Chatbots generativos y 6 formas para mejorar la ciberseguridad
Los chatbots generativos y los modelos de lenguaje (LLM) grandes pueden ser un arma de doble filo desde una perspectiva de riesgo. La rápida aparición de ChatGPT de Open AI ha sido una de las historias más importantes del año, con el impacto potencial de los chatbots generativos de IA y los modelos de lenguaje extenso (LLM) en la ciberseguridad como un área clave de discusión. Se ha hablado mucho sobre los riesgos de seguridad que podrían presentar estas nuevas tecnologías: Algunos países, estados de EE.UU. y empresas han ordenado prohibiciones sobre el uso de tecnología generativa de IA como ChatGPT por motivos de seguridad, protección y privacidad de datos. Claramente, los riesgos de seguridad introducidos por los chatbots generativos de IA y los grandes LLM son considerables. Sin embargo, estos mismos dispositivos pueden mejorar la ciberseguridad para las empresas de múltiples maneras, dando a los equipos responsablea del área un impulso muy necesario en la lucha contra la actividad cibercriminal. Aquí hay seis formas en que los chatbots de IA generativa y los LLM pueden mejorar la seguridad. Análisis y filtrado de vulnerabilidades Según un informe de Cloud Security Alliance (CSA) que explora las implicaciones de ciberseguridad de los LLM, los modelos generativos de IA se pueden utilizar para mejorar significativamente el escaneo y filtrado de vulnerabilidades. En el documento, CSA demostró que la API Codex de OpenAI es un escáner de vulnerabilidades efectivo para lenguajes de programación como C, C #, Java y JavaScript. Podría interesarle: El enemigo de la ciberseguridad también habita dentro de la empresa Por ejemplo, se podría desarrollar un escáner para detectar y marcar patrones de código inseguros en varios lenguajes, ayudando a los desarrolladores a abordar posibles vulnerabilidades antes de que se conviertan en riesgos críticos de seguridad. En cuanto al filtrado, los modelos generativos de IA pueden explicar y agregar un contexto valioso a los identificadores de amenazas que, de otro modo, el personal de seguridad humano podría pasar por alto. Reacomodo de fuerzas Otro ejemplo lo encontramos en TT1059.001, un identificador de técnica dentro del marco MITRE ATT&CK, que puede informarse pero no estar familiarizado con algunos profesionales de ciberseguridad, lo que genera la necesidad de una explicación concisa. ChatGPT puede reconocer con precisión el código como un identificador MITRE ATT&CK y proporcionar una explicación del problema específico asociado con él, el cual implica el uso de scripts maliciosos de PowerShell. También profundiza en la naturaleza de PowerShell y su uso potencial en ataques de ciberseguridad, ofreciendo ejemplos relevantes. En mayo, OX Security anunció el lanzamiento de OX-GPT, una integración de ChatGPT diseñada para ayudar a los desarrolladores con recomendaciones de corrección de código personalizadas y corrección de código de cortar y pegar, incluida: Invertir complementos, analizar API de archivos PE Matt Fulmer, gerente de ingeniería de inteligencia cibernética en Deep Instinct señala que la tecnología generativa AI/LLM se puede utilizar para ayudar a construir reglas y revertir complementos populares basados en marcos de ingeniería inversa como IDA y Ghidra. Agrega que los LLM también pueden ayudar a comunicarse a través de aplicaciones, con la capacidad de analizar API de archivos ejecutables portátiles (PE) y decirle para qué se pueden usar. “Esto puede reducir el tiempo que los investigadores de seguridad pasan revisando archivos PE y analizando la comunicación API dentro de ellos”. Consultas de búsqueda de amenazas Los defensores de la seguridad pueden mejorar la eficiencia y acelerar los tiempos de respuesta aprovechando ChatGPT y otros LLM para crear consultas de búsqueda de amenazas, según CSA. Al generar consultas para herramientas de investigación y detección de malware como YARA, ChatGPT ayuda a identificar y mitigar rápidamente amenazas potenciales, lo que permite a los defensores concentrarse en aspectos críticos de sus esfuerzos de ciberseguridad. Esta capacidad resulta invaluable para mantener una postura de seguridad sólida en un panorama de amenazas en constante evolución. Las reglas se pueden adaptar en función de los requisitos específicos y las amenazas que una organización desea detectar o supervisar en su entorno. La IA puede mejorar la seguridad de la cadena de suministro Los modelos de IA generativa se pueden utilizar para abordar los riesgos de seguridad de la cadena de suministro al identificar las posibles vulnerabilidades de los proveedores. En abril, SecurityScorecard anunció el lanzamiento de una nueva plataforma de calificación