• Bogota D.C - Carrera 7ma No. 57-05 Edificio Atlantis - Oficina 1401.
  • 300 639 2513
Facebook Linkedin Instagram
¡Cotiza Ahora!
Buscar
Cerrar este cuadro de búsqueda.

Categoría: Blog

¿Cómo defenderse si usaron una foto suya sin su consentimiento?

¿Cómo defenderse si usaron una foto suya sin su consentimiento? El artículo 15 de la Constitución Política de Colombia señala que “todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar”. De hecho, este mismo artículo señala que las personas tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. Este artículo tiene un desarrollo en la Ley de Protección de Datos Personales o Ley 1581 de 2012, que aclara que un dato personal es “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”, en esa definición están las imágenes. Así mismo, se señala que hay datos públicos; semiprivados, que son los que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas; datos privados, que son íntimos o reservados y solo son relevantes para el titular de la información; y datos sensibles, que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación. Lea también: ¿Cómo borrar tus datos personales de los resultados de Google? En ese sentido, si alguien usó una imagen o fotografía suya sin su expreso consentimiento, puede acudir a varias acciones. ¿Qué acciones tomar si usaron su imagen sin consentimiento, desde la vía legal? En primer lugar, tenga en cuenta que es un derecho de los titulares de la información conocer la información personal que reposa de ellos en cualquier banco de datos y la Ley 1581 de 2012 señala que los titulares de la información pueden “revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales». La norma añade que «la revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución”. Podría interesarle: 5 tips para evitar fraude bancario Así pues, el primer camino es presentar un reclamo ante el responsable del tratamiento de sus datos. Según informa en su página web la Superintendencia de Industria y Comercio, el responsable del tratamiento de los datos tendrá un término de 15 días hábiles para atender la reclamación, contados a partir del día siguiente a la fecha de su recibo. Acciones legales contundentes Además, el titular de los datos, en este caso de la imagen, también puede hacer un reclamo ante la Superintendencia una vez haya agotado el trámite de consulta o reclamo ante el responsable del tratamiento de datos y hayan pasado 15 días hábiles sin recibir respuesta o cuando haya recibido una respuesta inadecuada. Finalmente, también puede optar por poner una tutela pidiendo la protección de su derecho a la intimidad. Pero recuerde que las tutelas son acciones que proceden solo cuando ese era el único mecanismo de proteger un derecho fundamental frente a su vulneración, o cuando se agotaron todos los demás medios.  FUENTE: Redacción justicia. »¿Cómo defenderse si usaron una foto suya sin su consentimiento?» Eltiempo.com. 28/01/2023. (https://www.eltiempo.com/justicia/servicios/como-defenderse-si-usaron-una-foto-sin-su-consentimiento-737572).

5 tips para evitar fraude bancario

En Colombia se han vuelto cada vez más recurrentes los hurtos o fraude bancario que afectan clientes en entidades financieras. Se conoce que los delincuentes operan astutamente para obtener información sensible como contraseñas e información necesaria para realizar transacciones a través de canales digitales. Una de los fraudes más conocidos se denomina suplantación de identidad que consiste en usurpar los datos personales o información comercial de una persona o empresa para desfalcar las cuentas, realizar apertura de productos, desvíar pagos, entre otros. Lea también: 4 consejos para optimizar la ciberseguridad y hacer frente a los ciberataques Las personas jurídicas no han estado exentas de esta modalidad ya que se ha identificado en los buscadores de internet, páginas falsas de bancos, que, al ingresar a las mismas, conducen al cliente a un portal emulado en el cual los usuarios registran sus contraseñas. Los “amigos de lo ajeno” suelen utilizar diferentes mecanismos para estafar a usuarios de bancos y, sobre todo, a tarjetahabientes. Según cifras de Asobancaria, 70 % de las reclamaciones de fraude bancario en canales digitales se concentran en ataques derivados de técnicas de phishing o smishing.  “En Banco de Occidente, al contar con una herramienta de autenticación en las transacciones como el token, mecanismo que el cliente instala en su celular y lo activa cada vez que va a realizar una transferencia, genera una clave dinámica que sólo sirve para esa acción y disminuye las posibilidades de hackeo”, afirmó Oscar Eduardo Pincay, gerente de seguridad bancaria de Banco de Occidente. 5 recomendaciones para evitar fraude bancario FUENTE: Cuéllar, María Paula. »Cinco tips para evitar fraude bancario este 2023 en Colombia» Valoraanalitik.com. 21/01/2023. (https://www.valoraanalitik.com/2023/01/21/fraude-bancario-en-colombia-use-cinco-tips-para-evitarlo-este-2023/).

