Diferencias entre cifrado, hashing, codificación y ofuscación

Cristina del Carmen Arroyo Siruela    1 junio, 2022

Actualmente, existe mucha confusión respecto a los términos de cifrado, codificación, criptografía, hashing y técnicas de ofuscación. Estos términos están relacionados con la seguridad informática, concretamente con la confidencialidad y la integridad de los datos o información, excepto en el caso de la codificación y ofuscación.

Dada la alta importancia que tienen los datos e información, siendo estos considerados como elementos clave en los sistemas de información, conviene conocer con que mecanismos se cuentan de cara a protegerlos y en qué casos se debe emplear uno u otro.

La criptografía, metodología enfocada a la seguridad en sistemas de información

La criptografía forma parte del campo de la criptología, ciencia que está compuesta por campos como el criptoanálisis y la esteganografía. La criptografía se enfoca en el estudio de los métodos empleados con el fin de que un mensaje o información no pueda ser leída por un tercero sin autorización, es decir, garantizar la confidencialidad de la información.

También se emplea para prevenir accesos y usos no autorizados de recursos de red, sistemas de información, etc.

La criptografía es una metodología cuyo objetivo es proporcionar seguridad en los sistemas de información y las redes telemáticas, incluyendo entre muchas de sus funciones la identificación de entidades, mecanismos de autenticación y de control de acceso a recursos, la confidencialidad e integridad de los mensajes transmitidos y su no repudio.

Codificación de mensajes

La codificación es un proceso de transformación de datos a un formato diferente al original. Para ello, se emplea un método público, disponible para cualquier persona y en la mayoría de los casos, empleando un formato estándar usado de manera amplia.

Un ejemplo, es el Código Estándar Americano Para El Intercambio De Información, conocido como ASCII. En este estándar se convierten los caracteres alfabéticos y caracteres especiales en números. Esos números se conocen como el “código”.

La codificación no se emplea para fines de seguridad, ya que únicamente transforma la presentación de los datos de un formato a otro, sin emplearse ninguna clave en ese proceso, y empleando el mismo método o algoritmo para codificar y decodificar los datos o esa información.

Este proceso nació como respuesta a la necesidad de transmitir la información a través de internet mediante estándares que permitieran la interpretación de los datos o información por parte de diferentes entornos, programas y otros elementos.

Ejemplos de codificación son el empleo de las tablas ASCII, UNICODE, MORSE, Base64 y URLEncoding.

Empleando funciones matemáticas; hash

La función de hash es el proceso criptográfico por el cual se obtiene una cadena de caracteres única, a través de una función matemática. Esa función matemática o hash se encuentra en el núcleo del algoritmo, el cual es capaz de transformar cualquier bloque arbitrario de datos en una cadena de caracteres con una longitud fija.

La longitud de la cadena de caracteres resultante siempre tendrá el mismo tamaño, independientemente de la longitud de los datos de entrada, siempre y cuando se emplee el mismo algoritmo hash. Ejemplos de funciones de hash son MD5, SHA1, SHA-256, etc.

En la siguiente imagen se puede entender cómo, dependiendo del input o entrada, y de acuerdo con el algoritmo hash aplicado (en este ejemplo SHA1), el digest o salida será de un modo u otro.

Si, por ejemplo, empleáramos SHA-256, en todos los casos anteriores, el output sería de una extensión fija, en cualquier caso, e independientemente de la longitud del input, de 256 bits y 64 caracteres, aunque los digest serian totalmente distintos.

Para considerar que una función hash es segura, deberá cumplir estas 3 propiedades:

  • Resistencia a la colisión: Debe ser inviable que, frente a 2 inputs distintos, cualesquiera, se produzcan un mismo hash como output.
  • Resistencia a preimagen: Debe cumplir que sea improbable o que haya muy baja probabilidad de «revertir» la función hash (encontrar el input a partir de un output determinado).
  • Resistencia a la segunda preimagen: Inviable encontrar una colisión, es decir, no puede existir un mismo hash para distintos inputs.

Las funciones hash pueden emplearse en múltiples casos de uso, siendo estos algunos ejemplos:

  • Búsquedas concretas de información en bases de datos de gran tamaño.
  • Análisis de grandes archivos y gestión de datos.
  • En la autenticación de mensajes, firmas digitales y certificados SSL/TLS.
  • En el proceso de minado, generación de nuevas direcciones y claves de Bitcoins.

Que es el cifrado de datos

El cifrado de datos es el proceso de convertir un texto o datos en formato legible, en un texto o datos ilegibles, conocido como output cifrado.

El cifrado está basado en la aplicación de un algoritmo que usa una clave o llave maestra que permite la transformación de la estructura y composición de la información que se busca proteger, de tal modo que, si esta información es interceptada por un tercero, no podría interpretarla o entenderla, es decir, es ilegible.

Candado en una puerta
Foto: Maxim Zhgulev / Unsplash

Cuando los datos se han cifrado, solo quienes tienen la clave que permite el descifrado, podrán llevar a cabo esa acción, permitiendo el acceso a los datos en un formato legible.

Por tanto, este mecanismo tiene un enfoque principalmente hacia la protección de la confidencialidad.