de seguridad para hacer precisamente esto a través de la integración con el sistema GPT-4 de OpenAI y la búsqueda global en lenguaje natural. Los clientes pueden hacer preguntas abiertas sobre su ecosistema empresarial, incluidos detalles sobre sus proveedores, y obtener rápidamente respuestas para impulsar las decisiones de gestión de riesgos, según la firma. Los ejemplos incluyen “encontrar mis 10 proveedores con la calificación más baja” o “muéstrenme cuáles de mis proveedores críticos fueron violados el año pasado”, preguntas que, según SecurityScorecard, arrojarán resultados que permitirán a los equipos tomar decisiones de gestión de riesgos rápidamente. Generación y transferencia de códigos de seguridad Los LLM como ChatGPT se pueden usar para generar y transferir códigos de seguridad. CSA cita el ejemplo de una campaña de phishing que se ha dirigido con éxito a varios empleados dentro de una empresa, exponiendo potencialmente sus credenciales. Si bien se sabe qué empleados abrieron el correo electrónico de phishing, no está claro si sin darse cuenta ejecutaron el código malicioso diseñado para robar sus credenciales. Igualmente señala que la consulta ayuda a identificar cualquier actividad de inicio de sesión sospechosa que pueda estar relacionada con credenciales comprometidas. Chatbots generativos en acción Aquí, ChatGPT puede proporcionar una consulta de caza de defensor de Microsoft 365 para verificar los intentos de inicio de sesión de las cuentas de correo electrónico comprometidas, lo que ayuda a bloquear a los atacantes del sistema y aclara si el usuario necesita cambiar su contraseña. Es un buen ejemplo para reducir el tiempo a la acción durante una respuesta cibernética. Sobre la base del mismo ejemplo, puede tener el mismo problema y encontrar la consulta de caza de Microsoft 365 Defender, pero su sistema no funciona con el lenguaje
La ciberseguridad se convierte en uno de los grandes retos de los bancos
Los bancos españoles vienen presumiendo desde hace años de los avances en el proceso de digitalización. Más del 80 % de las operaciones financieras, incluidas la apertura de cuentas, se hacen ya de forme online. Un movimiento irreversible que tiene notables ventajas tanto para las entidades financieras, en forma de coste, como para los clientes, en forma de mayor agilidad y rapidez. Esta moneda, sin embargo, también tiene su cruz con el imparable aumento de la ciberdelincuencia. La cifra de ciberdelitos en España creció un 72 % durante el pasado año, superando las 375.000 incidencias. Es decir, más de 1.000 delitos al día ya se a través de Internet o de herramientas digitales. Según cifras del INE, de esta cifra más de 336.000 corresponden a la tipología de fraudes o estafas informáticas. Podría interesarle: 6 consejos para mejorar la ciberseguridad cuando usas bancos online Tanto es así que la ciberdelincuencia se ha convertido ya en el primer negocio delictivo incluso por encima de otras actividades criminales como el narcotráfico o la trata de personas. La terminología, según el tipo de estafa, no deja de crecer con nombres como el típico pishing, pasando por el vishing, el smishing, malaware, ransonware y demás que en la mayoría de los casos nos resultan ajenos, pero que conviene conocer. Los ciberdelincuentes aprovechan todos los trucos a su alcance La suplantación de identidad del banco mediante SMS, llamadas telefónicas, correo electrónico o WhatsApp, son algunos de los ciberataques más habituales donde nos pueden robar dinero de manera directa. De hecho, el propio Banco de España ha salido a la palestra para alertar de este preocupante problema. La lucha contra la ciberdelincuencia se ha convertido así en una de las prioridades de los bancos con el fin de proteger el bienestar digital de sus clientes. Seguramente, usted habrá observado en los últimos meses una creciente información y mayores requisitos por parte de su entidad financiera para mantener sus datos a buen recaudo. Una constante amenaza que probablemente irá a más con la llegada de nueva tecnología como la Inteligencia Artificial y los ordenadores cuánticos en un futuro no muy lejano. Los ataques cibernéticos necesitan como condición indispensable conocer cierta información nuestra, tal como usuario, contraseña y los códigos de verificación de realización de operaciones. Proteger nuestros datos debe ser de máxima prioridad. No en vano, para poder conseguir esta información, los estafadores utilizan llamadas telefónicas o mandan mensajes haciéndose pasar por el banco -incluso son capaces de suplantar el identificador del remitente- incitando a proporcionar dicha información con cierta inmediatez con cualquier tipo de excusa como un fallo o error de las cuentas, adquiriendo