Ciberseguridad: Medidas básicas de ciberseguridad en el sector turístico
Fuente: incibe.es Autor: INCIBE Fecha: 27 de septiembre de 2018 Link de consulta: https://www.incibe.es/protege-tu-empresa/blog/medidas-basicas-ciberseguridad-el-sector-turistico?fbclid=IwAR2VtFiCwgquCUEKjCgbR-GsJlH0B4Tes-OganJVjGIvtvbkf5kmYeHGjiE Desde el año 1980, cada 27 de septiembre se celebra el Día Mundial del Turismo. Fue en el año 1979 cuando la Asamblea General de la Organización Mundial del Turismo decidió instituir este día en esta fecha ya que coincide con el aniversario de la aprobación de los Estatutos de la Organización Mundial del Turismo, organismo de las Naciones Unidas encargado de la promoción de un turismo responsable, sostenible y accesible para todos. Esta organización está compuesta por 158 países, 6 miembros asociados y más de 500 Miembros Afiliados que representan al sector privado, a instituciones de enseñanza, a asociaciones de turismo y a autoridades turísticas locales. Durante muchos años, el turismo ha crecido y se ha diversificado de manera constante. Es posiblemente el sector con mayor crecimiento a nivel global, siendo España uno de los destinos turísticos más deseados. Aprovechando esta celebración queremos resaltar aspectos fundamentales relacionados con la ciberseguridad que afectan directamente al sector turístico. Las agencias de viaje, páginas web y otros organismos que trabajan constantemente con datos personales, alojamientos, billetes de diferentes medios de transporte, etc. deben contar con los mecanismos de seguridad suficientes para gestionar y proteger la información. Garantizar la privacidad de los datos repercutirá en una mejora de la imagen corporativa y, por extensión, aumentará la confianza tanto de clientes como de proveedores. Pero además de contar con plataformas tecnológicas que gestionen esta información, no podemos olvidarnos de implicar tanto a empleados como a posibles colaboradores, incidiendo en la importancia de la formación y la concienciación en materia de ciberseguridad. Por lo tanto, será necesario implementar una serie de medidas de seguridad y buenas prácticas para proteger la información, como son las siguientes: Control de acceso a la información. Será de gran importancia contar con una política de seguridad en la que se defina y clasifique la información, dejando claro quién y en qué condiciones accederá a qué tipo de información. Este control tendrá como objetivo impedir fugas de información y que personal no autorizado acceda a información confidencial. Copias de seguridad. Se trata de una de las principales medidas de protección cuyo principal objetivo es evitar la pérdida de información o de los sistemas que la almacenan. Es fundamental realizar copias de seguridad periódicas, asegurándose que albergan toda la información relevante. Por último, será necesario asegurarse de que se sabe cómo recuperar los datos en caso necesario. Gestión de contraseñas. Por seguridad, los servicios y sistemas donde se gestione la información deberán estar bajo la tutela del uso de credenciales. De tal manera que además de un nombre de usuario haya que introducir una contraseña lo más robusta posible (haciendo uso de minúsculas, mayúsculas, números y caracteres especiales), que deberá ser actualizada periódicamente y eliminada de forma segura cuando sea necesario. Las contraseñas deficientes o mal custodiadas pueden provocar accesos no autorizados a los datos y servicios de una organización. Cifrado de datos. Tanto la información sensible y confidencial como los dispositivos o soportes que la contengan (bases de datos, registros, correos electrónicos, etc.), que requieran especial protección, además de controlar su acceso, será necesario cifrar los datos que alojan. De esta forma evitaremos fugas o manipulaciones garantizando la confidencialidad e integridad de la misma. Actualizaciones. Todo software es susceptible de mejorar y por lo tanto de contar con actualizaciones, ya sea por motivos de seguridad o por añadir nuevas funcionalidades. Esto incluye al firmware de los equipos electrónicos, sistemas operativos y aplicaciones informáticas, incluidos los productos antimalware. Por lo tanto será necesario estar al día en cuanto a actualizaciones y parches de seguridad para evitar ser víctimas de ataques no deseados. Eliminación segura de la información. Una vez que la información deja de ser necesaria para una organización, se dice que ha llegado a su última fase de su ciclo de vida, haciéndose necesaria una eliminación de forma segura para que ésta no vuelva a ser accesible, evitando así posibles difusiones accidentales o indeseadas. Control de