El uso de claves criptográficas complejas otorga mayor seguridad a ese cifrado, dificultando los ciberataques sobre ellas, ya sean de fuerza bruta o de otro tipo.

Los 2 métodos de cifrado más comunes son el cifrado simétrico y el cifrado asimétrico. Los nombres hacen referencia a si se utiliza o no la misma clave para el cifrado y el descifrado:

  • Claves de cifrado simétrico: Conocido también como cifrado de clave única. Su característica principal es el empleo de la misma clave tanto para cifrar como para descifrar, siendo este proceso más cómodo para los usuarios y sistemas cerrados.

Por otro lado, todas las partes interesadas deben de disponer de esa clave y su distribución se debe hacer por mecanismos seguros. Esto aumenta el riesgo de que pueda verse comprometida si la intercepta un tercero como un ciberdelincuente, a no ser que esta se cifre con una clave asimétrica, que suele ser la práctica habitual. Este método es más rápido que el método asimétrico.

  • Claves de cifrado asimétrico: en este tipo de cifrado, se utilizan 2 claves diferentes (pública y privada) vinculadas entre sí matemáticamente. Las claves son básicamente números extensos vinculados entre sí, pero no son idénticos; de ahí el término «asimétrico».

El propietario mantiene en secreto la clave privada, mientras que la clave pública se comparte entre los receptores autorizados o queda disponible al público general. El proceso de cifrado se lleva, por tanto, a través de la clave publica, y el de descifrado, con la clave privada del receptor.

El cifrado se emplea en muchos casos, siendo los siguientes algunos de ellos:

  • Cifrado de las comunicaciones por voz.
  • Cifrado de datos bancarios y de tarjetas de crédito.
  • Cifrado de bases de datos.
  • Firmas digitales, para verificación de la autenticidad del origen de la información.

La ofuscación

El propósito de la ofuscación es hacer que algo sea más difícil de entender, generalmente con el propósito de hacerlo más difícil de atacar o copiar.

Foto: Markus Spiske / Unsplash

Comúnmente, se emplea este mecanismo para la ofuscación del código fuente de una aplicación con el fin de que sea más difícil replicar un producto o función determinada. Este mecanismo no es un control de seguridad fuerte, pero si un obstáculo de cara a hacer que algo sea más ilegible, ayudando a dificultar la aplicación de ingeniería inversa.

Al igual que la codificación, a menudo es reversible empleando la misma técnica que se empleó en la ofuscación. Otras veces es simplemente un proceso manual que llevo algo de tiempo.

Algunas aplicaciones que ayudan a este proceso, aunque se recomienda siempre realizarlo manualmente, son JavaScript Obfuscator, y ProGuard.

Imagen de apertura: Pexels / ThisIsEngineering.

Cómo encontrar trabajo en Linkedin siguiendo la estrategia de David Díaz

Raúl Salgado    1 junio, 2022

David Díaz Robisco está entre las veinte personas de habla hispana más influyentes en Linkedin a nivel mundial, según un ranking elaborado por la revista Entrepeneur.

La suya es una historia de ascensos y caídas, que le permiten trazar con propiedad la hoja de ruta que se debe seguir para encontrar trabajo en esta red social. Estas son, en su opinión, las cinco claves siguientes:

  1. “Siempre se dice que encontrar trabajo es un trabajo. Y es así. Pero hay una buena noticia: solo necesitas un sí”. 
  2. Tres de cada cuatro puestos de trabajo no se publican. Y esos puestos no se dan a «enchufados», sino a personas que están bien conectadas en los entornos y momentos adecuados”. 
  3. “Tenemos que pasar del tener (estudios o experiencia) a demostrar con hechos cómo los hemos utilizado de forma práctica”.
  4. “Las empresas / personas buscan hiperpersonalización, no una misma solicitud para todas las compañías, sino tener unas ideas básicas y adaptarlas a cada empresa”.
  5. “Como no es fácil estar en el sitio y el momento justos, ni acceder a esos tres de cada cuatro puestos de trabajo que no se publican, hay que ser constantes a la hora de contactar con compañías y departamentos de empresas que nos interesan y demostrar nuestra valía con ejemplos”.

Nuevos procesos de selección

Las redes sociales se han convertido en una herramienta fundamental en los procesos de selección de candidatos. De hecho, en torno a nueve de cada diez reclutadores las usan. Linkedin es la predominante, aunque cada plataforma tiene su mercado y algunas ofertas pueden publicarse primero en una y posteriormente remitirse a otra externa. 

Infojobs u otras similares, por ejemplo, serían para acceder a las ofertas que sí se publican (solo una de cada cuatro), y los expertos también recomiendan estar en ellas.

Las principales webs y buscadores de empleo para encontrar trabajo

Tres pilares para triunfar en Linkedin

“No cerraría ninguna puerta. Quizá las plataformas de empleo sean el primer filtro para acceder a los procesos de selección y Linkedin el previo a la entrevista”, asegura Díaz, para quien existen tres pilares a la hora de triunfar en esta red social:

  1. La imagen, para explicar cómo es uno mismo, destacar nuestras fortalezas y demostrar con datos y hechos qué podemos hacer por quienes visitan nuestro perfil.
  2. Los contenidos, que pueden ser fotos o textos relacionados con nuestra actividad diaria, preferiblemente en tono positivo.
  3. La red de contactos. Para hacerla crecer, Díaz recomienda filtrar por temas y publicaciones e interactuar invitando a contactar.