de esta manera el control sobre nuestra banca en línea. Con el fin de identificar a tiempo este tipo de fraude y evitarlo, conviene conocer dos aspectos esenciales: En ningún caso, el banco va a mandar un mensaje (SMS, WhatsApp o correo electrónico) con un link donde se solicite información de accesos u operaciones. La entidad tampoco va a llamar por teléfono para que pedir datos como la clave de la banca en línea, por mucho que sepa de ti. Reportar a los bancos cualquier situación u operación sospechosa En ambos casos seguro que se trata de un fraude. Lo mejor es cerrar la comunicación de inmediato y ponerse en contacto con la entidad a través de canales ya verificados para comprobar si de verdad existe algún problema. Es relativamente fácil caer en el engaño, pues los ciberdelincuentes ofrecen al usuario una información previa muy concreta que lleva a bajar la guardia. La mayoría de esos datos, sin embargo, son extraídos de Internet a través de foros no indexados que propician la compra-venta de información que en la mayoría de las ocasiones nosotros mismo hemos aportado a páginas no confiables o con bajos niveles de seguridad. La legislación española obliga a que cualquier filtración o robo de información sea comunicado de forma inmediata a los afectados, pero en ocasiones este tipo de notificaciones conllevan una sanción, por lo que no todas las empresas denuncian este tipo de acciones, dejando en situación de indefensión al consumidor final como el eslabón más débil de la cadena. Ante la más mínima duda sobre algún mensaje o movimiento de cuenta sospechoso, lo más prudente es ponerse en contacto con la entidad financiera que de inmediato comprobará la actividad del usuario. Esta es la forma más ágil y rápida de saber si alguien ha accedido a tu cuenta sin tu autorización y en su caso detectar un posible ataque. Conviene tener en cuenta que rastrear este tipo de actividad delictivas resulta muy complicado y rara vez es fructífera pues normalmente la llevan a cabo organizaciones que utilizan complejos sistemas informáticos y cuentas financieras falsas que impiden su rastreo. En cualquier caso, ante cualquier sospecha lo mejor es reportarlo de inmediato. FUENTE: Muñoz, Julio. »La ciberseguridad se convierte en uno de los grandes retos de la banca» Eldecanodeguadalajara.com. 28/05/2023. (https://eldecanodeguadalajara.com/index.php/news/2863/la-ciberseguridad-se-convierte-en-uno-de-los-grandes-retos-de-la-banca/).
6 consejos para mejorar la ciberseguridad cuando usas bancos online
Gracias a los bancos online, nuestras vidas diarias se han vuelto más fáciles. Si estás ocupado y no tienes tiempo para visitar el banco y realizar una transacción, puedes hacerlo con tu aplicación móvil. Sin embargo, existen ciertas brechas de seguridad que podrían poner en riesgo nuestra información privada. Lea también: ¿Qué temas tocar sobre ciberseguridad con jóvenes gamers? Es crucial mantener una actitud consciente de seguridad al usar aplicaciones como Yape y Plin, especialmente ahora que los pagos entre ambas son posibles. Aquí proporcionamos algunos consejos útiles para ti. 1. Usa contraseñas fuertes: Una contraseña fuerte es la primera línea de defensa contra los ataques en línea. Utiliza contraseñas únicas y complejas para todas tus cuentas y cambia estas contraseñas regularmente. 2. Habilita la autenticación de dos factores (2FA): La 2FA añade una capa adicional de seguridad al requerir un segundo factor de autenticación, como un código enviado a tu teléfono móvil, además de tu contraseña. 3. Vigila tu información personal: No compartas tu información bancaria a través de correos electrónicos, SMS o llamadas telefónicas. Los bancos nunca te pedirán que compartas información personal o financiera de esta manera. 2. Habilita la autenticación de dos factores (2FA): La 2FA añade una capa adicional de seguridad al requerir un segundo factor de autenticación, como un código enviado a tu teléfono móvil, además de tu contraseña. 3. Vigila tu información personal: No compartas tu información bancaria a través de correos electrónicos, SMS o llamadas telefónicas. Los bancos nunca te pedirán que compartas información personal o financiera de esta manera. 6. Asegúrate de que el sitio web es seguro: Antes de ingresar tus datos en un sitio web, verifica que la URL comienza con “https”. El “s” significa que el sitio web utiliza un protocolo seguro. FUENTE: Redacción Depor. »6 consejos para mejorar la ciberseguridad cuando usas la banca online» Depor.com. 30/05/2023. (https://depor.com/depor-play/tecnologia/ciberseguridad-6-formas-de-proteger-tus-datos-al-usar-la-banca-online-yape-plin-bcp-banco-continental-scotiabank-noticia/).
¿Qué temas tocar sobre ciberseguridad con jóvenes gamers?