uso de herramientas corporativas. Si queremos evitar fugas de información garantizando la privacidad de los datos de carácter personal e información sensible, se deberá determinar y controlar qué software estará autorizado para el tratamiento de la información dentro de la empresa. Además, también será necesario controlar los accesos desde el exterior por parte del personal ajeno a la organización. Confidencialidad en la contratación de servicios. En el caso de ser necesaria la contratación de servicios especializados externos que requieran el intercambio de información, deberán contar con una buena capacidad de protección, tanto la que aloja el proveedor como aquella que se encuentra en tránsito. De nada servirá asegurar al máximo nuestros sistemas si luego no exigimos esa misma seguridad a proveedores externos. Cumplimiento legal. Cualquier empresa u organización deberá cumplir las normas que estén establecidas en el país que estén establecidas u operen y oferten sus productos y servicios. Esto, además de ser una obligación legal, ayuda a forjar una buena reputación de negocio. Las principales leyes a cumplir en España son el nuevo RGPD (Reglamento General de Protección de Datos), la LOPD (Ley Orgánica de Protección de Datos), ambas con la finalidad de proteger la privacidad de las personas, o la SSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), que regula aspectos jurídicos de las actividades económicas o lucrativas derivadas del comercio electrónico. Además existen otras como el Eidas (Reglamento Europeo de Identificación Electrónica y Servicios de Confianza en el Mercado Interior), o las leyes de Propiedad Intelectual o Propiedad Industrial. Siguiendo este tipo de pautas básicas, podremos proteger la información que gestionamos y transmitir una imagen positiva de nuestra organización, generando confianza tanto en clientes como proveedores. Proteger y gestionar correctamente la información en cualquier empresa debe ser una de las principales prioridades, ya que conforman la base del negocio del sector turístico. No lo dudes, pon en marcha estas medidas. Feliz Día Mundial del Turismo.
Ciberseguridad: El 70% del valor de una empresa puede ser afectado tras un ataque informático
Juan Carlos Albújar, jefe de producto de Optical Networks (Video: Gestion.pe) Una vulnerabilidad que no tiene cuándo acabar. Mientras más tecnológico sea el mundo y haya más cosas conectadas y sin medidas de seguridad, mayores son los riesgos. El Perú es segundo, en ser víctimas de ciberataques a nivel Latinoamérica. Esto demuestra que preparados no estamos. ¿Qué hace falta? Concientización e información. Conversamos con Juan Carlos Albújar, jefe de producto de Optical Networks sobre este tema y el Ethical hacking. “Las empresas peruanas no están preparadas para un ciberataque. Quizás para los clásicos pero para temas como Ransomware no y eso ya quedó más que demostrado. Y es que como son temas muy nuevos, la tendencia no los ha obligado a tomar medidas. Claro, algunos ya se han asustado y están haciendo algo. Esto no solo ocurre en el país sino en el mundo.” A nivel Latinoamérica, el Perú es segundo, pero en ser víctimas de un ciberataque. Esto, para Albújar, demuestra la realidad de la falta de preparación que tenemos. “Más que perder dinero con un ciberataque, lo que pierden las empresas es la reputación. El 70% del valor de la empresa se puede ver afecto por un ciberataque.” Aún son pocas las empresas que se preocupan por este tema. “La tendencia ha ido creciendo pero aún no es significativo. Posiblemente el próximo año veamos un incremento importante. Falta aún concientización e información.” En otro momento, comentó acerca del Ethical Hacking, el cual en términos generales, es utilizar las vulnerabilidades de algo, hackear algo de manera ética. “Es utilizar el conocimiento que puede ingresar a sistemas y explotar las vulnerabilidades de los sistemas con el objetivo de corregirlas no de hacer daño.” Esta persona especializada puede ver lo que sucede y llegar al fondo y explotar esa información. Un servicio de hacking ético adecuado no solo te dice los inconvenientes sino también te dan las soluciones para evitar ello. Precisó que no es que esté contratando un ciberdelincuente, sino estás contratando una persona entrenada para corregir las vulnerabilidades. “Ahí si viene el tema legal, cuando hacemos un hacking ético firmamos un documento de confidencialidad porque yo ingresaré a tu casa y ver todas tus vulnerabilidades. Hay un acuerdo, una firma de contrato para ello. Solo se analizará lo que tú has pedido que se analice.” Comentó también que contratar un hacker “bueno” puede tener rangos