Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas
La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los negocios, como la pérdida de datos, la interrupción de las operaciones o el incumplimiento normativo. También puede afectar directamente a sus ingresos, dañar su reputación o socavar la confianza de los empleados, clientes y proveedores. Por este motivo es importante que los directivos comprendan la importancia que tiene la Ciberseguridad para las empresas y tomen las medidas adecuadas para proteger sus activos digitales. El problema del lenguaje en Ciberseguridad En cambio, según un estudio reciente, el 44% de los directivos españoles no prioriza la Ciberseguridad en sus empresas debido al lenguaje confuso que se utiliza en este sector. En concreto porque “el lenguaje utilizado es confuso y obstaculiza la comprensión de las amenazas”, según recoge Europa Press Contenido relacionado: Mejores prácticas de Seguridad de datos que todo CISO debería conocer Esto a pesar de que el 45% de los ejecutivos de grandes empresas en España es consciente de que las ciberamenazas son el «peligro más grande» que puede sufrir su empresa. Cómo salvar la barrera del lenguaje Para salvar la barrera del lenguaje, del argot profesional en el ámbito de la Ciberseguridad, es fundamental saber comunicarse de manera efectiva. No solo con los directivos; también con el público en general, incluyendo los jóvenes. Además, para incrementar la comprensión y concienciar sobre la importancia de la Ciberseguridad, los expertos pueden realizar cursos y talleres de formación dirigidos a directivos. Estas sesiones pueden ofrecer: Más allá del lenguaje: la importancia de la Ciberseguridad para las empresas La Ciberseguridad es un elemento imprescindible para proteger de ataques maliciosos los datos, la información, los procesos y las operaciones de las empresas. También sistemas tecnológicos e informáticos, los móviles y las redes de comunicaciones. Aunque nunca existe el 100% de seguridad, la mejor manera de garantizar la máxima protección es a través de servicios profesionales de ciberseguridad. También aplicar buenas prácticas en seguridad y formar y concienciar a los empleados para que las adopten con el fin de asegurar la máxima protección posible. Lea también: Separados por un mismo lenguaje: ciberseguridad y directivos no se entienden Pero, por encima de todo, es importante que los directivos comprendan la importancia de la Ciberseguridad más allá del lenguaje, ya que es relevante para todos los aspectos —incluyendo la continuidad— de la empresa. La Ciberseguridad debe ser una prioridad estratégica y empresarial. FUENTE: Palou, Nacho. »Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas» Empresas.blogthinkbig.com. 01/06/2023. (https://empresas.blogthinkbig.com/como-el-lenguaje-pone-en-riesgo-la-ciberseguridad-de-las-empresas/).
Mejores prácticas de Seguridad de datos que todo CISO debería conocer
Ser el responsable de la información y la Seguridad de los datos de una organización – CISO – es una tarea ardua, sobre todo sabiendo que la cuestión no es si se producirá un ciberataque, sino si se producirá cuando usted esté a cargo. Ya sea una filtración masiva de datos que llegue a los titulares de los periódicos o un simple error humano que ponga en jaque todas sus operaciones, sus finanzas y su reputación se verán afectadas durante años. Según un estudio de IBM, el coste medio de una filtración de datos se estima en 3,92 millones de dólares. Las empresas hacen malabares para integrar las iniciativas en materia de Seguridad de datos con sus propias estrategias organizativas. Como CISO, entender mejor el Negocio permitirá tomar decisiones estratégicas acerca de los procesos de protección de los datos. A continuación, proponemos algunas buenas prácticas que los CISOs y otros profesionales de Seguridad pueden implementar en sus organizaciones. 1. Piense qué necesita proteger y por qué Todas las decisiones en materia de Seguridad de datos deben someterse a la siguiente pregunta: ¿qué necesita proteger y por qué? Si no conoce la respuesta a estas dos preguntas tan genéricas, no vaya más allá. Disponer de las respuestas le permitirá empezar a desarrollar su estrategia, a la par que se mantiene enfocado en la misión organizacional de su empresa. 2. Conozca qué tipos de datos tiene y dónde se encuentran Antes de tomar ninguna decisión para proteger su información confidencial, es fundamental saber dónde se alojan estos datos. ¿On-premise, en la nube, en entornos de terceros? Audite dónde se encuentran sus datos y documéntelo. En un estudio reciente llevado a cabo por Fortra, los CISOs coincidieron en que la visibilidad de los datos constituye la mayor vulnerabilidad para la ciberseguridad. Después de todo, ¿cómo pueden las empresas controlar y administrar sus datos de forma eficiente si no saben qué tipos de datos tienen, dónde se alojan, cómo se comparten y quién tiene acceso a ellos? Lea también: Las 8 Mejores Prácticas Para La Formación En Protección De Datos Conocer estos aspectos en detalle empodera a las empresas a la hora de gestionar y controlar su información, y permite adoptar una solución tecnológica más centralizada y efectiva. 