorno tecnológico en constante evolución. FUENTE: Dominguez, Luz. ‘Perspectivas y tendencias para 2024: las 5 claves de la evolución en ciberseguridad» Bitlifemedia.com. 08/01/2024. (https://bitlifemedia.com/2024/01/perspectivas-para-2024-las-5-claves-de-la-evolucion-en-ciberseguridad/).
Ciberdelincuentes atacarán Telegram en 2024: ¿cómo protegerse?
Con el avance de ChatGPT y otras aplicaciones de inteligencia artificial, los ciberdelincuentes estarán más ‘capacitados‘ que nunca, y atacarán apps de mensajería como Telegram. La inteligencia artificial seguirá progresando en 2024 y con ella los desafíos en áreas críticas para empresas y usuarios, como la ciberseguridad, que este año tendrá ‘hackers’ apuntando a las aplicaciones de mensajería más utilizadas, como Telegram. Varios laboratorios de firmas de ciberseguridad, como ESET Latinoamérica, ya analizaron las amenazas que más impacto tendrán en 2024 y destacan que el cibercrimen posará su mirada en los chats de los usuarios, hará campañas de espionaje y mejorará sus troyanos bancarios. “En el vertiginoso paisaje digital de América Latina, será un año desafiante para la seguridad informática. Mientras la tecnología avanza, también lo hacen las amenazas cibernéticas», comenta el jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez. 1. Cibercrimen en aplicaciones de mensajería Cibercrimen en aplicaciones de mensajería Firmas como ESET esperan que los ciberdelincuentes apuntarán sus actividades de estafa en aplicaciones como Telegram y plataformas similares. También se espera que una vez ‘secuestrados’ los datos de los usuarios, estos se vendan libremente en la Dark Web, aquel espacio de la internet oscura que se presta para ilícitos. “El principal reto radicará en encontrar un enfoque que logre armonizar la seguridad digital con la preservación de la libertad individual», dice Gutiérrez Amaya de ESET. ¿Cómo atacarán los hackers en Telegram o WhatsApp? Básicamente, utilizarán mensajes falsos de ingeniería social, sobre millonarios premios o loterías de visas; y también llamadas engañosas de números extranjeros y con contactos que no existen, o creados con inteligencia artificial. 2. La IA en escena Con el avance de ChatGPT y otras aplicaciones que incorporan tecnologías de inteligencia artificial generativa, se abre una ventana de oportunidades y peligros. Por un lado, las empresas pueden implementar modelos de lenguaje avanzados para detectar amenazas. Pero por el otro, actores malintencionados pueden orquestar ataques basados en la ingeniería social aún más sofisticados. Con las herramientas de inteligencia artificial generativa, algunas hasta gratuitas, se ha demostrado lo sencillo que puede ser generar correos electrónicos, mensajes o llamadas automatizadas que imiten de manera convincente a usuarios legítimos. Así que en 2024 dude de casi todo lo que recibe, como una fotografía inversímil del papa Francisco pidiendo ayuda en su iglesia, o de una hermosa modelo invitándolo a un evento. 3. Troyanos bancarios Los cambios identificados durante este año en la forma de propagarse y el diseño de los troyanos bancarios indican que este tipo de amenazas seguirán vigentes y evolucionarán. Desde ESET esperan una mayor sofisticación en técnicas de evasión, como el uso de técnicas de camuflaje y la exploración de vulnerabilidades específicas de la región. Lea también: 3 tecnologías clave para combatir ciberdelitos en 2024 ¿Qué es un troyano bancario? Técnicamente, es un tipo de virus o archivo malicioso que infecta un sistema y su fin es robar datos de la banca en línea, sistemas de pago electrónico y tarjetas de débito o crédito. Por ello, las empresas de ciberseguridad resaltan que la primera línea de defensa es el usuario o cliente, quien debe tener buenas prácticas de ingreso al sistema, es decir, una clave robusta y estar alerta a engaños que lleguen en correos electrónicos. 4. Ojo a los cascos virtuales El «desenfrenado» uso de códigos QR y los cascos y gafas de realidad virtual y mixta serán otro de los focos de la ciberseguridad. La firma de ciberseguridad Panda señala en su web que en 2024 «veremos cómo un investigador o un pirata informático malintencionado encuentra la manera de recopilar o acceder a los datos de los sensores de los auriculares y recrear el entorno en el que juegan los usuarios». Estos cascos ofrecen una gran cantidad de información nueva y personal que puede ser robada, monetizada y utilizada como arma por los malhechores, por ejemplo, el diseño o ubicación exacta del hogar. Claves de protección Si bien un buen antivirus es esencial para proteger un computador o teléfono inteligente, hay también otras herramientas de protección para evitar ser víctima de ciberdelitos. La mayoría de ellos depende del sentido común del usuario. FUENTE: Redacción Primicias. »Ciberdelincuentes atacarán Telegram en 2024: ¿cómo protegerse?». 08/01/2024. (https://www.primicias.ec/noticias/entretenimiento/tecnologia/ciberdelincuentes-telegram-apps-virus/).