muy variables en cuanto a su remuneración; sin embargo, no suele ser barato. El costo va desde US$2 mil dólares para arriba. Añadió que muchas empresas están obligadas por norma a hacerlo una o dos veces por año, sobre todo las empresas financieras, las que trabajan con manejo de datos para poder seguir operando. Finalmente, indicó que mientras más tecnológico se vuelva el mundo y más cosas estén conectadas, sin medidas de seguridad, mayores son los riesgos. Por ello, hay que ser conscientes que existen X tipos de riesgos y actuar acorde a eso para minimizar los riesgos. “Se estima que de una empresa, el 80% de ataques vienen de adentro de la compañía por el uso inadecuado de la tecnología.” Fuente: https://gestion.pe/tecnologia/ciberseguridad-70-empresa-afectado-ataque-informatico-245430?fbclid=IwAR1TnTexdn1OMSRX6IOk437QPs2R6dctR76bJw8qsYhBLqeQTxGB5TAFXbc
Protección de Datos: Situaciones en las que el uso abusivo del sexting es castigado por la ley colombiana
Hasta 12 años de cárcel por publicar contenido sexual sin consentimiento previo del autor según Ley 1518 de 2012 de Protección de Datos Personales El sexting es el envío de mensajes sexuales, eróticos o pornográficos a través de teléfonos móviles o computadores. Esta práctica que se está popularizando cada vez más, y que es de carácter legal siempre y cuando sea entre dos adultos conscientes, en ocasiones, puede tornarse riesgosa por el uso indebido de la información. Existen casos en los que implica peligros legales por el uso abusivo de la práctica. Esto sucede cuando el material sexual fotográfico, sonoro o en video que una persona envió, en principio bajo consentimiento a un solo individuo, es publicado vía redes sociales, portales web, reenviado a un tercero o comercializado sin autorización previa del autor, por quien recibió la primera vez el contenido. En ese caso, puede considerarse como un delito de injuria, donde se vulnera el derecho a la intimidad. La Ley 1581 de 2012 dice que esto puede dar hasta 12 años de cárcel. También constituye un delito cuando un agresor que tiene material de este calibre extorsiona a la persona dueña, utiliza el constreñimiento ilegal o realiza sexting entre un adulto mayor y un menor de edad. Por estas situaciones, las leyes que amparan y protegen estas conductas son la Ley 1581 de 2012: Régimen General de Protección de Datos Personales; la Ley 1273 de 2009: Protección de la Información y de los Datos; la Ley 1336 de 2009: Lucha contra la explotación, la pornografía y el turismo sexual con niños, niñas y adolescentes; y la Ley 1098 de 2006: Código de la Infancia y la Adolescencia. JIMMY JIMÉNEZ SOCIO ESPECIALISTA DE INTEGRITY LEGAL “El sexting genera implicaciones legales no en sí mismo por la recepción de fotos eróticas, sino por el uso de esas fotografías. Ahí entramos en delitos como la extorsión: artículo 244 del Código Penal”. También está el Artículo 182 del Código Penal, el de Constreñimiento Ilegal, que se refiere a obligar a alguien a hacer, tolerar u omitir alguna acción, tendrá un castigo de prisión entre 16 meses hasta tres años. Ahora bien, cuando se trata de menores, “en Colombia hoy es un delito sin discusión alguna tener en el móvil fotografías sexuales de menores de edad”, puntualizó Jiménez. Quien lo haga está incurriendo en el delito de pornografía con menores, Artículo 218 del Código Penal: “El que fotografíe, filme, grabe, produzca, divulgue, ofrezca, venda, compre, posea, porte, almacene, trasmita o exhiba, por cualquier medio, para uso personal o intercambio, representaciones reales sexuales que involucre persona menor de 18 años de edad, irá a prisión de 10 a 20 años”. Lo preocupante es que solo 10% de casos de este tipo son denunciados, según explicó el Gaula de la Policía y que siete de cada 10 estudiantes han practicado sexting, de acuerdo con la Universidad de la Sabana. Antecedentes El pasado 1 de junio de 2012 la Sala Penal de la Corte Suprema de Justicia realizó la primera condena por un caso de extorsión sexual a través de Facebook, según publicó la plataforma ‘En TIC confío’, una estrategia para la promoción de uso responsable de internet del MinTIC. En esa ocasión, un hombre fue condenado por solicitar dinero y relaciones sexuales a una mujer a cambio de no publicar videos pornográficos de ella en internet. Le obligaron a pagar cuatro años de cárcel y una multa de 300 salarios mínimos. Fuente: https://www.asuntoslegales.com.co/actualidad/situaciones-en-las-que-el-uso-abusivo-del-sexting-es-castigado-por-la-ley-colombiana-2779074?fbclid=IwAR21o0AG
Protección de Datos: Si contratas un producto bancario, ¿qué datos personales deberás comunicar?