No solo los adultos que compran por Internet necesitan prestar atención a la seguridad en línea, también es una preocupación relevante para los jóvenes gamers, usuarios de diversas plataformas de videojuegos, incluyendo Steam y Epic Games Store. Lea también: El enemigo de la ciberseguridad también habita dentro de la empresa Los ataques cibernéticos, el robo de datos y las estafas en línea son riesgos que enfrentan los jugadores diariamente. Por este motivo, si eres un padre preocupado por los datos que comparten tus hijos en páginas webs o tiendas virtuales, te dejamos algunos temas a tratar. Habla sobre las amenazas comunes El primer paso para proteger tus datos es estar al tanto de las amenazas más comunes en la industria de los videojuegos. Las estafas de phishing, por ejemplo, son un riesgo constante. Los ciberdelincuentes se hacen pasar por plataformas legítimas de videojuegos y envían correos electrónicos fraudulentos solicitando información personal y de pago. Elige plataformas de videojuegos seguras Asegúrate de que la plataforma de videojuegos que estás utilizando tiene una sólida política de seguridad y cifrado de datos. La autenticación de dos factores es un método de seguridad esencial que puede protegerte contra el robo de datos. Puedes ingresar a tiendas como Steam, Epic Games Store, EA (la tienda de Electronic Arts) o GOG.com para adquirir tus juegos en una PC. Protege tu información personal Nunca compartas tu información personal con otros usuarios de la plataforma de videojuegos. Mantén tu nombre de usuario, contraseña y datos de pago seguros y privados. Intenta no usar tu nombre como nick. Usa tarjetas de crédito virtuales o tarjetas de regalo Una forma segura de comprar videojuegos en línea es utilizar tarjetas de crédito virtuales o tarjetas de regalo. Estos métodos de pago pueden ayudarte a proteger tu información financiera. Mantén actualizado tu software Asegúrate de mantener actualizados tu sistema operativo, navegador web y cualquier software de seguridad. Las actualizaciones a menudo incluyen parches para vulnerabilidades de seguridad recién descubiertas. Educa a otros jugadores Comparte lo que has aprendido sobre ciberseguridad con otros jugadores. Juntos, podemos hacer de la industria de los videojuegos un lugar más seguro. FUENTE: Redacción Depor. »¿Qué temas tocar sobre ciberseguridad con jóvenes gamers?» Depor.com. 30/05/2023. (https://depor.com/depor-play/videojuegos/ciberseguridad-como-abordar-el-tema-de-seguridad-online-con-jovenes-gamers-compras-online-tecnologia-videojuegos-steam-epic-games-noticia/).
ChatGPT, marco regulatorio y su aplicación en la abogacía
La inteligencia artificial (IA) ya no es algo exclusivo de la ciencia ficción y hace ya mucho que está en nuestro día a día, aunque quizás no nos hayamos dado cuenta hasta ahora. Estos últimos años la palabra inteligencia artificial está ya en todos lados y, con la llegada del novedoso ChatGPT el debate está servido. Hay países que incluso han prohibido el uso de esta herramienta, como hizo Italia el pasado mes de marzo. Sobre Inteligencia Artificial y la llegada de ChatGPT El Parlamento Europeo define la Inteligencia Artificial como la habilidad de una máquina de presentar las mismas capacidades que los seres humanos, como el razonamiento, el aprendizaje, la creatividad y la capacidad de planear”. Todo esto implica grandes avances en informática, la disponibilidad de grandes cantidades de datos, análisis de imágenes, motores de búsqueda, robots, drones, etc. Aquí entraría en juego el ya famoso ChatGPT, un modelo de lenguaje desarrollado por OpenAI, una empresa americana de investigación de Inteligencia Artificial (IA). Este chat cuenta con gran cantidad de datos de texto que permite realizar gran cantidad de tareas relacionadas con el lenguaje. A través de preguntas o consultas de los usuarios, este chat desarrolla respuestas adaptadas a las necesidades de cada uno y con gran precisión, incluso podría generar artículos bien estructurados. Entonces, ¿dónde está el problema? Últimas reacciones de la UE y países miembros sobre ChatGPT A inicios de abril, Italia tomó la decisión de prohibir ChatGPT por “no respetar la ley de protección de datos personales de los interesados”. A raíz de esto, el resto de países europeos han comenzado a investigar las posibles implicaciones de esta herramienta y no descartan seguir los pasos del país vecino. Podría interesarle: Por qué es importante la soberanía de datos europea De hecho, la Agencia Española de Protección de Datos (AEPD) ha solicitado al Comité Europeo de Protección de Datos que incluyan este debate en la próxima reunión plenaria para poner unas directrices en común con todos los países miembros de la UE. Y el pasado 11 de mayo la Unión Europea aprobó la propuesta de ley que pretende reforzar la normativa sobre el uso y el desarrollo de la inteligencia artificial, y en concreto las obligaciones que aplicaciones como ChatGPT deberá seguir. ¿Cómo afecta a abogados y oficinas legales ChatGPT? La industria legal considera que esta tecnología pueda facilitar y