12 métricas clave de ciberseguridad y KPI que las empresas deben seguir
Los gerentes de seguridad de TI deben monitorear los esfuerzos de ciberseguridad y asegurarse de que sean efectivos. Estas 12 métricas y KPI ayudarán a mostrar qué funciona y qué no. El seguimiento de las métricas y los KPI de ciberseguridad también ayuda a tener una idea del panorama de amenazas que enfrentan las empresas. Y en función de las métricas, la estrategia general de ciberseguridad de una empresa se puede cambiar según sea necesario para bloquear las amenazas actuales y reducir el riesgo cibernético a largo plazo. Veamos algunas de las principales métricas operativas y KPI a seguir y por qué hacerlo es una parte esencial del proceso de ciberseguridad. ¿Por qué es importante realizar un seguimiento de las métricas de ciberseguridad? Comprender la exposición de una empresa a los riesgos de seguridad es la razón principal para realizar un seguimiento continuo de las métricas de ciberseguridad. Al hacerlo, se proporciona una visión histórica de los eventos de seguridad que han ocurrido y dónde ocurrieron en las redes y sistemas de TI, así como información actualizada sobre la eficacia con la que funcionan las herramientas, los procesos y los equipos de seguridad. Las métricas de monitoreo también permiten a los equipos de seguridad comprender mejor dónde los actores de amenazas intentan actualmente obtener acceso a la infraestructura de TI. Este conocimiento ayuda a los equipos a priorizar dónde se deben tomar medidas contra los ataques en curso y a implementar una combinación de herramientas y procesos que pueden detener ciberamenazas inminentes antes de que afecten a una organización. Lea también: 10 claves para diseñar una auditoría efectiva de ciberataques Finalmente, las métricas y los KPI son excelentes herramientas para establecer objetivos futuros y planificar cómo mejorar el rendimiento de la seguridad. Por ejemplo, los gerentes de seguridad pueden usar informes diarios o semanales que contienen varias métricas para ayudar a sus equipos a estar más preparados para los ataques cibernéticos, o para tener más ojos en las amenazas y partes vulnerables de la infraestructura cuando sea necesario. Teniendo esto en cuenta, aquí hay 12 métricas de ciberseguridad que las empresas deberían seguir. 1. Intentos de intrusión detectados A primera vista, los intentos de intrusión detectados pueden no parecer una de las estadísticas de seguridad de TI más importantes. Sin embargo, sí presenta un panorama amplio del número total de amenazas que enfrenta una empresa. Un problema con la seguridad de TI es que cuando los mecanismos de prevención de amenazas funcionan y ocurren pocos incidentes, los líderes empresariales tienden a asumir que la organización ya no es un objetivo. Compartir datos que demuestren lo contrario es una buena manera de demostrar que las amenazas a la ciberseguridad siguen existiendo y, en la mayoría de los casos, crecen todo el tiempo. 2. Número de incidentes de seguridad Un aspecto clave de la gestión de la seguridad de TI es monitorear si los cambios en las herramientas y procesos resultan en mejoras. Una gran parte del presupuesto de TI suele gastarse en ciberseguridad, por lo que las métricas que se rastrean deben indicar que el dinero se está utilizando de manera inteligente. La recopilación de datos sobre la cantidad y la tasa de incidentes de seguridad durante períodos específicos puede ayudar a los CISO y otros líderes de ciberseguridad a asegurarse de que las defensas implementadas tengan un impacto positivo en la protección de los activos digitales de una organización. 3. Niveles de gravedad del incidente Comprender el nivel de gravedad de una intrusión cibernética o un robo de datos ayudará a priorizar las acciones para garantizar que los incidentes que paralicen el negocio no continúen. Esta métrica también se puede utilizar a lo largo del tiempo para ver si las nuevas herramientas de seguridad o los procesos actualizados están reduciendo la cantidad de incidentes de alta gravedad. 