Acudir a un banco para contratar uno de sus productos o servicios, ya sea una cuenta corriente o el medio de inversión más complejo, requiere necesariamente comunicar a la entidad nuestros datos personales. Pero, ¿cuáles son, para qué sirven y cómo les trata el banco? ¿Es seguro comunicarlos? A esta última pregunta los expertos contestan rotundamente por la afirmativa. Uno de los elementos decisivos, en este sentido, es el reglamento comunitario sobre el tratamiento de los datos personales y su libre circulación, que es obligatorio cumplir desde el pasado mes de mayo. Protección y blanqueo Esta normativa establece que un banco (como cualquier otra entidad, institución u organismo) deberá tratar todas las informaciones que posee sobre una persona “de forma lícita, leal y transparente”, señala José María López Jiménez, miembro del equipo de trabajo del portal de educación financiera Edufinet. Los datos personales que la entidad pida deben ser adecuados, pertinentes y serán los mínimos necesarios para fines determinados, explícitos y legítimos. “Serán también exactos y actualizados”, añade López, “y mantenidos solo durante el tiempo necesario a su tratamiento”. El banco los protegerá también contra procedimientos no autorizados o ilícitos, su pérdida o destrucción. Más allá de una identificación correcta del cliente por nombre, apellidos, domicilio fiscal, teléfono y correo electrónico, entre otros, la solicitud de datos por parte de las entidades financieras responde a la necesidad de “conocer elementos que pueden influir en la dinámica contractual o puede mejorar la personalización de la oferta”, destaca López. En determinadas circunstancias –como la contratación de instrumentos financieros– la ley misma impone profundizar en los datos patrimoniales del usuario. La normativa contra el blanqueo de capitales, por ejemplo, impone a los bancos conocer su país de origen, profesión o actividad que justifique la procedencia de los fondos y la finalidad por la que se contrata un determinado producto, entre otros elementos. Cuenta y tarjeta de débito De esta forma, la operación más sencilla, es decir, abrir una cuenta corriente (o una libreta) requerirá la comunicación de “una información muy básica que solo en raras ocasiones excede de nombre, apellido, fecha de nacimiento y DNI o NIE”, explica Antonio Gallardo, experto en finanzas del comparador bancario iAhorro. En el caso de un usuario no residente, sin DNI español o NIE, la entidad pedirá algún justificante de su presencia en España, como algún recibo a su nombre. Si con la cuenta se solicita también una tarjeta de débito, no harán falta otros datos. Para obtener este tipo de plástico es raro que las entidades soliciten un historial crediticio. “Se centrarán en datos de ingreso si la cuenta tiene un servicio de nómina y por algún tipo de promoción que exija importes mínimos o se vincule también a algún tipo de financiación”, alega Gallardo. Tarjetas de crédito Cuando la financiación se materializa a través de una tarjeta de crédito, el estudio previo de viabilidad que realiza el banco requiere que el cliente le autorice a consultar sus datos en la Central de Información de Riesgos del Banco de España (Cirbe), para averiguar si tiene deudas derivadas de préstamos y otras tarjetas. “A ello se añaden una justificación de ingresos, la declaración de la renta y, si el cliente es asalariado, las tres últimas nóminas, y, si es autónomo, el último pago fraccionado (modelo 130), la última declaración del IVA (modelo 303) y, aunque más raramente, algún documento que atestigüe la antigüedad de la actividad”, agrega Gallardo. Cada vez más a menudo la tarjeta de crédito es de una entidad financiera distinta a la de la cuenta a la que está vinculada. En este caso, la entidad emisora puede solicitar al usuario más documentación que respalden sus ingresos. Préstamos Cuando el cliente pide un préstamo, a parte toda la documentación que se solicita en los casos anteriores, el banco querrá conocer información “mucho más sensible”, en palabras de Gallardo. Para los trabajadores por cuenta ajena, se trata de la antigüedad en el puesto de trabajo, lo que implica comunicar también el puesto ocupado, que se refleja en el código de cotización. Los autónomos tendrán que entregar aún más documentación que en el caso de la tarjeta de crédito. Entre estos papeles se encontrarán