3. Clasifique su información Para empezar con buen pie, es necesario identificar y clasificar qué tipo de datos se deben proteger, incluida la información crítica no estructurada, como la propiedad intelectual. Con estas medidas, también asegura los parámetros básicos de control y administración necesarios para ayudar a garantizar el Cumplimiento normativo. Contenido relacionado: El primer error de la ciberseguridad y cómo solventarlo a través de la estrategia CSaaS Las organizaciones deben adherirse a un número cada vez mayor de requisitos (normativas, leyes y estándares de Cumplimiento) sin disponer de un contexto sobre qué información necesita administrarse y protegerse. Tanto si necesita proteger información pública, financiera, de identificación personal (PII) como de otro tipo, clasificar la información sienta las bases para poder añadir las capas de Seguridad extra necesarias para seguir protegiendo la información en todas sus operaciones. La clasificación de datos básicamente sirve a modo de señal de advertencia durante el tránsito de la información, por ejemplo, aplicando etiquetas de metadatos a la información confidencial. 4. Conozca el flujo de sus datos Una vez sepa qué tipo de datos administra, necesitará saber de dónde vienen, y también a dónde se dirigen en términos geográficos. Hay que tener en cuenta las normativas nacionales e internacionales que deben cumplirse a la hora de gestionar los datos en reposo y en tránsito, sobre todo si se realizan transferencias internacionales. Cumplir y adherirse a los estándares de cumplimiento gubernamentales o de la industria resulta mucho más sencillo si se cuenta con una serie de soluciones de Seguridad de datos que trabajan de forma coordinada. 5. Por defecto, otorgue derechos mínimos: acceso escalado hacia arriba y no hacia abajo Las soluciones de software efectivas pueden personalizarse a fin de controlar el acceso y los derechos que se otorgan a los usuarios que pueden disponer de la información confidencial. En lugar de dar carta blanca al acceso interno o externo a la información que requiere protección, puede empezar concediendo los mínimos derechos posibles, y ampliándolos a medida que la empresa lo necesite, transferencia a transferencia, o durante un plazo limitado. 6. Acceso basado en roles y autenticación multifactor Otro buen ejemplo a la hora de proteger la información confidencial es implementar un acceso basado en roles con el objetivo de limitar los puntos de acceso en una organización. Instaurar la autorización multifactor protege aún más el acceso a sus datos durante los intercambios. Contar con herramientas de colaboración y transferencia segura de archivos es una buena estrategia, ya que es una forma fácil, automática y segura de garantizar que dicha restricción se aplica en todas las transferencias de archivos. 7. Simplifique la protección de sus datos con una suite de soluciones confiables Los CISOs harán bien en implementar una suite de soluciones en lugar de varias soluciones independientes. Pasándose a una suite de soluciones de Seguridad de datos, disfrutará de todas las ventajas que le proporciona un software flexible diseñado para trabajar con otro, con retorno de la inversión rápido y facilidad de integración. Para garantizar la máxima protección, deberá optar por soluciones que den respuesta a las siguientes medidas de Seguridad: Además, dichas soluciones deberán ser intuitivas y fáciles de integrar, poner en marcha y adoptar, a fin de reducir la carga de trabajo del personal y el impacto en la productividad. Otros artículos: Consejos de ciberseguridad para trabajadores independientes Simplificar la gestión de las distintas soluciones o proveedores podría compararse con una ronda de Jenga (el juego de bloques de madera). Si quita un bloque para encontrar una solución que está reemplazando, podría descubrir que la nueva solución no presenta la granularidad que necesita. Los proveedores que proporcionan soluciones bien diseñadas le dan equilibrio y sencillez. 8. La Seguridad por capas es una buena práctica para proteger los datos La Seguridad de los datos es tan sólida como los distintos elementos que la componen. Una estrategia proactiva consiste en implementar capas
Las 8 Mejores Prácticas Para La Formación En Protección De Datos
¿Conoces el coste de la protección de datos? El proveedor chino de soluciones de administración de redes sociales, Socialark, descubrió que el costo de no tener protección de datos era más de lo que podían soportar. A principios de este año, la empresa experimentó una violación masiva de datos que expuso 200 millones de cuentas de LinkedIn, Facebook e Instagram . Resultó que Socialark no había protegido con contraseña su base de datos ni cifrado sus datos, un paso en falso costoso para cualquier organización. A la velocidad con la que se crean, almacenan y utilizan los datos, su organización no puede darse el lujo de no tener protección de datos (y capacitación en protección de datos) como parte de su estrategia de seguridad general. Sus empleados deben conocer y estar preparados para manejar las amenazas de phishing y ransomware que van directamente a sus datos. Con las medidas de protección de datos adecuadas y el programa de capacitación de los empleados, puede crear un muro impenetrable alrededor de sus ecosistemas de datos y datos confidenciales. Esta publicación arroja luz sobre la capacitación en protección de datos, por qué sus empleados la necesitan y ocho mejores prácticas para la capacitación en protección de datos. ¿Qué es la formación en protección de