El boca-oído

Es cierto que los departamentos de Recursos Humanos cada vez pasan más horas consultando la pantalla. Que la detección y captación de talento suelen hacerse a golpe de clic. Pero también es verdad que el boca-oído siempre ha funcionado. Y que siempre funcionará.

En cualquier caso, David Díaz sostiene que si hay un boca-oído, antes de darte la posibilidad de la entrevista, se visita el perfil de Linkedin para ver si la persona merece o no la pena. 

Lejos de las generalizaciones, los procesos de selección dependen significativamente tanto del puesto de trabajo como del sector de actividad. Así, los empleos más cualificados y menos repetitivos serían los más proclives para encontrarlos por Linkedin.

En cualquier caso, sigue habiendo algunas ofertas -de informáticos, por ejemplo- realmente difíciles de cubrir para los reclutadores, ya sea a través de las redes sociales o de otro tipo de vías.

Una historia de éxitos y fracasos

Díaz ha trabajado por cuenta propia y ajena. Tiene en su haber un nutrido currículo y una dilatada trayectoria profesional. Ha saboreado lo dulce del éxito y lo amargo del fracaso.

Entre otros hitos, montó una empresa desde cero con la que en apenas seis años llegó a facturar 12 millones de euros -con más de la mitad de la facturación procedente del exterior-. Cifras de envergadura que le llevaron a creerse Superman, como él mismo reconoce. Sin embargo, año y medio después quebró.

De aquella historia aprendió lecciones que ahora imparte a empresarios que quieran impulsar sus compañías y mejorar su liderazgo para implicar al equipo; la base de clientes, productos y servicios; o su conocimiento de los grandes números sin necesidad de ser financieros.

Cómo ser visibles y rentables en Linkedin

Asimismo, ofrece cursos para ser visibles y rentables en esta red social. Para causar una buena primera impresión y superar esa “puerta fría” en las reuniones comerciales, así como para aprender estrategias que funcionan con menos de 1.000 seguidores, sin estar todo el tiempo en esta red social y con estrategias de prospección en frío.

Barreras para encontrar trabajo

Su experiencia también le permite hablar con conocimiento de causa sobre las barreras más importantes para encontrar trabajo en la actualidad.

Por parte de la empresa, explica, siempre se tiene la duda de si el candidato será o no de confianza. Un interrogante frente al que recomienda una práctica solución: consultar a compañeros que hayan trabajado con esta persona anteriormente.

Por parte de los trabajadores, si hay exceso de personas, advierte de la imposibilidad de negociar y de la dificultad de tener claro quién tomará definitivamente la decisión.

Asimismo, alerta de los impedimentos para saber por qué una candidatura fue rechazada y cómo mejorar esa primera impresión.

Valorarse a sí mismos

Finalmente, por parte de los candidatos, Díaz opina que el problema siempre es el mismo: no saber cuál es el valor diferencial ni cómo comunicarlo.

¿Qué se nos da bien? ¿En qué somos buenos? ¿Sabemos contarlo? Son algunas preguntas que convendría hacerse para ponerse en valor uno mismo, ya que nosotros tenemos que ser los mejores vendedores de nuestras propias fortalezas, capacidades y habilidades.

Actitudes y aptitudes en torno a las que jamás hay que mentir. De hecho, para tener una respuesta correcta, conviene preguntar a nuestro entorno más íntimo qué es lo que más destacan de nosotros, tanto lo negativo como lo positivo. “Y a partir de ahí, construir nuestra propuesta de valor personal”, concluye Díaz.  

Imagen: https://daviddiazrobisco.com

Es el omniconsumidor quien determina la relación en retail

Manuel Carballo    1 junio, 2022

Omnicanalidad al servicio del omniconsumidor con el énfasis en el segundo es, probablemente, una de las ideas más destacadas de la versión extendida que os prometimos de la entrevista a Javier Lorente. El término omniconsumidor puede interpretarse como un cambio de paradigma o puede que sea el regreso a uno anterior, que se nos olvidó por las prisas. Tendréis que averiguarlo viendo los vídeos.

A veces los canales no dejan ver al cliente

Durante unos años  la integración perfecta entre los canales off y online (omnicanalidad) ha sido el caballo de batalla de muchas empresas que se encontraban en una u otra de las “orillas” del retail. Y mientras el debate se centraba en las tecnologías, y todos se ponían muy serios sobre el mejor outfit tecnológico para seducir a nuevos y hasta a los viejos clientes, daban ganas de decir aquello de: “¡Es el cliente, estúpido!”.

Él siempre ha estado ahí. A veces se ha adaptado a propuestas WOW “megafantásticas” pero también, para dolor de cabeza de consultoras y gurús, ha aprobado, desaprobado y creado nuevas formas de relación con canales y marcas. Siempre ha sido la clave.

Javier Lorente, con una visión más sensata, nos recuerda que, del mismo modo que el retail no muere sino que renace, el cliente sigue siendo el leitmotiv, aunque a veces se le ignore o se trate como “alguien a quien hay que enseñar”.