también la declaración de ingresos a terceros o el censo como empresario. Seguridad Si la información personal que es necesario entregar a la entidad es distinta según los productos que se suscriben, el hecho de que estos se contraten cada vez más online supone que los datos también se transmitan por internet. “Al contrario de lo que se cree, los procedimientos de verificación online son más seguros que algunas de las formas de comunicación que teníamos hasta ahora, como el correo electrónico, que no está cifrado”, asegura Gallardo. Este experto destaca también que la doble comprobación –es decir, el envío de un código al móvil del usuario que se deberá insertar después de haber tecleado la clave de acceso– es, junto con las páginas web seguras, un medio muy eficaz para garantizar la seguridad de los datos. Fuente: https://elpais.com/economia/2018/09/07/actualidad/1536333836_987723.html?fbclid=IwAR0jImLeih0B7KFza6KvVNdhbI4jaNs7MLbwWdnXtkNW1ScTTpI_k0Ic20Y
Seguridad y Salud en el Trabajo: Bogotá se prepara para próximo simulacro
La Administración Distrital organiza el simulacro de evacuación previsto para este 24 de octubre, con el propósito de poner a prueba a funcionarios públicos y empleados de las empresas privadas para saber cómo reaccionan a situaciones de emergencia. El miércoles 24 de octubre a las nueve de la mañana los bogotanos deberán poner en práctica la capacidad de respuesta ante los diferentes escenarios de riesgo en la ciudad. Canal Capital contactó a Carlos Torres Becerra, subdirector de emergencias del IDIGER, para saber qué se debe tener en el momento de una emergencia. “Primero que todo, los ciudadanos debemos informarnos de cuales son los diferentes escenarios de riesgo que hay en la ciudad para luego empezar a prepararnos. Conociendo cuales son las rutas de evacuación, los puntos de encuentro, alistando el kit de emergencias, animales de compañía debemos evacuar con ellos porque son parte del núcleo familiar”, afirmó. El Instituto Distrital de Gestión de Riesgos y Cambio Climático busca que en situación de emergencia los ciudadanos no entren en pánico. Registro de la experiencia “Tenemos registrados diez mil organizaciones quienes nos proyectan que un millón doscientas mil personas irán a evacuar. Esperamos que en los próximos días continúen los bogotanos haciendo su respectivo registro”, afirmó el profesional. Después de realizar la evacuación, los ciudadanos deberán reportar la participación en el simulacro en la página web www.idiger.gov.co para obtener las cifras consolidadas del simulacro en Bogotá. Carlos torrez asegura: “cada organización podrá descargar del aplicativo su certificado de participación en el simulacro el cual es un componente del sistema de seguridad y salud en el trabajo”. Además, el 18 de octubre se realizará el primer encuentro de brigadas empresariales de emergencias, un espacio para darle reconocimiento a las organizaciones que a diario protegen la vida de los ciudadanos. Fuente: https://conexioncapital.co/bogota-prepara-proximo-simulacro/?fbclid=IwAR0TgptgWRfyNKLdk9ioIMOS1mX3CQVr3sCd1ljuaDIhadkuuzcdzUquebc
Ciberseguridad y ciberprivacidad
Fuente: estrategia.cl Autor: Alfredo Barriga Fecha: 5 de octubre de 2018 Link de consulta: http://www.estrategia.cl/texto-diario/mostrar/1202900/ciberseguridad-ciberprivacidad En estas dos semanas, en lo que se refiere al mundo digital en Chile, la ciberseguridad y la privacidad de los datos la han llevado. Estamos ya discutiendo una nueva ley de privacidad de datos, que hace tiempo la necesitábamos. No solo para proteger la privacidad de las personas, sino también para generar oportunidades de negocio desde Chile dentro de la industria de tratamiento de datos, que mueve cientos de miles de millones de dólares al año. Efectivamente, si nuestra ley cumple con los estrictos parámetros de la Comunidad Económica Europea, Chile podría tener el estatus de “puerto seguro”. Respecto de la privacidad de datos, la ley debe ser muy explícita en recalcar que los mismo tienen propietario: aquél a quien los datos se refieren. El principio es muy claro: que una empresa, o el Estado, o una organización cualquiera haya creado un dato de una persona no la hace propietaria de ese dato: le pertenece a la persona. La ley contempla afortunadamente la portabilidad de datos, en el sentido de que, por ejemplo, un paciente puede exigir