realizar de manera más eficiente el trabajo de archivo y documentación de sus procesos. Se trata de una forma de delegar las tareas más rutinarias y centrarse en los aspectos estratégicos y sustanciales de sus funciones. Con respecto a reclamador.es, Irene Becerra, nuestra directora legal, participó el pasado 11 de mayo en la Webinar ‘ChatGPT y su impacto en la abogacía’ donde se destacaba como punto fuerte de esta herramienta para la profesión la posibilidad de educar sobre los derechos y obligaciones del público con un lenguaje claro y accesible. Por otra parte, señalaban la imposibilidad de que estos sistemas sustituyeran a los abogados porque, entre otros motivos, carecen de valores esenciales como la empatía en una parte básica del trabajo que es el trato con el cliente. Dicho esto, la necesidad de aprender a coexistir con estas novedades tecnológicas que van apareciendo: es un must para la buena evolución de la abogacía, desde las grandes firmas hasta un abogado independiente. También Irene comentaba el medio digital Cinco Días de El País que “puede ayudar a nivel telefónico a evitar cadenas de locuciones pre-grabadas en líneas de atención al cliente” y “con orientaciones ante el planteamiento de dudas básicas, sencillas y recurrentes”. Además, añadía como, el chat “es una herramienta diseñada para complementar y mejorar la eficiencia en las tareas realizadas por los abogados y trabajadores de otros sectores”. Riesgos y regulación Pero como todo, tiene algún matiz, ya que puede cometer errores o no dar la información relevante que se está buscando. En definitiva, no puede sustituir al papel de un abogado en ningún caso. En este aspecto, Irene señalaba que “la resolución de consultas legales, es decir, la labor de asesoramiento del abogado ante un problema del cliente, no se puede simplificar a dar una respuesta exacta de un chat (…). Un asesoramiento jurídico completo requiere de conocimiento, interpretación y aplicación de la ley, para lo que se necesitan habilidades humanas únicas, como empatía, comprensión o el uso de la experiencia”. Lo que está claro es que la Inteligencia Artificial está ya en nuestro día a día y ha venido para quedarse con todas las implicaciones que acarrea. FUENTE: Reclamador. »ChatGPT: marco regulatorio y su aplicación en la abogacía» Lawandtrends.com. 27/05/2023. (https://www.lawandtrends.com/noticias/tic/chatgpt-marco-regulatorio-y-su-aplicacion-en-la-abogacia-1.html).
El enemigo de la ciberseguridad también habita dentro de la empresa
Los empleados siguen siendo el principal punto de entrada para los ataques maliciosos a las empresas. Expertos chilenos en ciberseguridad ofrecen un panorama de lo que sucede y ofrecen sus recomendaciones. En el mundo absolutamente tecnologizado de hoy, donde las compañías almacenan infinitos datos en la nube, se virtualizan muchos procesos, y se generan accesos remotos de funcionarios y colaboradores, la ciberseguridad se ha convertido en una preocuopación de primer orden. En este contexto, las acciones y el comportamiento de los empleados de la empresa se ha tornado crucial. Según el estudio “El estado de la Ciberseguridad 2023” de Sophos, realizado por la firma Vanson Bourne, dentro de los tres principales riesgos de ciberseguridad está la actividad accidental de usuarios internos (ubicado por 18 % de las empresas) y la actividad deliberadamente maliciosa de los mismos (17 %). Los expertos señalan que el phishing y los ataques de ingeniería social son los tipos de peligros a los cuales están más expuestos los empleados de las empresas. Los cibercriminales saben muy bien que, con un ataque de ingeniería social sofisticado, los empleados pueden revelar información que les puede dar acceso a los sistemas de la compañía, y también podría darles información altamente confidencial. Pero, ¿Cuále son las causas de que las empresas sufran en materia de ciberseguridad a causa de sus empleados? Uso incorrecto de las contraseñas Una de las problemáticas que enfrentan cada día las compañías es el uso incorrecto de contraseñas por parte de sus empleados. Las contraseñas débiles que contienen fechas, nombres o palabras son fáciles de romper y existen diccionarios de hashes de passwords como Crackstation, donde se encuentran la mayoría de este tipo de contraseñas en texto plano. Lea también: Ciberseguridad: ¿Por qué es importante tener contraseñas seguras? “También es posible que con redes WiFi fraudulentas o ingeniería social los cibercriminales puedan acceder a un usuario y un password válido de una empresa. Existe un tipo específico de ciberdelincuentes conocidos como Initial Access Brokers (brokers de acceso), que se dedican a robar usuarios y contraseñas, y venderlos a otros actores criminales. A través de estos accesos, los ciberatacantes pueden ingresar a una organización, realizar reconocimiento, escalamiento de privilegios, movimiento lateral, etc., hasta finalmente llegar a fases de impacto donde pueden ejecutar ransomware y/o exfiltrar información de las empresas”, explica un experto. El peligro está en el usuario La poca prolijidad, el