Las claves de un retail con futuro

Y, hablando de aprender, os dejo los cuatro bloques de la entrevista. Os garantizo que merece la pena invertir el tiempo en ellos. Escuchar a Javier es un ejercicio diferente al habitual. No hay ruido sino reflexión, no hay prisa sino observación serena, no hay opiniones cerradas sino un análisis profundo del mercado. No esperéis encontrar sentencias rotundas o expresiones altisonantes que señalen la luz al final del túnel. Muestra un crisol de pinceladas y tendencias, con sentido común a raudales que, sumado a la experiencia, pueden hacer que todo salga bien en retail.

Para evitar este innecesario spoiler, os dejo un pequeño título de cada vídeo para que podáis escoger la forma de verlos, según vuestros intereses:

1-La importancia del omniconsumidor.

2-La necesidad de educarnos en el valor de los datos.

3-El efecto sorpresa en la experiencia de cliente para generar dopamina.

4-Jamás confundir el canal con la tecnología.

Imagen y realización y edición de los vídeos: Manuel Carballo

Cuatro años del RGPD: cómo mejorar la gestión de la privacidad

Santiago Cruz Roldán    31 mayo, 2022

El conocido Reglamento UE 679/2016 General de Protección de Datos (en adelante RGPD), cumplió el pasado 25 de mayo cuatro años. El RGPD establece el conocido principio de “accountability” o “responsabilidad proactiva”. Este principio obliga a cualquier entidad, pública o privada, a cumplir con los requerimientos legales exigibles en la normativa de protección de datos y tener capacidad de acreditar su cumplimiento.

Este principio también está siendo acogido en los países de Hispanoamérica. Por ejemplo, en Colombia, la Superintedencia de Industria y Comercio, como Autoridad de Control, tiene publicada la “Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)”. Y en Ecuador, la Ley Orgánica de Protección de Datos Personales regula también con el principio de “responsabilidad proactiva y demostrada” que exige al responsable de tratamiento acreditar “haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo (…)”.

Cómo cumplimos con el principio de accountability

Para cumplir con este principio de responsabilidad proactiva, accountability o responsabilidad demostrada, se debe implementar un programa integral que permita cumplir con la normativa, lo que se debe traducir en disponer un Sistema de Gestión que integre las políticas y procedimientos necesarios conforme a los criterios de mejora continua.

El establecimiento de un sistema de gestión para la protección de datos es clave para las disposiciones generales de rendición de cuentas que recoge el RGPD y las legislaciones que se están inspirando en este principio.

Cualquier entidad podría adoptar el esquema que propone el estándar ISO/IEC 27701:2019; recientemente traducida a norma “UNE-EN ISO/IEC 27701:2021 de Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).”

Con independencia de que el estándar puede ser implementado por cualquier tipo de organización, es especialmente recomendable, en aquellas grandes empresas o grupos de empresas con presencia en distintos países con normativas dispares, en tanto que facilita la gestión de las obligaciones exigibles en protección de datos.

Algunas características de la norma ISO/IEC 27701:2019

Veamos algunas características de esta norma y comprobaremos a simple vista la mejora que obtiene la organización en la gestión de la protección de datos:

1. Sistema de Gestión enfocado en la Protección de la Privacidad

Esta norma tiene por objeto el establecimiento de un Sistema de Gestión enfocado en la Protección de la Privacidad (SGPI) o Privacy Information Management System (PIMS), en inglés, que se configura bajo los criterios de mejora continua o Ciclo de Deming. La Norma alude en todo momento a Información Personal Identificable (IIP) como elemento fundamental a proteger.

Es recomendable tanto para aquellas entidades que actúen con el rol de responsables del tratamiento, como para aquellas que actúen como encargadas del tratamiento. Si analizamos la estructura del estándar, en el apartado 7, se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP.

Es decir, en estos apartados, nos encontramos los controles específicos que han de tenerse en cuenta según el rol relacionado con los datos de carácter personal. Indudablemente, si atendemos a los controles que las organizaciones deben implementar para cumplir con el estándar ISO/27701, se obtendrá un mayor nivel de vigilancia y supervisión de aquellas cuestiones que ocasionan un mayor número de sanciones como por ejemplo pueden ser, entre otras:

  • no contar con los consentimientos de los interesados,
  • no haber suministrado información a los interesados;
  • no existir base de legitimación para el tratamiento de datos personales.

El establecimiento de controles sobre estos aspectos disminuye la posibilidad de la comisión de hechos sancionables por las autoridades de control de protección de datos.

El carácter internacional del estándar nos permite sistematizar bajo un mismo criterio la forma de proceder de la organización. Así, por ejemplo, seguirá el mismo criterio o patrón, el Registro de Actividades de Tratamiento, las Evaluaciones de Impacto, o la forma de informar a los interesados.

2. Es una extensión de la norma 27001

El estándar ISO/IEC 27701 tiene sus raíces en las normas ISO 27001 y 27002 con las que está íntimamente vinculado.  Está sujeta al alcance que la entidad haya diseñado para la ISO/IEC 27001.