Sostenibilidad empresarial y protección de datos personales

Este es un artículo creado y publicado por la Doctora Cristina Carrizosa Calle, directora KPMG Law en Colombia respecto al vínculo entre sostenibilidad y datos personales. En una reciente columna titulada la “Revolución de la Sostenibilidad” me referí a los criterios ESG o ASG, entendidos como un esfuerzo por la categorización de las buenas prácticas de sostenibilidad en el mundo de los negocios en lo Ambiental, Social y Gobierno Corporativo, y cómo éstos permean el universo de las acciones empresariales. Pues bien, a mi juicio todo parte de la letra “G”: Una buena gobernanza dentro de esta narrativa ESG en el mundo corporativo, no es otra cosa que la buena toma de las decisiones por parte de los directores, porque son éstas, en el marco de una concepción ética sostenible, las que hacen posible avanzar en una ruta de gestión responsable. Podría interesarle: Europa protege los datos personales Prueba de lo anterior es que no existe materia jurídica desligada de esa nueva ética empresarial ineludible en la actualidad: Me referiré esta vez a la Protección de Datos Personales, materia ampliamente regulada desde la perspectiva del Derecho Comparado pero que, en los últimos años y como efecto de la pandemia, entre otros fenómenos, adquiere relevancia dentro de una economía altamente digitalizada con enorme volumen de datos en circulación que significan un gran estímulo al sistema productivo, gran agilidad de los servicios, transacciones y negocios, pero a la vez son fuente de inmensos riesgos para la privacidad de la información por vía de ciberataques o por una posible especie de anarquía en el uso de los datos que genera graves perjuicios para todos quienes somos titulares del derecho a mantener privada nuestra información, así como económicos para las empresas, en su calidad de administradores de los datos. La privacidad es un derecho fundamental consagrado en Naciones Unidas. En Colombia la Ley 1266 de 2008 y la Ley 1581 de 2012 (esta última reglamentada parcialmente por el Decreto 1377 de 2013), sentaron las bases para la protección de los Datos Personales. Estas disposiciones son pilares fundamentales de gobernanza y cumplimiento para todas las compañías, independientemente de su sector. Bien sea porque se requieren para desarrollar su objeto social, o porque su explotación comercial genera ingresos, los datos personales, dentro del entorno corporativo, son cada vez más importantes. Lea también: Marruecos lanza una plataforma para datos personales y protección de la privacidad. El artículo 26 del Decreto 1377 de 2013 introdujo en el sistema de protección de datos el principio de “Responsabilidad Demostrada, según el cual, los responsables del tratamiento de los Datos Personales deben poder mostrar tanto la implementación de medidas apropiadas y efectivas para cumplir con las obligaciones de la ley, como la capacidad de proteger a los titulares de los datos». Esto se materializa en un verdadero compromiso de la organización en la salvaguarda de los datos personales en todos los niveles: por parte de los accionistas, su junta directiva, el CEO y la gerencia. Es así como la buena toma de decisiones corporativas enfocadas al cuidado de la información protegida y la gestión responsable de los datos de las personas terminan siendo materia de transparencia organizacional y una adecuada reacción ante incidentes de seguridad en la información son, por excelencia, asuntos de sostenibilidad empresarial que miden a una empresa frente a sus grupos de interés. El diseño de una estrategia técnica y de gestión para la seguridad de los datos personales requiere de la intervención de las áreas legales, administrativas y técnicas, y las decisiones alrededor de estas políticas son tan relevantes como aquellas ambientales, financieras o sociales. Estas no solo califican a una compañía como más o menos sostenible, sino la previenen de sanciones de las autoridades y de graves impactos reputacionales. FUENTE: Carrizosa Calle, Cristina »Protección de Datos Personales y Sostenibilidad» Asuntoslegales.com. 21/01/2023. (https://www.asuntoslegales.com.co/analisis/cristina-carrizosa-calle-3430376/proteccion-de-datos-personales-y-sostenibilidad-3527228).