datos? La protección de datos consiste en almacenar y asegurar la precisión, confidencialidad e integridad de los datos. Pero la capacitación en protección de datos va un paso más allá para educar a los empleados sobre los estándares de la industria y la organización para proteger los datos de la destrucción, pérdida, modificación o robo. Debido a que los compromisos de datos pueden ocurrir por error o por intención maliciosa, la capacitación en protección de datos aborda las prácticas adecuadas de manejo de datos para proteger contra intentos maliciosos. También ayuda a los empleados a obtener más información sobre la pérdida de datos, las lagunas de privacidad y los problemas de divulgación. Mientras que la capacitación en protección de datos se centra en protocolos para garantizar la autenticidad de los datos, la capacitación en seguridad de datos se enfoca en protocolos para administrar los sistemas, las redes y la infraestructura que contienen los datos. Al combinar protocolos y capacitación para la protección y la seguridad de los datos, prepara a su organización para cumplir con los requisitos reglamentarios de protección de datos. ¿Por qué los empleados necesitan formación en protección de datos? La protección de datos creció a partir de big data, el potencial de violaciones de datos y la necesidad de cumplimiento normativo para proteger los datos de las violaciones de datos. Al proporcionar a los empleados una formación eficaz en materia de protección de datos, obtienen una mejor comprensión de los siguientes conceptos: Con el conocimiento de los protocolos, las leyes y las reglamentaciones en torno a los datos de su organización, sus empleados se vuelven más conscientes de lo importante que es protegerlos. Y, cuando agrega capacitación de concientización sobre seguridad cibernética, los empleados están mejor equipados para manejar posibles riesgos y amenazas internos y externos que pueden conducir a un ataque cibernético y una violación de datos. 8 mejores prácticas para la formación en protección de datos La implementación de un programa de capacitación en protección de datos requiere un enfoque bien planificado y coordinado que fomente la colaboración entre departamentos y promueva la productividad de los empleados. Siga estas ocho mejores prácticas al implementar la capacitación en protección de datos. 1. Abordar los requisitos de cumplimiento del gobierno y la industria A medida que la privacidad del consumidor se vio cada vez más amenazada por las filtraciones de datos como resultado de prácticas de seguridad y manejo de datos deficientes, los gobiernos presionaron por regulaciones más estrictas para proteger a su gente. Estas regulaciones han resultado en la creación de estándares bien conocidos, que incluyen: Cada organismo regulador tiene sus propios criterios que las empresas deben seguir para evitar enfrentarse a multas y sanciones, especialmente cuando se produce una filtración de datos. Para asegurarse de que su empresa cumpla con los estándares de la industria que se relacionan con su negocio, incluya capacitación sobre las regulaciones que debe seguir su empresa y las auditorías que debe pasar. 2. Revise la estrategia de seguridad de su centro de data Cuantas más capas tenga la estrategia de seguridad de su centro de datos, mejor protegerá la información confidencial que contiene. Pero esas capas pueden ser difíciles de entender para los empleados. Por lo tanto, revise la estrategia de seguridad del centro de datos con sus empleados, cubriendo temas como: Documente todas las políticas para que los empleados puedan consultarlas y saber qué se espera para mantener la seguridad de su centro de datos. 3. Revisar los protocolos de seguridad de los datos personales Dado que los empleados utilizan varias aplicaciones SaaS a diario, tienden a elegir una contraseña única, fácil de recordar pero pirateable. El problema con ese enfoque es el riesgo para la seguridad de su empresa. La protección de datos personales requiere estrictos protocolos de seguridad y conciencia proactiva. Sin los protocolos adecuados implementados, los piratas informáticos pueden obtener acceso a sus sistemas, redes y datos confidenciales de la organización y los empleados mediante ataques de fuerza bruta y campañas de ingeniería social. Podría interesarle: Separados por un mismo lenguaje: ciberseguridad y directivos no se entienden Por lo tanto, incluya los protocolos de su organización para la protección de datos personales , que incluyen: Al incluir estos protocolos en su programa de capacitación en protección de datos, sus empleados comprenden las prácticas requeridas para garantizar la privacidad de los datos y la protección de sus propios datos, los datos de su empresa y los datos de sus clientes. 4. Explicar las políticas de la cadena de suministro Los ciberataques a la cadena de suministro existen desde hace décadas, pero se han disparado en los últimos 10 años. A fines de 2020, ocurrió uno de los incidentes más notables, el ataque a la cadena de suministro de SolarWinds, en el que una vulnerabilidad de un tercero permitió a los piratas informáticos infiltrarse en organizaciones de Fortune 500 y organismos gubernamentales de EE. UU. Para evitar una violación de datos que provenga de su cadena de suministro, incluya políticas de cadena de suministro como parte de
Datos biométricos en México, ¿sin protección?