4. Tiempos de respuesta a incidentes La velocidad es de vital importancia cuando se trata de identificar y abordar las ciberamenazas. El seguimiento de los tiempos de respuesta a incidentes permite a los administradores de seguridad ver qué tan efectivos son sus equipos para responder a las alertas y ponerse a trabajar en las amenazas. Con esa información, los gerentes pueden concentrarse en reducir los tiempos de respuesta si no son lo suficientemente rápidos. Además de monitorear las respuestas a amenazas individuales, el tiempo medio de respuesta (MTTR) comúnmente se calcula como un promedio. El tiempo medio de detección, o MTTD, es un promedio relacionado para identificar ataques y otras amenazas. 5. Tiempos de remediación de incidentes Responder rápidamente a un incidente de ciberseguridad es sólo la mitad de la historia. La otra mitad se relaciona con la velocidad a la que el malware u otra amenaza identificada puede aislarse, ponerse en cuarentena y eliminarse por completo de los equipos de TI. Algunos profesionales de la seguridad utilizan alternativamente MTTR en este contexto, como tiempo medio para remediar. Si los tiempos de remediación se retrasan, es una señal clara de que se deben realizar cambios en un programa de seguridad. 6. Número de falsos positivos y negativos El campo de la ciberseguridad se basa en varias herramientas que automatizan la identificación de malware o comportamientos sospechosos y alertan a los equipos de seguridad sobre amenazas. Sin embargo, estas herramientas requieren ajustes y mantenimiento regular para evitar que marquen por error anomalías que podrían parecer una amenaza pero que son benignas, o que pasen por alto incidentes de seguridad reales. El seguimiento de los falsos positivos y negativos ayuda a los equipos a determinar si las herramientas se han configurado y ajustado correctamente. 7. Tiempos de respuesta de los parches de vulnerabilidad Es bien sabido que una de las mejores formas de proteger el software crítico para el negocio es parchar los sistemas operativos y las aplicaciones tan pronto como los proveedores dispongan de correcciones de errores. El seguimiento de la rapidez con la que los equipos de ciberseguridad instalan parches de software muestra la eficacia de esta práctica crítica para evitar riesgos. 8. Resultados de la evaluación de vulnerabilidad Las herramientas de escaneo de vulnerabilidades ejecutan pruebas en sistemas de TI
Si no quieres cookies tendrás que pagar. Este es el Internet que nos espera a partir de este enero
El 11 de enero de 2024 es la fecha límite marcada para que las empresas implementen la nueva actualización dictada por la Agencia Española de Protección de Datos (AEPD) relativa al uso de las cookies. Se trata de la segunda actualización de su guía que se realiza en los últimos tres años, lo cual denota los grandes cambios que está padeciendo la publicidad online en plena era de la digitalización. La Guía de la AEPD se actualiza con la pretensión de adaptarse a las nuevas Directrices 03/2022 sobre patrones oscuros fijadas por el Comité Europeo de Protección de Datos (CEPD), de tal modo que el usuario pueda tomar decisiones libremente sobre el tratamiento de sus datos con las cookies. No obstante, bajo ningún concepto, su decisión podrá verse frenada por patrones de diseño de manos de editores de sitios web o aplicaciones. Con la nueva actualización de la Guía de la AEPD, se pone de manifiesto el valor de aportar información relativa a cualquier tratamiento de datos de forma sencilla y accesible. Así pues, se fijará un consentimiento más libre e informado por parte del usuario. La aceptación de las cookies no podrá otorgarse bajo presión, sino respetando el derecho a la libertad de expresión y de opinión libre del usuario. De este modo, el acceso a determinados