Sectores latinoamericanos con mayor riesgo a sufrir un ciberataque en 2023

Ransomware y otras amenazas son las que mantienen alerta a diversos sectores económicos en Latinoamérica. Lumu Technologies, compañía de ciberseguridad creadora del modelo Continuous Compromise Assessment, que permite a las organizaciones medir compromisos en tiempo real, realizó el ‘Latam Media Day 2023’, un evento donde analizó el estado actual de la ciberseguridad y presentó cuáles serán prioridades para soportar los procesos de prevención en la red.  Ricardo Villadiego, fundador y CEO de Lumu Technologies, comentó que, “uno de nuestros objetivos principales y en general de la industria de ciberseguridad, será priorizar verticales con alto nivel de riesgo y trabajar de la mano con líderes Tecnología de la Información (TI) y ciberseguridad de las organizaciones, buscando incrementar la eficiencia de las operaciones y la eficacia de la respuesta a los continuos y crecientes desafíos que generan los ciberataques”. Podría interesarle: Los incidentes de ciberseguridad mundial más relevantes de 2022 Los aspectos claves para la ciberseguridad en Latinoamérica Lea también: El futuro de la ciberseguridad en la era 5G FUENTE: Noticiasrcn.com. »Los sectores latinoamericanos con mayor riesgo a sufrir ciberataques en 2023» Noticiasrcn.com. 22/01/2023. (https://www.noticiasrcn.com/tecnologia/riesgo-de-ciberataques-en-latinoamerica-en-2023-438256).

Los incidentes de ciberseguridad mundial más relevantes de 2022

Año con año se ha ido evidenciando un crecimiento en el número de incidentes de ciberseguridad mundial, y el 2022 fue particularmente intenso. Hasta hace pocos años cuando se hablaba de incidentes de ciberseguridad, las noticias no parecían ser cercanas a la región de Latinoamérica, pues la mayoría de los incidentes conocidos correspondían a países europeos y Estados Unidos, pero en 2022 todo cambió. Para entender la gravedad y cercanía de los ataques, expertos de Sistemas Aplicativos SISAP, han evaluado y comentado acerca de los incidentes que consideran han tenido mayor relevancia en temas de ciberseguridad mundial durante el año anterior. Podría interesarle: Las 5 principales amenazas en ciberseguridad para las pymes y cómo solucionarlas Guacayama Group De acuerdo con Alberto Higuera, gerente de Arquitectura de Soluciones de SISAP en Colombia, por lo general las bandas de ciberdelincuentes provenían de Europa, Asia y África. Sin embargo, Latinoamérica vio el surgimiento de Guacamaya Group, organización de hacktivistas cuya motivación inicial era “ecologista y antiimperialista”, sin embargo, en el trascurso de sus ataques han tenido como objetivos a distintas empresas privadas e instituciones de gobierno, como en el caso del Perú, en donde atacaron al Comando Conjunto de las Fuerzas Armadas; también en México atacaron a la Secretaría de la Defensa Nacional; y en Chile, el blanco fue el Estado Mayor Conjunto. A diferencia de otros grupos criminales Guacamaya Group no ha exigido ningún soborno a sus víctimas; por el contrario, ha filtrado la información a medios de comunicación y público en general. Guerra Rusia vs Ucrania A diferencia de las guerras convencionales, las ciberguerras no se anuncian de manera oficial, pero se tiene conocimiento que previo a la actual guerra entre Rusia y Ucrania, ya se habían suscitado una serie de ataques cibernéticos entre ambas naciones por medio de ciber ejércitos. Entre estos se pueden destacar una serie de ataques de tipo ransomware, campañas de phishing, spamware, denegaciones de servicio y ataques de malware destructivos conocidos también como “wiper”. Los ataques de tipo “wiper” se conocieron desde enero 2022 luego de la invasión Rusa a Ucrania, y justamente tenían como objetivo atacar distintas entidades ucranianas. A diferencia de otros tipos de ataques que buscan obtener información, los ataques “wipers” destruyen por completo la información y se van propagando como un virus entre distintos servidores y computadoras. Lea también: 4 consejos para optimizar la ciberseguridad y hacer frente a los ciberataques LastPass Es un gestor de contraseñas bastante popular en el mundo de la informática, una alternativa bastante segura para evitar caer en ataques de phishing y robo de credenciales. Sin embargo, en agosto del 2022 dio a conocer que fue víctima de un ciberataque. Luego de un análisis forense, la compañía concluyó que los atacantes habían logrado acceder a los sistemas, utilizando el punto final comprometido de un desarrollador, mediante dicha investigación el CEO de LastPass aseguró que, aunque el actor de amenazas pudo acceder al entorno de desarrollo y diseño; los controles del sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas. Los atacantes lograron acceder a copias de seguridad que guardaban en el entorno de desarrollo durante 4 días, la compañía aseguró que los datos más sensibles como usuarios y contraseñas se encontraban cifrados, por lo que los atacantes no habrían podido acceder a dicha información. Scam a las instituciones bancarias El término anglosajón “Scam” se refiere a todo tipo de estafa o ataque fraudulento en internet. En el año 2022, se identificó un aumento significativo de “Scams” en las instituciones bancarias de la región centroamericana. Con sitios web que suplantaban la identidad de bancos del sistema con el fin de obtener por medio de engaños los usuarios y contraseñas de cuentahabientes, para luego realizar transferencias bancarias que en muchas ocasiones se vuelven irrastreables y por lo tanto dificilmente recuperables. Los ataques scams que se han visto en los últimos meses en nuestra región, son ataques bien organizados y planificados, muy similares a los que se vieron en Países Bajos en 2021, en donde se logró identificar que las estructuras criminales contaban con una red de más de 750 dominios conectados, para alojar páginas de phishing que se hacían pasar por bancos, transporte, logística, gobierno, etc. De interés: El negocio del robo de datos Ataques al sistema de salud y su impacto en el usuario Los sistemas de salud también son sectores vulnerables a ciberataques, pero lo más preocupante en estos incidentes es que no se habla únicamente de pérdida de información o dinero; se trata de vidas humanas que pueden perderse a la hora de sufrir un ciberataque. A finales de 2022, RansomHouse hackeó la información de la empresa Keralty, un proveedor de salud colombiano que opera una red de 12 hospitales y 371 centros médicos en Latinoamérica, España, Estados Unidos y Asia; gestionando la salud de alrededor 6 millones de personas. FUENTE: Estrategiaynegocios.net. »Estos fueron los incidentes de ciberseguridad más relevantes de 2022» Estrategiaynegocios.net. 22/01/2023. (https://www.estrategiaynegocios.net/tecnologia-cultura-digital/estos-fueron-los-incidentes-de-ciberseguridad-mundial-mas-relevantes-de-2022-LL11839002).