Solo en 2022, el INAI de México recaudó más de 60 millones de pesos en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales. En el primer trimestre de 2023, se informó que en la dark web vendieron una base de datos de más de 97 mil usuarios bancarios de México, indicaron datos recopilados por la empresa IQSEC, que añadió, las bases de datos biométricos son “áreas sin protección” que requieren “mayores controles de seguridad en el manejo de información biométrica”. A través de un comunicado fechado al 30 de mayo de 2023, IQSEC recordó que en febrero de este mismo año, de una base de datos del Buró de Crédito de 2016, que fue eliminada sin el procedimiento correcto, fue vulnerada, aun cuando quien recopile información sensible, “debe promover su efectiva gobernanza”, es decir, resguardar los datos para evitar su filtración o violación. De acuerdo con el Chief Security Sales Enablement Officer, Manuel Moreno, “la generación de una base de datos biométricos no es nueva en el país, pues es una práctica generalizada en el sector financiero desde 2017, sin embargo, se han encontrado áreas de oportunidad para “promover mayores controles de seguridad en el manejo de información biométrica”. De acuerdo con el experto, la principal falla en la seguridad de bases de datos es la gobernanza en la información al momento de la captación; en el manejo y resguardo, y en la eliminación de los mismos, ya que su “filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, también para el usuario mismo”. La situación de Protección de Datos en México, durante 2022 Los riesgos para las víctimas que sean vulneradas en su información son la pérdida de la privacidad, la suplantación de identidad, fraude y otros delitos, mientras que las organizaciones públicas o privadas podrían hacerse acreedoras a sanciones legales y financieras. Solo en 2022, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), de México, recaudó $60,078,958 en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Podría interesarle: La protección de datos personales en un México culturalmente diverso Moreno agregó que “en cada recopilación de datos, las organizaciones, tanto públicas como privadas deberían adherirse a certificaciones y estándares que promuevan su compromiso con las buenas prácticas de gobierno de datos, como lo son las ISO/IEC 30107-3, 27001 y 27701”. Finalmente, el experto de IQSEC indicó que las herramientas de gobernanza, riesgo y cumplimiento (GRC), así como de administración de identidades (IGA) podrán dar certeza razonable, que cada base de datos en manos de particulares o sujetos obligados, “estén seguros y disponibles para las personas adecuadas en el momento requerido”. FUENTE: Corporativo. »Datos biométricos en México, ¿sin protección?» Idconline.mx. 31/05/2023. (https://idconline.mx/corporativo/2023/05/31/datos-biometricos-en-mexico-sin-proteccion).
EEUU controla el 90% de los datos que circulan en la UE
En la era de la interconexión global y del poder de los datos, como activo valioso para gobiernos y empresas de cara al desarrollo de nuevas estrategias, resulta necesario conocer quién o quienes poseen el control y ejercen la protección sobre dicha información valiosa. En el caso de la data europea, a raíz del informe ‘Década Digital’ elaborado por la Comisión Europea, el 90% de estos se encuentran bajo dominio de EEUU. Una cifra realmente alarmante y que pone en jaque la seguridad y la integridad de los ciudadanos del viejo continente. La principal causa que se esconde tras este hecho no es otra que el poder de expansión de las grandes tecnológicas estadounidenses en todo el mundo, especialmente en la Unión Europea. Empresas como Amazon, Facebook, Microsoft y Google tienen su sede fiscal en EEUU, almacenando en sus plataformas y servicios millones de datos personales y comerciales sobre los usuarios de la UE. Además ejercen una gran presión sobre los grandes hiperescalares y concentran los centros de información clave a nivel internacional. Todos los países miembros de la UE se encuentran en una situación de debilidad en la denominada