Si vemos la estructura del estándar, apreciamos que en el apartado 5 se especifican los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001, y en el apartado siguiente, encontramos, con idéntica sistemática, las cuestiones específicas que el SGPI ha de tener en cuenta en su relación con el estándar ISO/IEC 27002. El Sistema de Gestión sobre Privacidad de la Información tiene su origen en el Sistema de Gestión de Seguridad de la Información (SGSI).

3. Es una norma certificable

Si una entidad tiene certificado su SGSI conforme a la norma ISO/IEC 27001, demuestra confianza frente a terceros en la seguridad establecida; con la certificación del Sistema Gestión sobre Privacidad de la Información conforme a ISO/IEC 27701 se obtiene un nivel de confianza sobre la protección de datos en la entidad, ligado al alcance que desde la organización se haya decidido establecer.

Si una empresa logra certificar su SGPI se sitúa en una situación que permite acreditar y evidenciar frente a terceros mayor confiabilidad en el tratamiento que ofrece a los datos de carácter personal.

De cara a la selección de proveedores, el artículo 28 del Reglamento General de Protección de Datos exclusivamente permite contratar con aquellos que ofrezcan “garantías suficientes”; en los procesos de homologación o verificación de proveedores, no cabe duda alguna que un proveedor que haya obtenido esta certificación será elegido con preferencia al que no cuente con ella.

Conclusión

Cualquier organización que decida establecer un Sistema de Gestión sobre Privacidad de la Información va a lograr una evidente mejora en la gestión de las obligaciones que le impone la normativa de protección de datos.

Como efecto directo, supone la minimización del riesgo de incumplimiento normativo. Uno de los elementos más importantes es que la organización se verá beneficiada de una mejora en cuanto a la sistematización de sus procedimientos y políticas para la protección de los datos de carácter personal.

Desde luego, la posibilidad de acreditar el cumplimiento de la norma, conforme al principio de responsabilidad proactiva o responsabilidad demostrada se ve claramente favorecido con el establecimiento del Sistema de Gestión sobre la Privacidad de la Información conforme al estándar ISO/IEC 27701.

Cuatro técnicas de motivación ‘low cost’

Alfonso Alcántara    31 mayo, 2022

—Fernández, ¿por qué no está usted haciendo su trabajo?

—Es que no me di cuenta de que me estaba mirando, jefe.

¿Qué motiva a los profesionales a realizar su labor de la mejor forma posible? 

Antes de intentar motivar, encuentra lo que motiva 

Lo que motiva a tus profesionales no es lo que declaran que les gustaría hacer o lo que tú crees que elegirían hacer, lo que les motiva es lo que hacen cuando no están obligados a hacer algo.

¿Cuál es la mejor forma de detectar los intereses de empleados y colaboradores? Observar qué les gusta más hacer de lo que ya están haciendo. 

El siguiente paso sería organizar las condiciones para que pudieran dedicar más tiempo a aprovechar esa motivación en beneficio de la organización.

Por ejemplo, si un profesional administrativo muestra especiales habilidades sociales que mejoran el clima laboral y las relaciones entre los compañeros, quizás puedas aprovechar sus cualidades dándole nuevas funciones relacionadas con las ventas o la atención al cliente.

Una función importante de directivos, managers y coordinadores de equipos es determinar qué motiva a sus profesionales.

Dicho de otra forma, una de las competencias relevantes relacionadas con el liderazgo es la identificación de los motivadores funcionales que impulsan la labor de los empleados para la consecución de los objetivos planteados.

Liderar es, sobre todo, motivar

Tanto en la vida personal como profesional, son las consecuencias de lo que hacemos las que determinan lo que queremos seguir haciendo. Podríamos decir que liderar organizaciones, equipos y personas es aplicar de forma efectiva “competencias motivadoras” que ayuden a gestionar esas consecuencias.

Otra competencia relevante de liderazgo relacionada con la motivación es organizar el contexto, las relaciones y las tareas en la organización para facilitar la obtención de esos motivadores. 

Por ejemplo, la simple reorganización de los espacios de trabajo puede implicar mejoras en el rendimiento y la satisfacción profesionales. 

Como ya hemos comentado en otra ocasión, motivación no es tener ánimo, es tener motivos, y la principal misión de un manager es facilitar o crear las condiciones para que su equipo aprenda a crear y gestionar esos motivos de forma continua y cotidiana. 

Gestionar la motivación no es una táctica puntual o un estilo de management, sino un conjunto de prácticas que forma parte de la función directiva.

De hecho, este conjunto de buenas prácticas «motivacionales» son habilidades transversales que debería desarrollar cada profesional, tenga o no funciones directivas, relacionadas con la identificación y gestión de los motivadores funcionales propios y de los compañeros, en función de contextos, objetivos y recursos específicos. 

¿Estás motivado para convertirte en un líder motivador? 

A ver si te ayudan estas cuatro técnicas de motivación low cost, tan sencillas y «baratas» como efectivas. 

1. Los referentes motivan 

Los managers son decisores que determinan el marco motivacional de la organización. Pero también tienen otra función relacionada con la motivación: son modelos de virtud.

En la literatura clásica de empresa es habitual encontrar esta máxima: la mejor educación es el ejemplo

Y es que el comportamiento de los referentes de la empresa es un recurso motivacional por sí solo. 