El futuro de la ciberseguridad en la era 5G

¿Cuál es el contexto de la ciberseguridad en la era del 5G? Se estima que en el futuro cercano ninguna organización será 100% 5G, sino que esta red convivirá con alguna combinación de 4G/LTE. No obstante, 43% de las organizaciones esperan que las redes privadas de 5G sean el principal entorno de red que soporte sus casos de uso en los siguientes tres años. En la era digital actual, vivimos en un estado de conexión permanente e intercambio de datos ininterrumpido. Ante este escenario, la ciberseguridad debe ser una responsabilidad compartida entre clientes, empresas y operadores: mientras estos últimos deben ofrecer seguridad inherente a su red, los clientes empresariales, por su parte, deben asegurar sus bienes digitales: datos, aplicaciones y puntos finales. En el informe global de AT&T: Perspectivas de ciberseguridad 2022: seguridad del entorno, la empresa presenta los siguientes resultados con base en las respuestas de expertos de la ciberseguridad de 12 países: Podría interesarle: Estos son los desafíos de la ciberseguridad en la Nube Principales controles de ciberseguridad por red: FUENTE: Telecomunicaciones. »AT&T: Futuro de la ciberseguridad en la era del 5G» Prensario.net. 10/01/2023. (https://www.prensario.net/40235-ATT-Futuro-de-la-ciberseguridad-en-la-era-del-5G.note.aspx).