soberanía del dato, siendo realmente necesario el impulso de esta industria para evitar que las compañías que gestionan los datos sean ajenas a los 27 países miembros de la UE. De hecho, el 96% de las plataformas online que se utilizan diariamente no son europeas, de tal modo que en caso de conflicto geopolítico, la UE no controlaría todos los datos de sus ciudadanos y quedaría invalidada gran parte de su actividad económica. La situación es realmente alarmante si se toma como referencia el informe de la Comisión Europea, pues los gobiernos estadounidenses tienen acceso, sin apenas control, a datos almacenados en empresas y servidores de los proveedores cloud, basándose en leyes de seguridad nacional y órdenes judiciales. El flujo de la información y la data internacional Para controlar y facilitar la transferencia de informaciones entre Europa y EEUU existen acuerdos y regulaciones como el Privacy Shield, los cuales buscan promover el comercio y la cooperación transatlántica, aunque ponen en tela de juicio cuestiones como la privacidad y los derechos de los ciudadanos de la UE. Lea también: Compromiso de Apple con la protección de tus datos sobre salud Por su parte, la Ley Cloud de EEUU otorga a las autoridades estadounidenses la potestad para acceder a datos almacenados aunque éstos se encontrasen fuera del país. Una de las medidas con las que ha respondido Europa es el Reglamento General de Protección de Datos (RGPD), que fija normas estrictas en la recopilación, almacenamiento y uso de datos personales. Todo ello se suma con la iniciativa de la UE de desarrollar tecnologías y servicios de almacenamiento en la nube europeos, reduciendo la dependencia y la debilidad frente a los proveedores extranjeros y fortaleciendo la soberanía de datos. A su vez, se logrará aumentar la confianza de los ciudadanos y de las empresas en la protección de sus datos y se impulsará la economía digital europea. El valor de la soberanía de datos europea Europa se encuentra inmersa en una carrera de fondo por alcanzar en 2030 una situación tecnológica muy favorable. Con la Ley de Datos de 2022 se estableció el control sobre quiénes pueden usar los datos generados en su territorio y se dará poder a la administración pública para obtener datos en posesión de empresas privadas en caso de emergencia, evitando a su vez la transferencia ilegal. Las previsiones que existen actualmente denotan que en 2025 se espera que al 50% de los servicios públicos se puedan acceder a través del móvil. De este modo, la cantidad de datos en Europa pasará de 33 zettabytes en 2018 a 175 en 2025. Históricamente, desde 2015, se han fijado principios internacionales reguladores de la transferencia de datos como Safe Harbor, suprimido al no ser homologable con la legislación europea, y Privacy Shield, anulado en 2020 por falta de garantías para los dato personales. El tercer intento de EEUU parte de la nueva orden ejecutiva que busca mejorar las actividades de inteligencia de señales de EEUU, firmada por el presidente Joe Biden a finales de 2022. De este modo, EEUU perderá acceso a una gran cantidad de datos que los servicios de inteligencia del país utilizan para proteger los intereses de la seguridad nacional. Ahora se está a expensas de que el Comité Europeo de Protección de Datos (EDPB) otorgue el visto bueno siempre que se cumplan todas las garantías de seguridad de la información. Para proteger la soberanía de datos europea lo mejor será exigir a las empresas tecnológicas estadounidenses que alojen sus datos en centros de datos de la UE para ofrecer mayores garantías de control e impulsar la industria tecnológica europea. Otra medida sería fomentar el uso de software libre de código abierto. No obstante, para efectuarse, deberá existir voluntad política y concienciación de la necesidad de proteger la privacidad de los usuarios de la UE. FUENTE: Delgado, Sergio. »EEUU controla el 90% de los datos que circulan en la UE» Muycomputerpro.com. 31/05/2023. (https://www.muycomputerpro.com/2023/05/31/eeuu-controla-el-90-de-los-datos-que-circulan-en-la-ue).