a una clínica que le entregue todos los datos, en un formato que pueda ser leído por otros sistemas. Creo que la frase correcta debería ser “formato digital”, de forma que no quede lugar a dudas sobre cómo se deben entregar los datos. Decir que debe “ser leído por otros sistemas” podría dejar una ventana abierta a interpretaciones mañosas de la ley. La privacidad de los datos enlaza con el otro gran tema que ha tomado la agenda digital: la ciberseguridad. El presidente ha hecho bien en poner a Jorge Atton a cargo de este tema, quien en poco tiempo ha generado una ruta legislativa apropiada al desafío que supone las brechas de seguridad. Chile no está bien preparado para ataques cibernéticos, que en plena sociedad digital equivalen a ataques armados. No está claro si fue o no fue un país extranjero el que hizo el reciente ataque a bancos en Chile. Lo que si esta claro es que pueden hacerlo. Por lo tanto, es un tema para tratar de forma urgente, profunda y contundente. Avanzar rápida y decididamente en los temas de privacidad de datos y ciberseguridad es una política necesaria para insertar a Chile en la sociedad del conocimiento y la información. Hay muchos beneficios para todos, cuando tengamos una infraestructura digital segura donde se respete la privacidad. Gana la sociedad, gana la economía, gana la democracia. Alfredo Barriga Cifuentes Consultor en Transformación Digital e Innovación Profesor UDP Ex Secretario Ejecutivo de Desarrollo Digital Autor «Futuro Presente: cómo la nueva revolución digital afectará mi vida»
Ciberseguridad: El panorama de Colombia en transformación digital
En la actualidad, los avances tecnológicos están abarcando no solo todas las esferas de la vida, sino que se han extendido a todos los sectores de la economía. Por esta razón, es necesario abrir un diálogo sobre cómo se encuentra Colombia en términos de transformación digital. De acuerdo con The Enterprisers Project, una comunidad compuesta por CIOs (directores de Información) y líderes de Tecnologías de la Información, la transformación digital es “la integración de la tecnología digital en todas las áreas de una empresa, cambiando fundamentalmente la forma de operar y entregar valor a los clientes”. Teniendo en mente el presente del país en temas de ciberseguridad, industria 4.0 y futuro de la energía, se desarrollará este miércoles 17 de octubre el foro “Cuarta revolución industrial: ¿Qué tan lejos estamos del futuro?”, organizado por el diario Portafolio y EL TIEMPO. El evento, que tendrá lugar en el Centro de Convenciones AR de Bogotá, contará con la participación de Ricardo Ávila, director de Portafolio, quien hablará sobre el panorama económico del país. Por su parte, la Ministra de Tecnologías de la Información y las Comunicaciones, Sylvia Constaín, abrirá el foro con una conferencia sobre la visión que tiene el nuevo Gobierno sobre transformación digital. Un espacio académico que espera dar luces sobre los próximos cuatro años en proyectos desarrollados en torno a la integración de la tecnología digital en los diferentes sectores del país. La cuota extranjera del foro la pondrá Katherine Wood, directora de Desarrollo de Portafolio Global para Ciberseguridad Industrial en Siemens Alemania. Ella explicará los desafíos de la ciberseguridad en el ámbito global, basada en su experiencia liderando equipos de científicos de datos y economistas del comportamiento para resolver los desafíos de seguridad, incluida la búsqueda de amenazas, la autenticación y la detección de fraudes. El evento abrirá sus puertas de 8:00 a.m a 12:30 p.m en el Centro de Convenciones AR Calle 113 # 7 – 80 – Bogotá. Fuente: https://www.eltiempo.com/tecnosfera/este-miercoles-se-realiza-un-evento-sobre-ciberseguridad-en-bogota-280692?fbclid=IwAR1LH1-1rxod62Rv6e7sNfOv-5rYIA-RQY-rbfz7HmuD6QllnCzYpzSeqFo
Ciberseguridad: El comportamiento se sitúa como la nueva huella de identificación