Europa protege los datos personales

En días pasados se anunciaron varias sanciones a empresas tecnológicas, en Europa, en materia de protección de datos personales, ante diferentes incumplimientos principalmente relacionados con el uso de datos de usuarios para la publicidad personalizada. Por un lado, en Francia, la Comisión Nacional de Informática y Libertades decidió imponer a la empresa Apple una multa administrativa de ocho millones de euros y hacer pública la sanción a través de la web, luego de verificar que se incumplió el art. 82 de la Ley Orgánica de Protección de Datos (LOPD), relativo al tratamiento de datos de carácter personal y de protección de la intimidad en el sector de las comunicaciones electrónicas que exige que el consumidor tenga la opción de expresar su consentimiento informado cuando se pretenda acceder, a información ya almacenada en su equipo terminal de comunicaciones electrónicas o ingresar información en dicho equipo. Contenido relacionado: Apple debería ser multada con 6 millones de euros: asesor francés de protección de datos El por qué de la sanción Explicaron que, cuando un usuario se crea una cuenta de Apple, se asigna un identificador de servicios de directorio “DSID” y, mientras aquél navega por la App Store, el rastro de su actividad y la información que ingresa en su cuenta ID de Apple se recopilan y asocian con ese DSID en los servidores de “Apple Media Platforms” de Apple; si el consumidor tiene habilitada la configuración para recibir publicidad dirigida, esa información se utiliza para personalizar los anuncios que se le muestran, tomando también otros identificadores específicos generados localmente en el terminal. Luego de una investigación se comprobó que la empresa realizaba operaciones de lectura y escritura en los terminales de los usuarios con el fin de autenticar el DSID de una cuenta de usuario registrada como activa con la finalidad de personalizar anuncios de aplicaciones móviles y otras operaciones de lectura, lo que según la empresa constituían operaciones amparadas por las excepciones a la recogida del consentimiento prevista en el art. 82 LOPD o que componían operaciones para proteger la privacidad de los usuarios. La comisión francesa aplicó la sanción tras entender que al final del proceso de inicialización del teléfono equipado con la versión iOS 14.6 del sistema operativo, no se ha producido ningún mecanismo destinado a obtener el consentimiento previo del usuario para las operaciones consistentes en la lectura de dicha información e identificadores en su terminal, estando la opción de anuncios personalizados activada. Podría interesarle: Meta en Europa: La compañía ya no podría mostrar anuncios personalizados en el viejo continente Meta, otra Big-Tech con grandes problemas en Europa Por otro lado, la Comisión de Protección de Datos de Irlanda anunció la conclusión de dos investigaciones sobre Meta Ireland, la compañía detrás de Facebook e Instagram donde se verificó las operaciones de tratamiento de datos en esos servicios de la firma. En definitiva, impuso una multa de 210 millones de euros por infracciones del Reglamento General sobre Protección de Datos (RGPD) en relación con su servicio de Facebook y 180 millones de euros por infracciones en relación con su servicio de Instagram, ordenando que se corrijan las operaciones en un plazo de 3 meses. Una investigación con años de historial Las investigaciones sobre estas redes sociales comenzó en 2018, luego de que las empresas tecnológicas solicitaron a los usuarios que “acepten” las condiciones de servicio actualizadas con la introducción del RGPD para poder hacer uso del servicio, de manera que al hacer clic el usuario celebraba un contrato con la firma y con ello se pretendía amparar el tratamiento de datos personales con base en un contrato para que las operaciones de tratamiento fueran lícitas según el art. 6 ap 1b del RGPD. Sin embargo, los denunciantes alegaron que, al condicionar la accesibilidad del servicio a la aceptación del usuario de las condiciones de servicio actualizadas, en realidad se estaba obligando de hecho a consentir el tratamiento de sus datos personales para publicidad basada en el comportamiento y otros servicios personalizados, lo que a su entender seguía manteniendo como base jurídica del tratamiento al consentimiento e infringía el RGPD. Lea también: Dataprivacy: Aprobado el primer Sello Europeo de Protección de Datos Una decisión que marca un precedente para el futuro proceder de las demás empresas La comisión concluyó en que las compañías incumplieron sus obligaciones en materia de transparencia, tras no exponer claramente a los usuarios cuál era la base jurídica utilizada, por lo que la falta de información hacía que las personas desconozcan que tratamiento se llevaba adelante con sus datos (qué base del art. 6 se utilizaba), por lo que se incumplía los arts. 5, 12 y 13 del RGPD. Por otro lado, existieron discrepancias en torno a la posibilidad de usar la base jurídica contractual, que tras un proceso de supervisión de autoridades interesadas donde no hubo consenso, remitidas las actuaciones al Consejo Europeo de Protección de Datos, se consideró que en principio Meta no podía invocar la base contractual, lo que equivale a una infracción al art. 6 del RGPD Además se confirmó la posición del CPD sobre el incumplimiento de las obligaciones de transparencia, agregando también un incumplimiento del principio de equidad, y ordenando a que se aumentaran las multas impuestas. FUENTE: Onocko, Sebastián. »Europa protege los datos personales» Comercioyjusticia.info.com. 10/01/2023. (https://comercioyjusticia.info/opinion/europa-protege-los-datos-personales/).