Cómo los hackers burlan la ciberseguridad bancaria
Las organizaciones de servicios financieros han sufrido cada vez más ataques de ciberamenazas y es poco probable que esta trayectoria disminuya. Las empresas deben asegurarse de que disponen de las soluciones adecuadas para protegerse y defenderse a sí mismas, a sus clientes y a los sistemas financieros en los que participan. Es importante señalar que las soluciones necesitan personas con una comprensión avanzada de cómo implementar la ciberseguridad de una forma eficaz. Para ello, la dirección debe asignar fondos, recursos y tiempo de los empleados para aprender, comprender y pensar en estas intersecciones. La formación continua de los profesionales de la ciberseguridad es clave, lo que implica algo más que obtener una certificación de seguridad. Lea también: La ciberseguridad se convierte en uno de los grandes retos de los bancos Nos vamos a centrar en tres soluciones clave a las que los bancos y las cooperativas de crédito deben prestar atención: dos relacionadas con la identidad y el acceso y una con elevar la preparación de los empleados para hacer frente a las amenazas de seguridad. Identidad y autenticación para empleados y clientes Las credenciales dan acceso a los sistemas y derechos de autorización para aprobar todo tipo de transacciones y solicitudes financieras. Los hackers van tras las credenciales mediante ataques de relleno de credenciales, phishing e ingeniería social. Dos ejemplos: Abordar el acceso con privilegios excesivos Cualquier empleado o contratista con derechos de acceso a datos y sistemas que excedan lo necesario para sus tareas laborales supone un riesgo para una organización de servicios financieros. Esto puede provocar el robo de datos por parte de un empleado malintencionado, la compartición excesiva accidental por parte de un empleado o el robo de datos por parte de una amenaza externa tras comprometer las credenciales de un empleado Así mismo, los sistemas que supervisan y analizan los niveles de acceso de los empleados (incluidos gerentes, ejecutivos, administradores de TI y contratistas) para identificar derechos de acceso con privilegios excesivos permiten una intervención temprana para restablecer los derechos a un nivel más adecuado. Este ajuste reduce la probabilidad de que existan cuentas con niveles de acceso inadecuadamente altos, reduce la deriva del acceso cuando los derechos se amplían por error y disminuye el radio de explosión en caso de un ataque interno o una brecha externa. Para las personas que requieren altos niveles de acceso a los sistemas, las soluciones de Gestión de Acceso Privilegiado (PAM) introducen salvaguardas adicionales. Por ejemplo, en lugar de activar continuamente los derechos de superusuario en la cuenta, el usuario solicita una concesión de acceso elevado limitado en el tiempo o en las transacciones, que debe aprobarse, se audita y se revoca automáticamente cuando ha transcurrido el tiempo o se ha completado la transacción. Por último, el acceso con privilegios excesivos también se produce cuando las conexiones entre aplicaciones, como los tokens OAuth utilizados ampliamente en entornos SaaS, se conceden de forma imprudente o involuntaria a agentes malintencionados. Utilice soluciones para evaluar continuamente la intención de las conexiones OAuth, detectar amenazas ocultas y reforzar las configuraciones de seguridad. Formación en ciberseguridad Los empleados de las organizaciones de servicios financieros tienen las llaves de acceso a datos muy importantes. Si un hacker puede comprometer a un empleado a través de un ataque de phishing, vishing, smishing o de correo electrónico comercial, se le pueden robar credenciales y fondos. Los empleados necesitan formación periódica sobre las señales de advertencia de las ciberamenazas, los trucos habituales de ingeniería social y las mejores prácticas de higiene de seguridad para reducir las probabilidades de éxito de un ataque. Dado que el sector de los servicios financieros seguirá siendo un objetivo clave de los ciberdelincuentes, necesitan encontrar formas de prevenir los ciberataques. Hoy en día, los servicios financieros tienen que revisar la eficacia de sus actuales protecciones de ciberseguridad, invertir en nuevas soluciones para hacer frente a las amenazas existentes y emergentes y seguir las mejores prácticas. FUENTE: Rocha, Alex. »Cómo los hackers burlan la ciberseguridad bancaria» Innovaspain.com. 30/05/2023. (https://www.innovaspain.com/hackers-ciberseguridad-bancaria/).
ChatGPT cumple seis meses: ha mejorado pero sigue equivocándose y desconoce sucesos de actualidad