actuar de forma irresponsable y la falta de cumplimiento de protocolos y normativas de seguridad informática por parte de los integrantes de una organización puede abrir brechas en las defensas de seguridad de la compañía. Si un empleado abre un archivo adjunto malicioso o revela información confidencial a un atacante, puede resultar en la pérdida de datos sensibles como información financiera, datos de clientes, propiedad intelectual y otra información crítica para el funcionamiento de la empresa. “Por ejemplo, si un empleado utiliza contraseñas débiles o comparte sus credenciales de acceso, un atacante puede aprovechar esta vulnerabilidad para acceder a sistemas y redes empresariales. Las brechas de seguridad pueden permitir el acceso no autorizado a información confidencial, el robo de datos y el sabotaje de los sistemas”, enfatizan desde ESET Latinoamérica. Otros daños asociados se relacionan con el daño de reputación y en las operaciones comerciales de la empresa afectada, pues la pérdida de prestigio impacta en la confianza de sus clientes, socios comerciales o stakeholders en general. Las nuevas amenazas y el trabajo híbrido De acuerdo con los expertos, la incidencia del trabajo híbrido ha provocado que los empleados remotos estén más expuestos debido a las distracciones, la falta de soporte inmediato para revisar correos sospechosos, y el uso de redes hogareñas y de computadoras personales para el trabajo, que suelen tener menos protecciones contra el malware. Con la transformación digital acelerada por la pandemia se adoptó el uso de tecnologías como el SaaS, la nube, el big data y la analítica, la IoT y la IA, sumado a herramientas para habilitar el trabajo remoto o híbrido. “Todas estas nuevas tecnologías extendieron la superficie de ataque, es decir, los actores criminales pueden tener más puntos de ingreso a la organización como una laptop personal que se conecte a la red de la empresa por una VPN, una carga de trabajo en nube pública que no siga las mejores prácticas de seguridad, o elementos de IoT desprotegidos que son gestionados directamente desde el internet, que pueden representar un gran riesgo si pueden conectarse a redes locales”, asegura un experto para Chile. Herramientas de prevención y mitigación Los expertos sostienen que, en materia de protección, es indispensable que las organizaciones de la región mejoren la gestión de su seguridad. Por ejemplo, migrando hacia una gestión zero-trust. Este modelo, a diferencia del enfoque centrado en la seguridad perimetral –que se apoya en la premisa de confiar y verificar–, parte de la idea de que por defecto las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese a su perímetro y por eso su nombre. Además, las actividades de concientización deben aumentar. Según encuestas realizadas año a año desde ESET, el porcentaje de compañías que afirman realizar actividades de concientización de manera periódica sigue sin exceder el 70 %, lo cual indica que más de una de cada tres compañías son susceptibles a un ataque que utilice componentes de ingeniería social. Consejos de protección para usuarios internos Los consejos básicos que ofrecen los especialistas en ciberseguridad para los miembros de las compañías son: Utilizar contraseñas seguras; activar la 2FA; mantener actualizados los sistemas; estar informado sobre las últimas tendencias en ciberseguridad; y capacitarse para fortalecer la concientización de ciberseguridad. “Las vulnerabilidades críticas de los sistemas no son novedad. De hecho, todavía se siguen viendo sistemas que contienen alguna vulnerabilidad crítica –para la cual existe, hace muchos años, una actualización de Windows que la soluciona– de la que se aprovechaba para infectar, alrededor del año 2017, uno de los malwares más famosos de la historia, WannaCry. Es por esto que se debe tener en cuenta que las vulnerabilidades que se descubren y arreglan
Por qué es importante la soberanía de datos europea
La Unión Europea y Estados Unidos negocian un nuevo tratado para las transferencias de datos personales que desprotege a los ciudadanos europeos. Entonces, ¿Cómo proteger la soberanía de datos europea? En las últimas semanas, hemos visto cómo más países se sumaban a la recomendación del gobierno de Estados Unidos de prohibir el uso de TikTok. La Unión Europea, Canadá y Letonia, entre otros, ya han vetado la aplicación a sus funcionarios debido a “riesgos relativos a la protección de datos”. Podría interesarle: Unión Europea no cumple con estándares de protección de datos personales: Especialista Resulta curioso que esta preocupación no se extienda a otras plataformas sociales como Facebook e Instagram. Meta, la compañía responsable de ambas, deberá pagar otra multa de 1.200 millones de euros porque los datos se analizan en EE.UU. y aún no existe un acuerdo válido sobre datos entre Europa y EE.UU. La cuestión general ahora es hasta qué punto Europa sigue siendo soberana en materia de protección de datos. En lugar de eso, la Comisión Europea negocia un nuevo acuerdo de transferencia de datos entre la UE y los Estados