4 consejos para optimizar la ciberseguridad y hacer frente a los ciberataques

En años recientes, los ciberataques a empresas con infraestructuras críticas de tecnologías operacionales (OT, por su sigla en inglés) se han disparado, con un aumento hasta del 2.000%, según diversos reportes. Hablamos de organizaciones de la industria farmacéutica, fabricantes de automóviles, producción de petróleo, entre otras compañías, que basan gran parte de su operación en ambientes con aparatos y sensores conectados a Internet enviando y recibiendo información (Internet de las Cosas). Ante estos ciberataques, la pregunta para muchos directivos se plantean es cómo asegurar el acceso remoto a la red de su organización, teniendo un gran número de operadores, subcontratistas y proveedores, sin utilizar una VPN, sin comprometer los procesos y la continuidad de la actividad, pero tampoco sin sacrificar la productividad. Hay que tener en cuenta que los ambientes de OT sustentan procesos críticos que, en caso de verse comprometidos, podrían tener consecuencias catastróficas, incluida la pérdida de vidas humanas. Por lo tanto, existe una fuerte necesidad de que las organizaciones adopten soluciones y estrategias para asegurar sus entornos de tecnología según sus necesidades específicas, con el fin de protegerlos de posibles ciberataques. Contenido relacionado: Diez pronósticos en ciberseguridad para 2023 Lo importante al respecto es saber en todo momento quién está haciendo qué en la red, desde qué endpoint y cuándo. Sobre todo, debe ser posible ejercer sistemáticamente un control granular completo del acceso, tanto on site como a distancia. De ahí que sean clave los siguientes consejos para proteger los entornos OT de las ciberamenazas. 1. Establecer un marco de confianza cero (Zero Trust). Hablar de confianza cero implica para las organizaciones saber qué su red siempre estará en riesgo y que se deben tomar las acciones respectivas para protegerse. Así, un marco de trabajo alineado con este pensamiento establece que, para proteger una red, primero hay que identificar a cada usuario y endpoint que se conecta y a qué datos. Esta es la base de cualquier marco de seguridad, incluida la confianza cero. Lea también: Las 5 principales amenazas en ciberseguridad para las pymes y cómo solucionarlas Entre las acciones que se deben realizar las empresas en este sentido se encuentran hacer una segmentación de red (separar el acceso a las aplicaciones del acceso a la red); microsegmentar a nivel de aplicación (para impedir que los usuarios descubran aplicaciones a las que no tienen permiso de acceso); definir un punto central de visibilidad y accesibilidad (para ver unificados los sistemas OT y los de tecnología); y supervisar y registrar todas las actividades de acceso remoto mediante la grabación en video de las operaciones en pantalla, la grabación de las pulsaciones de teclas, etc. 2. Adecuar las herramientas de acceso remoto a los escenarios adecuados. El uso generalizado del teletrabajo ha llevado a una adopción récord de las VPN. Infortunadamente, las VPN y otras tecnologías de acceso remoto como Protocolo de Escritorio Remoto (RDP, por su sigla en inglés) se utilizan más allá de sus límites normales y, por tanto, de forma imprudente. Esto es aun más devastador en las redes OT. Por lo tanto, las VPN y los RDP deben eliminarse en estos escenarios, especialmente cuando existen accesos privilegiados y de terceros. Aunque son adecuadas para el acceso básico de empleados remotos a sistemas considerados no sensibles (por ejemplo, correo electrónico), las VPN no proporcionan la granularidad de control de acceso, visibilidad, escalabilidad o ventajas económicas que requiere el acceso de terceros o empleados remotos a dispositivos OT o de Internet de las Cosas. 3. Entender la seguridad de TI frente a la seguridad de OT. En la mayoría de las organizaciones, las normas y los acuerdos de nivel de servicio establecidos para los sistemas informáticos tradicionales no son válidos para el entorno del OT, lo que crea lagunas de seguridad y gestión. La gestión de la seguridad y el riesgo de los entornos OT no puede reducirse a la simple aplicación de las mejores prácticas de seguridad informática al sistema OT. Podría interesarle: El 90% de los empleados necesita formación básica en ciberseguridad Por lo tanto, confiar simplemente en soluciones de consumo para el acceso remoto no basta para garantizar la protección de los entornos más sensibles. Además, la tecnología OT tiene un tiempo de obsolescencia mucho más largo que los sistemas informáticos. Aún hay entornos OT en los que proliferan sistemas que llevan instalados entre 20 y 25 años. En el mundo de la informática, los equipos rara vez duran más de cinco años. Como resultado, coexisten diferentes puntos finales para los que no existen parches o incluso actualizaciones debido a una potencia de cálculo insuficiente. 4. Adoptar prácticas sólidas de gestión de credenciales privilegiadas, sin compartir contraseñas para prevenir ciberataques Las malas prácticas de contraseñas persisten en los entornos OT y siguen siendo una de las principales causas de compromiso y potenciales ciberataques. Es común que las contraseñas se compartan interna y externamente, y que el acceso no se limite a dispositivos o segmentos de red específicos. Para reducir el riesgo, las organizaciones pueden implantar una solución de gestión de credenciales privilegiadas que permita un control total del acceso a sistemas y aplicaciones mediante la gestión de sesiones en tiempo real. De este modo, los administradores pueden registrar, bloquear y documentar cualquier comportamiento sospechoso con la capacidad de bloquear o cerrar sesiones. FUENTE: Palacios, Katherine. »4 consejos para optimizar la ciberseguridad» America-retail.com. 10/01/2023. (https://www.america-retail.com/colombia/4-consejos-para-optimizar-la-ciberseguridad/).