Creo que es positivo generalizar el uso de este término, referente, en lugar de los habituales líder o directivo, porque así se facilita la creación de una cultura menos jerárquica y más redárquica, que reparte el protagonismo y propicia la iniciativa de todos los miembros de la empresa.

En la medida en que cada profesional debe aspirar a actuar como un referente con funciones motivadoras específicas, en una organización o equipo, todos los miembros son modelos motivadores potenciales. 

2. La información motiva

Una comunicación específica y clara es motivadora por sí misma.

Los profesionales queremos saber de forma concreta qué se espera que hagamos, conocer cómo y cuándo hacerlo y apreciamos obtener información sobre los resultados obtenidos y la forma de mejorar nuestra ejecución. 

Veamos alguna formas comunicación que actúan como motivadores intermedios: 

“Alfonso, se ha valorado tu actividad [hay que ofrecer datos detallados sobre esa actuación] y estás cerca de alcanzar el objetivo establecido [detallar ese objetivo]. Felicidades”.

“Alfonso, me cuentan que has conseguido que tu equipo siga de forma sistemática las normas de seguridad [describir las normas a las que nos referimos]. Sois un modelo a seguir en el cumplimiento de esos protocolos de actuación, así que me gustaría que elaboraras una píldora en vídeo para animar a otros equipos a hacer lo mismo”.

3. La escucha motiva

Motivar empieza por escuchar, porque escuchar es prestar atención. Y la atención es un motivador personal y profesional tan sencillo y natural como efectivo. 

Pero prestar atención no es lo mismo que aparentar prestarla. 

De la misma forma que hacer preguntas o mostrar aparente interés por la opinión de tus profesionales, no es lo mismo que tener en cuenta su opinión.

Si no vas a escucharlos de verdad, ¿para qué les preguntas?

Si quieres utilizar la escucha como un motivador para tus empleados, tienes que garantizar y demostrar que todas sus propuestas son sistemáticamente valoradas y tenidas en cuenta, que se aplican cuando es posible o se rechazan de forma transparente y argumentada.

En todo caso, el valor motivador de la escucha es mayor cuando se convierte en un rasgo de la cultura de la empresa y en una práctica habitual de todos los miembros de la organización.

Para crear una empresa «escuchadora», empieza desarrollando las habilidades de escucha, observación y evaluación de tus profesionales en general, y de tus mandos intermedios en particular. Y reconoce y valora de forma específica a aquellos que realizan mejor esta labor. 

Si quieres que tu gente escuche bien, demuéstrales que escuchas sus buenas prácticas.

4. El cambio gradual motiva

Si quieres que tus profesionales “salgan de su zona de confort”, muéstrales antes otra zona de confort.

No hace falta ser psicólogo de empresa para saber que los profesionales solo cambiamos cuando no tenemos más remedio o cuando hemos encontrado una mejor alternativa. 

La motivación innovadora en las organizaciones debe ser mucho más que el uso de frases hechas del estilo “salir de la zona de confort”.

El uso de estos clichés no suele ser percibido como una invitación motivadora y razonable de cambio que beneficie a todos los implicados, sino más bien como una orden velada que esconde un empeoramiento de las condiciones laborales y un aumento de las exigencias que no vendrá acompañado de compensaciones o incentivos.

Los directivos que pretenden cambiar los hábitos, comportamientos y habilidades de sus profesionales para mejorar su eficacia y adaptación, desde una posición de partida (la supuesta zona de confort) hasta otra zona en la que la empresa será más competitiva, tendrían que aprender a aplicar planes graduales de cambio que faciliten convertir y presentar ese nuevo destino como deseable también para los trabajadores que deberán realizar los mayores esfuerzos.

Parafraseando a Elizabeth Kubler-Ross, cada cambio aparenta ser un fracaso cuando va por la mitad. Así que ten paciencia con tus progresos y con los de tu equipo. 

Motivar no es ayudar a salir de la zona de confort, motivar es ayudar a ampliarla.

Foto de Louise Viallesoubranne en Unsplash

Noticias «fantásTICas» de tecnología e innovación

Mercedes Núñez    31 mayo, 2022

“Malos tiempos para la lírica” es el título de una canción icónica de los ochenta de Golpes Bajos. También de un poema de Bertold Brecht compuesto en 1939, uno de los momentos más convulsos de Europa. Podría aplicarse a los tiempos que nos está tocando vivir. Pero también hay noticias fantásTICas.

La actualidad nos ofrece, aunque a veces cueste encontrarlas, noticias positivas y curiosas, sobre todo en el marco de las TIC y la innovación. A partir de ahora las recogeremos el último día de cada mes para tenerlas en el radar.

Guantes biónicos, avatares y «bonos rinoceronte»

Podríamos comenzar con la del pianista que ha podido volver a tocar gracias a unos guantes biónicos o con el regreso, cuarenta años después, del grupo Abba con la gira de sus avatares.

Se dice que la música amansa a las fieras pero en realidad debería amansar a los humanos: el planeta ha perdido el 60 por ciento de su fauna salvaje en los últimos cincuenta años. El dato es terrible.

Por suerte, con la pandemia, junto a la aceleración de la digitalización, también ha pasado a primer término la importancia del respeto al medioambiente. No se trata solo de digitalizarnos más, sino mejor. Se abre paso la digitalización verde: con sentido, con un propósito.