Unidos. Esto permitirá a las compañías tecnológicas norteamericanas alojar datos personales de los usuarios fuera de las fronteras europeas, sin ofrecer las garantías necesarias. Tercer intento tras Safe Harbor y Privacy Shield La historia de las transferencias de datos UE-EE. UU. viene de largo. En 2015, el Tribunal de Justicia de la Unión Europea (TJUE) anuló los llamados Principios Internacionales Safe Harbor (“puerto seguro”), por considerar que las prácticas de protección de datos de las empresas de Estados Unidos no eran homologables con las europeas. Al año siguiente, se aprobó el esquema Privacy Shield (Escudo de Privacidad), que volvía a autorizar las transferencias internacionales de datos a Estados Unidos. De nuevo, el TJUE anuló el tratado en 2020 por falta de garantías para los datos personales. Lejos de darse por vencido, EE. UU. ha puesto en marcha un tercer intento con la “Orden ejecutiva sobre la mejora de las salvaguardias para las actividades de inteligencia de señales de Estados Unidos” firmada por el presidente Joe Biden a finales de 2022. Y es que hay mucho en juego. Sin un marco legal para la transferencia de datos entre la UE y EE. UU., las compañías tecnológicas que no quieran operar al margen de la ley y exponerse a sanciones deben alojar los datos de sus clientes europeos en territorio europeo. Esto no solo supone un gasto adicional, sino que implica que Estados Unidos pierda el acceso a una ingente cantidad de datos que los servicios de inteligencia de ese país reconocen abiertamente que utilizan para proteger los intereses de seguridad nacional. Al fin y al cabo, la propuesta lanzada por Joe Biden establece que las autoridades estadounidenses seguirán teniendo derecho a acceder a los datos de los ciudadanos de la UE. Y no solo si la seguridad nacional se ve amenazada, sino también para descubrir delitos financieros internacionales, perseguir delitos graves o si la información de inteligencia no puede obtenerse por otros medios. Por qué no debería aceptarse el nuevo acuerdo Como ocurrió con los acuerdos de Safe Harbor y Privacy Shield, la Comisión Europea ve con buenos ojos esta nueva propuesta. Ya existe un borrador de “decisión de adecuación” del Parlamento Europeo en el que se señala que ofrece un nivel adecuado de protección para la transferencia de datos personales. Sin embargo, antes de que pueda adoptarse la decisión final, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) debe dar su visto bueno, aunque ya ha avisado de que todavía no se cumplen todas las garantías respecto a la seguridad de la información. Si se superan estos escollos, es probable que la “Orden Ejecutiva” de Joe Biden se acabe traduciendo en un nuevo acuerdo para la transferencia de datos personales UE-EE. UU. que hará enormemente felices a las Big Tech… aunque no tanto a los consumidores europeos, si supieran lo que se juegan. Conviene recordar que en Estados Unidos no existe una legislación federal sobre protección de datos, solo leyes estatales o sectoriales como la CCPA de California o la HiPPA para la información sanitaria. En los últimos años no se han producido avances significativos en este ámbito, de modo que… ¿Por qué debería aprobarse de nuevo lo que la justicia europea ha derogado dos veces? Los expertos del sector europeos consideran que se trata de otro intento de socavar las leyes europeas de protección de datos. “Ya en dos ocasiones, los tribunales han juzgado insuficientes los acuerdos transatlánticos de protección de datos y los han invalidado”. Detlef Schmuck, del fabricante alemán de software TeamDrive Systems, se muestra todavía más contundente: “Mientras Estados Unidos siga ignorando el nivel europeo de protección de datos tan descaradamente como hasta ahora, no puede haber una base jurídica para un acuerdo estable”. Cómo proteger la soberanía de datos europea Parece evidente que Estados Unidos no ofrece, ni tiene visos de ofrecer, garantías suficientes como para permitir que los datos personales de los ciudadanos europeos se transfieran a su territorio. De modo que la Unión Europea, en lugar de insistir en firmar nuevos tratados cuestionables, debería reforzar su legislación para asegurar una mayor protección de los derechos de sus consumidores. En primer lugar, esto pasa por exigir que las empresas tecnológicas que operen en la Unión Europea alojen sus datos en centros de datos de la UE. No solo ofrecería mayores garantías de control, sino que también daría un impulso a la industria tecnológica europea y haría que una parte mayor de los ingresos de las tecnológicas se quedara aquí. “A las empresas europeas les conviene mantener los datos personales siempre dentro de la UE”, es el consejo de Detlef Schmuck de TeamDrive Systems. Otra medida que pueden tomar las autoridades europeas es fomentar el uso de software libre de código abierto, que no depende de ninguna empresa tecnológica. A diferencia de los productos de software patentados de proveedores estadounidenses como Microsoft, Apple o Google,
Ciberseguridad: ¿Por qué es importante tener contraseñas seguras?