Fuente: dinero.com Autor: CIBERSEGURIDAD Fecha: 8 de octubre de 2018 Link de consulta: https://www.dinero.com/empresas/articulo/que-es-la-biometria-conductual/262851 El robo y secuestro de información tiene al mundo en alerta. De ahí se derivan inconvenientes como la suplantación de identidad, un delito que viene de mucho tiempo atrás. Cifras de la consultora McKinsey, estiman que este año el negocio de la verificación y validación de identidades mueva unos US$10.000 millones en ingresos, que se duplicarían hacia el 2020. La identidad integra un conjunto de datos que le pertenecen a un individuo (su nombre, su dirección, su número de pasaporte, actividad en redes sociales) y es única. De otro lado está la autenticación, que es cuando un tercero conoce la identidad del individuo pero pide que se lo demuestre. Es así como en una tarjeta de crédito se pide un pin; en una aplicación se pide una contraseña, secretos por los que los delincuentes trabajan día y noche para robarlos. Esto se hace cada vez más difícil por los sofisticados avances compuestos por una multiplicidad de factores de autenticidad. Se han visto grandes esfuerzos en ese sentido y con mayor urgencia, provenientes de quienes ofrecen servicios financieros. El banco TSB del Reino Unido usa escaneo del iris para autenticar actas; MasterCard ha experimentado el reconocimiento facial para poder pagar con una selfi y el banco HSBC tiene un sistema biométrico por medio de la voz. Precisamente la biometría está teniendo un rol protagónico en estos esfuerzos. Una de las opciones que se desprende, es la biometría conductual o comportamental. “Identificar cómo un usuario se comporta es un gran valor. La industria está observando nuevos factores de riesgo. La biometría conductual es una tendencia mundial, en búsqueda de factores que permitan identificar a los usuarios de una manera más transparente. La industria financiera ha puesto mucho esfuerzo en reducir fricción en los procesos transaccionales. Cada segundo que pierdes autenticando, es un segundo que se pierde en la transacción”, le explicó a DineroRicardo Villadiego, vicepresidente ejecutivo de Seguridad y Antifraude de Cyxtera Technologies. Gustavo Paissan, gerente de Mercadeo y Desarrollo de Negocios de Gemalto, esclarece que existe la biometría física como la dactilar, facial o del iris y de voz también. Lo que diferencia a esos métodos de la conductual, es que mientras para otros tipos de biometrías es obligatoria la presencia física, en esta se puede tener una única identidad digital a partir de las interacciones de una persona. “Se puede saber de qué forma una persona presiona el teclado, estos sistemas se dan cuenta de eso. La importancia de que sea dinámico es que puedo usar el canal móvil y además verificar que el teléfono no haya sido hackeado, que no haya nadie usando credenciales o un ‘bot’ que esté haciendo eso. Combinando todo se pueden identificar patrones habituales, dejando un rastro sobre la persona digital”, comenta Paissan. De otro lado Zohar Elnekave, vocero en Colombia de Biocatch, una compañía israelí que aplica la biometría conductual basada en la tecnología de Microsoft Azure, asegura que con esta opción se puede identificar cuando alguien está robando identidades o actuando bajo el nombre de otra persona. “La biometría conductual en los próximos años va a ser un jugador clave en temas de seguridad, no solamente para los bancos, sino también en otro tipo de organizaciones del sector salud y seguros, porque se está viviendo que la última barrera en temas de seguridad es la persona”, señala Elnekave. Este sistema puede tener en cuenta la manera de escribir en el computador, la cantidad de dedos que se usan, la presión que se aplica a la pantalla del celular, los sutiles movimientos del ‘mouse’ y hasta el ángulo sobre el que gira y ubica el dispositivo móvil. Villadiego resalta que esos datos permiten perfilar el comportamiento y determinar la autenticación con alto grado de precisión. “Lo más interesante es que el criminal también es un humano. También es un patrón único cuando digita la contraseña o cuando mueve un ‘mouse’. Lo cual nos permite detectar patrones de comportamiento de los adversarios. Cuando hemos detectado patrones de los adversarios podemos ver si dentro de la base hay criminales accediendo. Es un avance significativo en la forma como combatimos a los criminales”, agrega. Para el vicepresidente de Cyxtera Technologies, este es un complemento, es un factor de riesgo que permite disminuir la fricción en el canal transaccional. Lo mismo opina Paissan, quien considera que esto es una cuestión de capas de seguridad. “Esta es una capa adicional de otras capas que funcionan para filtrar los riesgos. Hay que tener muchas capas que se complementan. Ya hay bastante fricción en muchas de estas cosas”, precisa.