servicios básicos no podrá estar condicionado a que el usuario aceptase el uso de las cookies. Aceptar las cookies o pagar por acceder a la web Esta es la disruptiva a la que se enfrentan las empresas de todos los ámbitos a partir del próximo año. Comercialmente, en términos de negocio, será una decisión con pleno sentido y que reportará altas tasas de rentabilidad económica. No obstante, se desconoce por el momento si todos los medios se pasarán a este nuevo sistema o si de lo contrario se mostrarán reacios al mismo. Y es que cada entidad podrá adoptar la solución que mejor se adaptase a sus intereses y modelo de negocio. Podría interesarle: Privacidad y protección de datos en la era de la digitalización. Retos legales para las empresas La versión anterior de la guía recogía la posibilidad de que si no se aceptaban las cookies se impidiese el acceso al sitio web o aplicación, o bien, la utilización total o parcial del servicio como alternativa si el usuario no quería aceptar las cookies. Pero ahora, la AEPD abre las puertas a los ‘Paywalls’, una práctica que no se sabe cómo encajará entre los usuarios. De este modo, si el usuario no aceptase el uso de las cookies, la web estará en su pleno derecho, como alternativa siempre, de exigirle un pago para poder acceder a la web o aplicación y utilizar sus servicios. Pese a todo, la AEPD aún no ha especificado las condiciones adicionales de este sistema. No obstante, si se tienen en cuenta los criterios de otras autoridades de protección de datos europeas como la francesa o la austriaca, se recomendará un importe moderado y no gravoso. De este modo, el usuario no verá coartada, en ningún momento, su libertad de elección. Otros acuerdos de la nueva actualización de la Guía: banners de cookies Con respecto a los banner de cookies (CMP), será obligatorio que la información de la primera capa incluyese la opción de rechazar las cookies. Por consiguiente, se suprimen los banners o CMPs que únicamente daban dos opciones: ‘ACEPTAR’ o ‘CONFIGURAR COOKIES’. Ambas opciones deberán presentarse de forma clara y no engañosa para el usuario, en la misma capa y al mismo nivel, tiempo, colores y sin contrastes engañosos. Las cookies de personalización acordadas por el usuario no precisarán consentimiento Aquellas cookies capaces de recordar las preferencias del usuario para que pueda acceder a un servicio concreto, partiendo de unas características predefinidas y acordes a sus preferencias (idioma, aspecto, contenidos, región o tipo de navegador) no exigirán un consentimiento explícito. La anterior versión de la Guía de la AEPD ya recogía que una vez que el usuario daba su aprobación sobre el uso de determinadas cookies (moneda de transacción o idioma), no era necesario obtener siempre el consentimiento para el uso de sus datos. A partir de ahora, la nueva versión de la Guía de la AEPD recoge que la las cookies de preferencias que afectan a la interfaz de usuario no tendrán obligatoriamente que ser de sesión. Y que supondría una molestia para el usuario tener que personalizar sus preferencias cada vez que accediese a un sitio web o aplicación. De igual modo, la actualización de la Guía de la AEPD matiza que si se desean utilizar las cookies para otros fines, como por ejemplo personalizar contenidos publicitarios o elaborar un perfil de usuario, será necesario contar con su consentimiento en todo momento. Cuando es el editor el que adopta las decisiones sobre las cookies de personalización, en base a la información que obtiene del usuario, deberá informarle sobre ello y que éste pudiese aceptarlas o rechazarlas. No obstante, tampoco podrá emplearlas con otros fines. FUENTE: Delgado, Sergio. »Si no quieres cookies tendrás que pagar. Este es el Internet que nos espera a partir de este enero» Elblogsalmon.com. 27/12/2023. (https://www.elblogsalmon.com/economia/no-quieres-cookies-tendras-que-pagar-este-internet-que-nos-espera-a-partir-este-enero).