Tener contraseñas seguras es el primer paso para evitar ciberestafas e importantes afectaciones a nuestras cuentas personales y bancarias. Hoy la ciberseguridad se ha constituido como un factor relevante para todas las personas, debido a que en plena emergencia sanitaria el uso de las plataformas tecnológicas, como el ecommerce y el teletrabajo en la actividad laboral, crecieron exponencialmente. Ello también impulsó el aumento de la ciberdelincuencia en el país, lo que se ve reflejado en información de la Dirección de Investigación Criminal de la Policía Nacional del Perú (DIVINDAT) que registró 3,345 denuncias relacionadas a este tema en el primer semestre. Incluso, para el 2022, el ESET Security Report señaló a Perú como el país con la mayor cantidad de detecciones con 18%, seguido por México (17%), Colombia (12%) y Argentina (11%). En ese sentido, los errores más comunes de los usuarios frente a la creación de contraseñas seguras son los siguientes: Las recomendaciones para crear contraseñas segursas Por otro lado, en el caso de las organizaciones, también necesitan poner hincapié en la seguridad de la información, debido a que contar con protocolos y estrategias de seguridad podrán mejorar la imagen de la organización, asegurar los activos digitales, formar un entorno seguro de procesos de transformación digital, y minimizar el riesgo de ataques, o que se comentan errores que atenten sobre los activos. Lea también: Ciberseguridad: 10 señales que te indican que estás frente a una estafa online Por último, el experto recalca que mediante la seguridad de la información también se evitarán pérdidas económicas por robo, extorsión o pérdida de información, se permitirá contar con políticas, normas y procedimientos claros que aseguren las buenas prácticas frente a la disponibilidad, integridad y confidencialidad de la información, y dará la posibilidad de trabajar en un nuevo modelo de negocio mediante la transformación digital. FUENTE: Business Empresarial. »Ciberseguridad: ¿Por qué es importante tener contraseñas seguras?» Businessempresarial.com. 25/05/2023. (http://www.businessempresarial.com.pe/ciberseguridad-por-que-es-importante-tener-contrasenas-seguras/).
Cinco juegos de mesa con los que aprender sobre ciberseguridad
El sector de los juegos de mesa mueve unos 60 millones de euros al año en España, y ha crecido un 20% desde el año 2020. la Oficina de Seguridad del Internauta ha elaborado cinco juegos de mesa que pueden descargarse gratuitamente desde la web de Incibe, listos para imprimir y jugar. Y es que, aunque existen muchas alternativas para enseñar ciberseguridad a través de apps y juegos online, los juegos de mesa nunca pasan de moda. Y son ideales para pasar un buen rato en familia. No en vano, el sector de los juegos de mesa vive en España un momento de expansión, provocado en parte por el redescubrimiento de los mismos durante la pandemia. La industria nacional ya mueve unos 60 millones de euros al año y el mercado, capitalizado por algo más de 50 empresas, ha crecido un 20% desde el año 2020. Pero, por suerte para los que quieran aprender sobre ciberseguridad, estos cinco juegos son gratuitos. Y fáciles de jugar, puesto que son versiones de los clásicos de toda la vida, como el Trivial, el Monopoly o el ‘Quién es quién’. Os contamos en qué consisten y cómo descargarlos. Trivial de la Ciberseguridad Una versión del archiconocido juego de preguntas y respuestas, en esta ocasión enfocado en la ciberseguridad. Un ejemplo de pregunta: ¿el ciberataque que realiza combinaciones de letras para averiguar nuestras contraseñas se conoce como…? A) ataque por fuerza bruta B) Spidering C) Passwording Criptópolis Es un juego de mesa de compraventa de servicios, donde los jugadores deberán experimentar diferentes acciones de ciberseguridad (algunas positivas y otras negativas). Durante la partida, los jugadores manejarán criptomonedas como la moneda del juego, que podrán invertir en la compra de más servicios. El jugador que sepa invertir correctamente sus divisas, se convertirá en el ganador. Lea también: La AEPD convoca los ‘Premios Protección de Datos 2023’ Datos blindados Este juego de cartas nos permite descubrir juagando cuáles son las principales amenazas a las que estamos expuestos, así como las defensas de las que disponemos para blindar nuestros datos. Detecta el fraude Con el juego de mesa «Detecta el fraude» pondrás a prueba tus habilidades para detectar fraudes online. Este juego de 2 a 4 personas permite poner en práctica todos tus conocimientos sobre ciberseguridad y demostrar que eres el más ciberconcienciado de tu familia o de tu grupo de amigos, así como prepararte para que “no te la cuelen” en la vida real. Quién es quién Versión del clásico juego de fichas en la que poner a prueba los conocimientos que tenemos sobre las distintas amenazas que circulan por Internet, y a través del cual, aprenderemos también los métodos usados por parte de los ciberdelincuentes para engañarnos. Durante la partida, los jugadores manejarán las diferentes fichas y escanearán los códigos QR para descubrir la pregunta y la respuesta. El jugador que más acierte, se convertirá en el ganador. FUENTE: Díaz Bonet, Gonzalo. »Cinco juegos de mesa con los que aprender sobre ciberseguridad» Escudodigital.com. 25/05/2023. (https://www.escudodigital.com/ciberseguridad/cinco-juegos-mesa-con-aprender-sobre-ciberseguridad_55464_102.html).