Así, a los bonos verdes  siguen ahora los llamados “bonos rinoceronte”, con los que el Banco Mundial trata de canalizar financiación hacia la conservación de animales.

La tecnología puede convertirse en un gran aliado de la naturaleza. Un ejemplo es el uso de la inteligencia artificial para acabar con la tala ilegal. O la impresión 3D para luchar contra la avispa asiática, esa especie invasora que causa un fuerte impacto sobre la biodiversidad, los cultivos y la seguridad de las personas.

Ciudades inteligentes, con sentido del humor y en transformación

Pero vayamos ahora a las ciudades… Allá por 2015 ya escribíamos de Málaga como smart city y recientemente lo hacíamos como “el nuevo Silicon Valley”. Pero no solo es una ciudad inteligente, sino con sentido del humor, como demuestra su semáforo de Chiquito de la Calzada.

Figuras animadas con luces LED reproducen los andares del humorista, cuya voz grita “¡Quiétoooooor!” para indicar que está en rojo  y “¡Al atáquerrr!” cuando comienza la fase verde para los viandantes.

Se trata de un simpático homenaje a este personaje malagueño tan querido. Como el que le rendía el pasado sábado, día en que habría cumplido 90 años, Google con su Doodle. En la alteración temporal de su logotipo, Chiquito aparecía dibujado en seis de sus poses más habituales, una por cada letra del nombre del buscador.

Lo del semáforo puede que a alguno le choque pero ¿por qué no? En Berlín aman a su  “Ampelmännchen”. Desde que en 1914 se instaló en Cleveland, Ohio,el primer semáforo, estos sistemas se han ido actualizando de la mano de las nuevas tecnologías y para calar mejor entre los ciudadanos. Los hay verdaderamente curiosos.

A estas alturas sorprende también encontrar una cabina que funcione. La semana pasada retiraban la última de Nueva York, al lado de Times Square. Decía la noticia que será sustituida por un poste inteligente para conectarse a Internet y recargar el móvil. Y es que nos hemos convertido en smartborgs   y estas estructuras han ido perdiendo el sentido.

Las noticias fantásTICas llegan al más allá y al espacio

Todo cambia: en la vida, en la muerte, en el espacio… Un compañero escribía hace años de la transformación del sector funerario. Volviendo a Málaga, también su cementerio va camino de convertirse en eficiente energéticamente, con la instalación de placas solares en los nichos.

Y ¿habéis oído hablar de los deadbots, los robots que pueden hablar por nosotros después de la muerte?

Y más allá también, pero no tanto, llegan los hoteles espaciales, lechugas en Marte y astronautas controlando las naves con sus mentes.

Por todo ello, aunque las previsiones apuntan que en 2050 el 50 por ciento de la población será miope, toca tener los ojos muy abiertos y la mirada en el presente y en el futuro a la vez. Quizá nos toque, además, agudizar otros sentidos. De momento el MIT ya ha creado un tejido con capacidad de escuchar , que podría usarse como sustituto de audífonos o para monitorizar embarazos de riesgo, entre otras muchas aplicaciones.

¡El mes que viene volveremos con una nueva entrega de noticias fantásTICas! Y es que no faltan…

Imagen: Daniel Lobo

Pódcast Latencia Cero: La ciberseguridad es como las artes marciales

Nacho Palou    30 mayo, 2022

¡Tenemos nuevo episodio de Latencia Cero! En este episodio del pódcast de Telefónica Tech, Juan y Maritere conversan con Nuria Prieto, experta en ciberseguridad y analista en el Centro de Respuesta a Incidentes (CERT) de la Universidad Carlos III de Madrid.

Nuria llegó a la ciberseguridad desde el mundo maker. El de los makers es un movimiento cultural que aboga por “aprender haciendo”. Los makers consideran que con interés y colaboración —y si puede ser, con diversión— todo el mundo tiene la capacidad de construir y hacer cosas por sí mismo.

La diferencia entre ciberdelincuente y hacker

Aplicado a su profesión de experta en ciberseguridad, Nuria se define como una “hacker creativa”. Y defiende el término “hacker” que, todavía hoy, muchas personas relacionan con la ciberdelincuencia. “Un hacker no es un ciberdelincuente, pero desasociar ambos términos es la gran batalla”, señala Nuria.

Sea por una cuestión histórica, cultural o por simple desconocimiento, todavía es común asociar a los hackers con los ciberdelincuentes. Aunque la acepción positiva se abre paso “poco a poco”, reconoce.

Un error que también se da en los medios y entre profesionales de la información. “Por mucho que los ciberdelincuentes cometan sus delitos con un móvil o con un ordenador desde la comodidad de su casa siguen siendo delincuentes. No tienen nada que ver ni con los hackers ni con el hacktivismo”.

Y aclara que “un hacker es una persona que intenta cambiar las cosas para que sean mejores; si un hacker identifica algo que está mal, o que podría funcionar mejor, hará algo al respecto.”

“La ciberseguridad te da un chute de adrenalina”

A lo largo de su conversión, Juan, Maritere y Nuria charlan de la relación que guarda la ciberseguridad con los juegos de mesa y de lógica, con los desafíos y hasta con correr una maratón.