El modelo de inteligencia artificial ChatGPT ha cumplido seis meses desde que se lanzó su versión gratuita y se ha convertido en la plataforma que más usuarios ha reunido en menos tiempo en la historia de Internet. El 30 de noviembre de 2022, ya había alcanzado los 100 millones de usuarios mensuales, convirtiéndose en la plataforma de Internet que más rápido ha crecido en toda la historia. Podría interesarle: ChatGPT, marco regulatorio y su aplicación en la abogacía Meses más tarde, el 1 de febrero de 2023, OpenAI lanzó GPT Plus, la versión de pago del chatbot impulsada por el modelo de IA GPT-4 que permite funciones exclusivas, como respuestas más rápidas o el acceso a Internet. No obstante, es la versión gratuita la que más usuarios aglutina: solo en enero recibía más de 13 millones de usuarios al día, según un estudio de la consultora UBS. Además, el chatbot ya cuenta con su propia aplicación para móviles: De momento solo está disponible en Estados Unidos y para usuarios iOs (Apple), aunque se espera que próximamente se lance también para Android. A pesar de que el chatbot ha evolucionado durante los últimos seis meses, ChatGPT sigue equivocándose y no está conectado a la actualidad (la base de datos con la que se le entrenó llega hasta 2021). Por eso desconoce sucesos como la guerra de Ucrania. Los expertos consultados por Maldita.es aseguran que la IA no está todavía “lo suficientemente perfeccionada”, ya que en muchos casos sigue “inventándose la información”. Además, su uso en campos como el de la la nutrición y el deporte. ChatGPT cumple seis meses: ¿está la IA lo suficientemente perfeccionada como para usarla a ciegas? El crecimiento de ChatGPT durante los últimos seis meses ha hecho que muchos usuarios crean que la herramienta sirve para todo sin fallo ni error. Sin embargo, está lejos de ser así. El chatbot presenta una serie de limitaciones desde sus inicios: ChatGPT no puede usarse como si fuera Google u otro buscador, ya que no está conectado a Internet, tampoco dice siempre la verdad o responde con información incorrecta. ¿En qué ha mejorado y en qué sigue fallando? Ejemplos en nociones matemáticas y sucesos de actualidad En sus inicios el chatbot fallaba al asegurar que el nueve era un número primo, cuando no lo es. Meses después, la herramienta ya responde de forma correcta a esta pregunta aunque sigue equivocándose en algunas ecuaciones. Un experto le planteó la ecuación de Mifflin-St Jeor –que calcula el consumo energético basal, es decir, el número de calorías que quema el cuerpo en reposo– y obtuvo dos resultados. El primero es correcto según la ecuación. El segundo, incorrecto: se inventa la ecuación y hay casi un 20% de diferencia. Si hablamos de actualidad, hay varios ejemplos reseñables en los que el chatbot se equivoca. Desde septiembre de 2021, se han producido diferentes sucesos que han marcado la historia. Por ejemplo, la guerra de Ucrania. El chat reconoce que el conflicto comenzó en 2014 con la anexión rusa de la península de Crimea. Sin embargo, asegura que continúa en la actualidad a un “nivel más bajo de intensidad que en los años anteriores”. Desconoce, por lo tanto, que la madrugada del 24 de febrero de 2022 Rusia invadió a Ucrania. Si le preguntamos por el dueño de la red social Twitter, ChatGPT nos seguirá hablando de Jack Dorsey y de su reemplazo por Parag Agrawal. Ni rastro del empresario Elon Musk, que compró la compañía en 2022. Lo mismo ocurre con temas más sencillos y virales como la ruptura de la cantante Shakira y el futbolista Gerard Piqué.. La IA no duda en afirmar que “no hay evidencias” de que la pareja se haya separado. Tampoco tiene constancia de la sesión que la artista tiene con el productor argentino Bizarrap, un éxito mundial: “No tengo conocimiento de que Shakira haya sacado una canción con Bizarrap hablando mal de Piqué”. La IA se afina pero no amplía la base datos: sigue congelada en 2021 Este tipo de modelos de IA, como explicábamos, aprende en base a millones de ejemplos con los que ha sido entrenado. Alonso explica que, durante la fase de entrenamiento, ven “millones y millones de textos” a los que se les quitan palabras para que el modelo pueda predecirlas. Lea también: Google deja a la UE fuera de su nueva inteligencia artificial El proceso en el que se preparan los textos y se entrenan los modelos es muy costoso, en dinero y en tiempo. Por eso no se hace continuamente. Actualmente, ChatGPT está congelado en 2021 porque no se le han mostrado textos posteriores a esa fecha y por eso falla en los ejemplos que hemos visto. A eso hay que sumarle, dice Alonso, que la mayoría de textos que ha visto (más del 90%) están en inglés, lo que hace que muchas respuestas en español sean de menor calidad. Riesgos de su uso inadecuado: nutricionista, entrenador deportivo, y su uso para timos Entre los muchos usos que esos millones de usuarios le están dando a ChatGPT, la IA se ha colado de lleno en el mundo del deporte y la nutrición. Tanto, que muchos aseguran en redes sociales que ChatGPT puede desempeñar las labores de un nutricionista y un entrenador personal. Sin embargo, los expertos aseguran que esta herramienta no está lo suficientemente perfeccionada y su uso en materias que impactan a nuestra salud puede conllevar riesgos. En la mayoría de los casos, este chatbot no tiene en cuenta factores fundamentales como el peso, lesiones, posibles patologías o la relación de los usuarios con la comida, tanto para elaborar una dieta como para crear una rutina de deporte. Además, los expertos recuerdan que la IA puede devolver información errónea y que carece del factor psicosocial y de acompañamiento que nos daría un entrenador deportivo profesional o un nutricionista, algo que consideran “fundamental”. Temas que siguen en el aire: regulación y responsabilidades de una IA como ChatGPT Desde su lanzamiento, uno de los grandes debates sobre ChatGPT es dilucidar quién se responsabiliza de los posibles daños (físicos, económicos, morales o reputacionales) que la herramienta pueda causar para indemnizarlos. La Comisión Europea está trabajando en dos posibilidades: «La