Privacidad y protección de datos en la era de la digitalización. Retos legales para las empresas
La privacidad y protección de datos se han convertido en aspectos cruciales para las empresas en la era digital, donde la información fluye a la velocidad de la luz y la interconexión es la norma. Este nuevo y cambiante escenario expone a empresas de todos los sectores a abordar diariamente desafíos legales, que deben ser abordados con una estrategia de cumplimiento efectiva, práctica y de acuerdo con las implicaciones legales del país o la región. Tener a disposición profesionales que han realizado un máster en abogacía se ha convertido en algo prioritario para las empresas para poder afrontar con mayor garantía el escenario actual. Cumplimiento legal en materia de privacidad y protección de datos La base de la privacidad en la era digital reside en un cumplimiento legal muy riguroso. Dado el amplio margen de actuación que tanto los particulares como las empresas han encontrado en Internet, la normativa debe ser muy exigente y esclarecedora. Por ello, se han puesto sobre la mesa numerosas leyes y regulaciones que establecen los estándares que las empresas deben seguir para proteger la privacidad de los individuos. Podría interesarle: BBVA, Vodafone, Digi o la organizadora del Mobile World Congress, entre las empresas más multadas en España por incumplir el RGPD en 2023 A nivel europeo, se ha creado el Reglamento General de Protección de Datos (GDPR) en la Unión Europea, una norma que regula el buen manejo de los datos por parte de las empresas. También tiene asociadas una serie de fuertes sanciones por el incumplimiento. En España, este aspecto se rige por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Riesgos de incumplimiento No cumplir con las leyes de privacidad y protección de datos puede tener consecuencias muy graves para las empresas, que se exponen a multas significativas que alcanzan, en el ámbito europeo, los miles de millones de euros. Además de la sanción económica, el daño a la reputación y la pérdida de la confianza del cliente pueden ser igualmente perjudiciales. Estrategias de cumplimiento y mejores prácticas Ante estos riesgos, las empresas deben adoptar estrategias efectivas de cumplimiento y seguir las mejores prácticas en privacidad y protección de datos, de acuerdo con las especializaciones en derecho obtenidas por parte de los profesionales jurídicos. Esto incluye la implementación de políticas internas sólidas, la designación de un oficial de privacidad, la formación continua del personal o la transparencia con los usuarios. Muchas compañías optan por realizar evaluaciones o auditorías del impacto en la privacidad, lo que ayuda a identificar y abordar los riesgos antes de que se conviertan en problemas legales. Impacto de la digitalización en la privacidad La digitalización y las tecnologías emergentes han transformado la forma en que los ciudadanos interactúan con la información. Desde el auge de las redes sociales hasta la inteligencia artificial, cada avance tecnológico presenta nuevos desafíos para la privacidad y protección de datos. El análisis de grandes cantidades de datos, el seguimiento de la actividad en línea y la automatización plantean preguntas sobre cómo equilibrar la innovación con la privacidad. Las empresas deben adaptarse constantemente para cumplir con las leyes cambiantes y abordar las preocupaciones éticas en una era digital que vive en constante evolución. Beneficios de una formación en abogacía especializada Estos retos legales para las empresas abren la puerta a profesionales que conocen cómo proteger la privacidad en internet. En ese sentido, los abogados especializados en privacidad en internet son esenciales para ayudar a las empresas a navegar por el complejo panorama legal. Este colectivo profesional puede formarse en los diferentes másteres en abogacía, con especialización en nuevas tecnologías y propiedad intelectual, y que brindan a los profesionales las habilidades necesarias para comprender y abordar los problemas específicos de la privacidad y protección de datos en la era digital. Estos programas educativos proporcionan conocimientos actualizados sobre las leyes y regulaciones cambiantes, y preparan así a los abogados para asesorar a las empresas de manera efectiva y proactiva en esta materia. En esta guía sobre privacidad y seguridad en Internet puedes encontrar más información. FUENTE: Redacción DJ. »Privacidad y protección de datos en la era de la digitalización. Retos legales para las empresas» Diariojuridico.com. 25/12/2023. (https://www.diariojuridico.com/privacidad-y-proteccion-de-datos-en-la-era-de-la-digitalizacion-retos-legales-para-las-empresas/).