Las 5 principales amenazas en ciberseguridad para las pymes y cómo solucionarlas

Aunque a nivel mediático, los ciberataques que sufren las grandes organizaciones son los que tienen mayor repercusión, las amenazas a las pymes siguen proliferando y causando grandes daños. Por ejemplo, el pasado año, más del 60% de las pymes a nivel mundial fueron objeto de ciberataques. El principal objetivo que persiguen son los datos personales con los que abrirse paso hacia nuevas amenazas para lograr sus propósitos, principalmente económicos. Para estas pequeñas y medianas empresas, los incidentes de ciberseguridad son el tipo de crisis que implica más desafíos. Por eso, decidimos resumir las que son, según Kaspersky, las cinco principales ciberamenazas a las que se enfrentan este tipo de empresas. Lea también: El negocio del robo de datos Pérdida de datos La filtración de datos es uno de los grandes problemas a los que se enfrentan las organizaciones actuales. Además, en muchas ocasiones se trata de algo que sucede de forma involuntaria algo que, con el trabajo remoto, ha aumentado como consecuencia del uso de equipos corporativos con fines personales. Según los datos que maneja Kaspersky, el 35% de los usuarios que sufrieron vulnerabilidades a través de plataformas de streaming se han visto afectados por troyanos. Cuando este malware acaba en un ordenador corporativo, los atacantes pueden, entre otras cosas, acceder a la red de la empresa y robar información confidencial y de gran valor. Solo la mitad de los responsables de empresas están seguros de que sus exempleados no tienen acceso a datos de la empresa almacenados en la nube o al uso de cuentas corporativas. Sin embargo, los riesgos existen ya que cualquier acceso de manera reiterada a un sistema, ya sea entornos colaborativos, correos de trabajo o máquinas virtuales, incrementa la superficie de ataque. Ataques de denegación de servicio (DDoS) Los ataques DDoS son una de las grandes amenazas a las que las pymes deben hacer frente debido a los problemas a los que las exponen. Su modus operandi se basa en enviar múltiples solicitudes de acceso a la página para sobrepasar su capacidad de gestionar el tráfico. El volumen de peticiones es tan grande que deja de funcionar con normalidad. Los ciberdelincuentes utilizan distintos métodos para actuar sobre bancos, retailers o pymes, y con frecuencia recurren a los ataques DDoS, aunque hay una tendencia creciente a utilizar estos ataques en el sector del gaming. Ataques a la cadena de suministro de las pymes Los ataques a través de la cadena de suministro implican que un servicio o programa utilizado temporalmente se vuelve malicioso. Se lanzan a través de vendedores o proveedores de la empresa con lo que interactúa a menudo, como bancos, empresas de logística o, incluso, servicios de entrega de comida. Estos incidentes son diferentes, tanto por su complejidad como por su nivel de destrucción. Por ejemplo, algunos atacantes han utilizado ExPetr (alias NotPetya) para comprometer el sistema de actualización automática del software de contabilidad M.E.Doc, y que este envíe ransomware a sus clientes. Grandes empresas y pymes se han visto afectadas con pérdidas millonarias. Otro ejemplo lo hemos visto con CCleaner, uno de los programas más conocidos para la limpieza de registros que ha sido vulnerado. Los atacantes incluyeron una puerta trasera o backdoor en varias versiones que se distribuyeron durante un mes desde las webs oficiales de la empresa. Se descargaron 2,27 millones de veces y al menos 1,65 millones de copias de malware trataron de comunicarse con los servidores de los ciberdelincuentes. Podría interesarle: El 60% de las pymes que sufren un ciberataque desaparece seis meses después Malware El malware es una de las amenazas que persisten y que pueden entrar en una pyme de múltiples maneras. A la hora de descargar archivos, es importante asegurarse de que no haya malware. Las amenazas más activas son los encriptadores que se centran en los datos, el dinero o la información personal de los propietarios de la empresa. Cabe destacar que más de una cuarta parte de las pymes utilizan software ilegal o sin licencia para reducir costes. Sin embargo, puede ser el origen de muchos problemas de seguridad ya que puede incluir archivos maliciosos o no deseados que amenazan las redes y equipos corporativos. Según Kaspersky, estas empresas deberán tener también muy en cuenta los brokers ilegales que facilitan a terceros el acceso a ellas, algo que causará un gran daño en 2023. Utilizan cryptokacking, robo de claves bancarias, ransomware, robo de cookies y otro malware muy problemático. Un claro ejemplo lo vemos con Emotet, el malware que roba contraseñas bancarias y afecta a organizaciones de todo el mundo. Ingeniería social Ante la creciente digitalización de las pymes, muchos ciberdelincuentes aprovechan la vulnerabilidad en los sistemas para llevar a cabo sus amenazas. El aumento en el uso de Microsoft Office 365 ha hecho que proliferen las amenazas a esta plataforma notablemente, especialmente con ataques de phishing. Y aquí entra la creatividad y las, cada vez más sofisticadas, técnicas de ingeniería social para que los usuarios introduzcan sus contraseñas en páginas web que simulan ser legítimas. Muchas de estas amenazas se dirigen a los propietarios de las empresas suplantando servicios de préstamo o entregas, compartiendo sitios web falsos o enviando correos con documentos de contabilidad engañosos. Cómo hacer frente a las ciberamenazas Estas cinco amenazas ponen de manifiesto cómo los cibercriminales diversifican sus tácticas para llegar a sus víctimas. Según una reciente encuesta de Kaspersky, el 41% de las pymes cuenta con un plan de prevención frente a crisis, lo que constata su creciente preocupación por su ciberseguridad. En este contexto, la compañía hace tres recomendaciones clave para que las pymes hagan frente a estos ciberataques. Estas deben incluir letras, números, mayúsculas, minúsculas y un carácter especial. Además, hay que asegurarse de cambiar las contraseñas cuando se sospeche que han podido ser comprometidas. El uso de un gestor de contraseñas puede ser de gran ayuda. No solo incluyen nuevas características y mejoras de interfaz, también solucionan problemas de seguridad. Es importante fomentar el interés de los empleados sobre las nuevas amenazas y la forma de hacerles frente, tanto en su vida personal como laboral, algo a lo que contribuirán los programas