Ciberseguridad: El FBI investiga la última filtración de datos de Facebook que afectó a 29 millones de usuarios
Piratas informáticos robaron datos de 29 millones de cuentas de Facebook usando un programa que se movió de un contacto a otro, dijo el viernes la empresa, que agregó que la mayor violación de seguridad en la red social afectó a menos de los 50 millones de usuarios que inicialmente reportó. La compañía informó que enviaría mensajes a los afectados en los próximos días para contarles el tipo de información a la que se había accedido en el ataque. La violación dejó a los usuarios más vulnerables a un fraude por internet y podría profundizar su inquietud sobre publicar en un servicio cuyas prácticas de privacidad, moderación y seguridad han sido cuestionadas tras una serie de escándalos, dijeron expertos en ciberseguridad y analistas financieros. Los atacantes obtuvieron detalles de perfiles como fechas de nacimiento, empleadores, historia educacional, preferencia religiosa, tipos de dispositivos utilizados, páginas seguidas, búsquedas recientes y registros de ubicación de 14 millones de usuarios. Para los otros 15 millones, se restringió a nombre y detalles de contacto. Tanto legisladores como inversores están más preocupados de que Facebook no esté haciendo lo suficiente para resguardar los datos. Las acciones de la compañía subieron un 0,2% el viernes, frente a una escalada del 2,2% del índice Nasdaq Composite. Facebook dijo que los usuarios afectados fueron menos que su estimación original, tras revisar la actividad de cuentas que podrían haber sido afectadas. Sin embargo, expertos en ciberseguridad advirtieron de que millones de cuentas tenían el riesgo de ser atacadas. El vicepresidente de Facebook, Guy Rosen, afirmó a periodistas que el Buró Federal de Investigaciones (FBI) le pidió a la compañía limitar las descripciones de los atacantes debido a una investigación en curso. La firma aseguró que intentaba determinar si los piratas informáticos realizaron acciones aparte de robar datos, como publicar desde las cuentas. Agregó que no robaron mensajes personales ni datos financieros y no utilizaron su acceso a las cuentas de los usuarios de otros sitios web. La más reciente vulnerabilidad de Facebook ha existido desde julio de 2017, pero la compañía la identificó por primera vez a mediados de septiembre tras percatarse de un incremento notorio en el uso de la función de privacidad «ver cómo». La función permite a los usuarios a verificar la configuración de privacidad al observar cómo se ve su perfil para los demás. Pero tres errores en el software de Facebook permitieron que algunos accedieran a «ver cómo» para publicar y navegar desde la cuenta de otro usuario. (Reporte de Munsif Vengattil en Bengaluru y Paresh Dave en San Francisco, Reporte adicional de Akanksha Rana en Bengaluru, Jim Finkle en Nueva York y Joseph Menn en San Francisco, Editado en Español por Manuel Farías) Fuente: https://www.cibercuba.com/noticias/2018-10-13-u191208-e43231-s27061-fbi-investiga-ultima-filtracion-datos-facebook-afecto-29?fbclid=IwAR3mbrHYepSm07fulosmSX1W-dq8M07tXLecI-Vo1gHYJdD958bzj9g6occ