El primer error de la ciberseguridad y cómo solventarlo a través de la estrategia CSaaS
La ciberseguridad se ha convertido en una preocupación apremiante para las organizaciones en un mundo cada vez más conectado y dependiente de la tecnología. Enfrentar SOLITARIAMENTE estos desafíos de seguridad cibernética de manera efectiva, es el primer error en que las organizaciones caen al tratar de resolver este reto. Esto es porque es cada vez más difícil y rápido para la mayoría de las organizaciones. La ciberseguridad como servicio CSaaS, se presenta como un enfoque económico y viable para abordar estos desafíos. Los adversarios en el mundo cibernético son innovadores y están en constante evolución, lo que dificulta a las organizaciones mantenerse al día y proteger sus activos de manera efectiva. El costo de no mantener actualizadas las defensas cibernéticas puede ser significativo, con un promedio de 1,82 millones de dólares para remediar un ataque de ransomware en una organización pequeña o mediana. Además de los costos de remediación, los ataques cibernéticos también pueden tener un impacto en la pérdida de negocios. Lea también: Consejos de ciberseguridad para trabajadores independientes En primer lugar, al subcontratar o complementar los equipos internos de TI con servicios de ciberseguridad gestionados, las organizaciones pueden mitigar los ataques de manera más efectiva y prevenir daños. Esto resulta más económico que afrontar los costos de recuperación después de un ataque. En segundo lugar, el CSaaS permite reducir costos y aumentar la protección al aprovechar las economías de escala de los servicios subcontratados. Contratar y retener personal con habilidades especializadas en seguridad cibernética puede ser costoso y complicado, pero al utilizar servicios gestionados, las organizaciones obtienen un nivel de experiencia y una rapidez de respuesta que sería difícil de lograr internamente. Otras de las ventajas económicas de la ciberseguridad como servicio (CSaaS) En tercer lugar, el CSaaS acelera la ejecución de iniciativas estratégicas al liberar a los equipos de TI y ciberseguridad de las operaciones diarias de seguridad. Esto permite a las organizaciones enfocarse en desafíos estratégicos y mejorar su capacidad y eficiencia en general. En cuarto lugar, el CSaaS aprovecha las inversiones existentes en herramientas y soluciones de seguridad de las organizaciones. Los especialistas en operaciones de seguridad utilizan estas herramientas para identificar y neutralizar actividades sospechosas, maximizando así las inversiones realizadas. Por último, el CSaaS ayuda a optimizar la posición en el ciberseguro al cumplir con los controles de seguridad exigidos por las compañías de seguros. Al adoptar servicios gestionados, las organizaciones pueden acceder a pólizas de seguro más completas que cubren aspectos clave de la ciberseguridad. Podría interesarle: 6 consejos para mejorar la ciberseguridad cuando usas bancos online El enfoque de CSaaS ofrece una solución económica y viable al subcontratar o complementar los equipos internos con servicios de ciberseguridad gestionados. Esto permite mitigar los ataques de manera efectiva, reducir costos y riesgos, acelerar la ejecución de iniciativas estratégicas y optimizar la posición en el ciberseguro. FUENTE: Cobos, Guillermo. »El primer error de la ciberseguridad» Heraldopuebla.com. 29/05/2023. (https://heraldodepuebla.com/2023/05/29/el-primer-error-de-la-ciberseguridad/).
Consejos de ciberseguridad para trabajadores independientes
Los trabajadores independientes y el comercio en línea han experimentado un crecimiento significativo en los últimos años. Esta tendencia implica que es crucial tomar precauciones adicionales para protegerse de los ciberataques. Si bien las empresas suelen ser las principales víctimas de los ciberdelincuentes, los trabajadores independientes también están expuestos a sus amenazas. Con recursos tecnológicos limitados y sin un equipo de IT interno, estos profesionales son objetivos atractivos para los ataques de los ciberdelincuentes. Lea también: Ciberseguridad: ¿Por qué es importante tener contraseñas seguras? El mayor impacto que pueden sufrir los trabajadores independientes es el daño a su reputación y consecuencias financieras. La recuperación en estos casos resulta más complicada y, además, se pierde productividad debido al tiempo que se debe dedicar a limpiar la infraestructura tecnológica después de un ataque en lugar de atender a los clientes. Tipos de ataques Aunque existen pocos datos disponibles sobre el número de infiltraciones que afectan a los trabajadores independientes. Los escenarios comunes que podrían afectarlos incluyen ataques de ransomware que bloquean archivos y almacenamiento en la nube, robo y filtración de archivos confidenciales, toma de control de cuentas y ataques de malware dirigidos a cuentas bancarias personales o corporativas (Business Email Compromise Defined o BEC). Consejos para trabajadores independientes Para prevenir estos ataques, ESET Chile comparten algunos consejos prácticos de ciberseguridad, por lo que aquí les indicamos algunos de ellos: FUENTE: Ovando, Judith. »Consejos de ciberseguridad para trabajadores independientes» Pisapapeles.net. 28/05/2023. (https://pisapapeles.net/consejos-de-ciberseguridad-para-trabajadores-independientes/).