Oficina Principal

  • Bogota D.C - Carrera 7ma No. 57-05 Edificio Atlantis - Oficina 1401.
  • Teléfono: (+57) 3138834959 - 601 7953297 Ext. 120

Oficinas regionales

  • Dirección General (Bogotá) - Teléfono +57 3104251481 - 601 7953297 Ext. 104
  • Atención al Cliente (Oficina Principal) -
    Teléfono 601 7953297 Ext. 120
  • Bogotá - Teléfono +57 3006393483 -
    601 7953297 Ext. 102
  • Antioquia - Teléfono +57 3006393132 -
    601 7953297 Ext. 128
  • Occidente - Teléfono: +57 3006392290 -
    601 7953297 Ext.125

Portafolio de servicios

Legal

Noticias

CONTACTO

Facebook Linkedin Instagram
  • info@protecdatacolombia.com
  • Certified by
© 2022 – PROTECDATA COLOMBIA S.A Todos los derechos reservados.
Sitio web hecho con ♥ por Inngenium.

¡No te pierdas nada!

Inscríbete ahora y sé el primero en recibir todas las novedades y actualizaciones exclusivas de nuestra página

¡Tu acceso a la información que necesitas está a un clic!
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.
Política de cookies
×

Hola!

Recibe información gratuita y personalizada

 Protegemos el activo más importante de tu compañía: ¡Los Datos!

× ¡Recibe info personalizada!