También Nuria explica cómo se mantiene informada y al día de todo lo que sucede en torno a la ciberseguridad. Un paisaje que “cambia cada semana” y que “te obliga continuamente a resolver retos y a aprender, es un chute de adrenalina.”

“Si los ciberdelincuentes dedicasen su creatividad a hacer negocios, se harían de oro”

Además, Nuria hace un repaso a los ataques más comunes y a las técnicas que usan los expertos en ciberseguridad para detectar indicadores de compromiso.

Y explica por qué la ciberseguridad es necesaria en todos los ámbitos, también en casa: “todo está conectado y todo es potencialmente vulnerable.” Incluyendo el teléfono móvil que llevamos en el bolso o en el bolsillo: “tenemos toda nuestra vida ahí metida y sin embargo apenas lo protegemos desde el punto de vista de la ciberseguridad.”

En ciberseguridad, “dar cera, pulir cera”

Aceptando que las personas somos en la mayoría de los casos el principal vector para los ciberataques —el eslabón más débil— Nuria aboga por la necesidad de concienciar y formar a usuarios de todas las edades: los ciberdelincuentes no distinguen a sus víctimas por la edad y sus ataques son cada vez más sofisticados, “incluso creativos”.

“Ya no es suficiente con ‘no hacer clic’ en un enlace sospechoso para estar a salvo”, explica. “Ahora, por ejemplo, los ciberdelincuentes combinan sus ataques con el correo postal.”

La ciberseguridad, resume Nuria, es como las artes marciales: “en cuanto bajas la guardia recibes un montón de golpes. Necesitamos conocer lo básico sobre ciberseguridad para mantener la guardia alta.”

Consejos para hacer una presentación profesional excelente

Mónica Sofía García    30 mayo, 2022

Llegado el esperado o desesperado momento, por el que quizás hayas pasado alguna vez, en el que te encuentras frente a la primera página de una presentación profesional en blanco, es primordial pensar, en primer lugar, en el objetivo de la exposición, antes de empezar a rellenar diapositivas.

Aunque pueda parecer obvio para cualquiera que se dedique a hacer presentaciones, con frecuencia esta recomendación queda en el olvido. El objetivo es un factor determinante a la hora de elegir el enfoque que vamos a aplicar para estructurar y redactar una ponencia o charla.

No es lo mismo una presentación cuya finalidad sea conseguir la colaboración con futuros socios que otra cuyo objetivo es vender, convencer para conseguir financiación o explicar cómo funciona un determinado producto o servicio que comercializamos.

Por lo tanto, en función del “para qué”, la exposición podrá ser más didáctica, persuasiva, convincente o motivadora. Y, consecuentemente, habrá más dialogo o menos durante la misma, aspecto que tendremos que considerar a la hora de acotar el tiempo de la presentación.

Otro aspecto fundamental, antes de empezar a escribir, es conocer a la audiencia, con la intención de que la charla sea lo más “empática” posible y adaptada al público al que nos dirigimos. Por ejemplo, si los asistentes pertenecen mayoritariamente al área de sistemas, nuestro discurso deberá ser mucho más técnico que si son del departamento de finanzas, en cuyo caso deberá contener más cifras y gráficos financieros.

Qué hacer y qué no cuando hables en público (Infografía)

Presentación profesional, clara y amena

Existen muchos factores para conseguir que una presentación sea clara, amena y eficaz. Destacamos las siguientes:

  1. No inundes de información al público. No es cuestión de demostrar cuánto sabes sobre el tema en cuestión, sino de asegurarte de que tu mensaje llega a la audiencia. Según un estudio de la Wharton Business School de Estados Unidos, tan solo somos capaces de recordar un 10% de lo que hemos oído pasados tres días. Así que más vale que seas conciso, para que el contenido más importante quede en la mente de tu audiencia. Y siempre que des cifras, piensa cómo puedes representarlas visualmente mediante cuadros o gráficos atractivos. Recuerda: una imagen vale más que mil palabras, y yo añadiría que vale más que dos mil datos.
  2. Prepara la presentación. Cuando digo «prepara», me refiero a que seas tú quien la elabore y no otra persona, pues ello contribuirá a reforzar tu confianza.
  3. Utiliza tu voz. Recuerda pronunciar todas las letras y utilizar un ritmo adecuado. Los expertos aconsejan no exceder de 120 palabras por minuto. Si hablas demasiado deprisa, no vocalizarás bien y tu presentación perderá claridad. Por el contrario, si expones con demasiada lentitud, la atención decaerá y los asistentes perderán el interés en lo que dices. Las variaciones en el ritmo sirven para conseguir flexibilidad y, en cada caso, habrá que combinar diferentes pausas, tonos y ritmos.
  4. Hazlos reír, te lo agradecerán. Basta con un chiste, una anécdota o, si no se te da bien contar historias, siempre puedes recurrir a un vídeo gracioso o una imagen.
  5. Piensa en las preguntas que pueden hacerte y en las posibles respuestas. Aunque tendemos a pensar que la presentación acaba con la última diapositiva, la realidad es que hasta que no abandonamos el escenario o el atril, la exposición continúa.
  6. En la medida de lo posible, haz que tu charla sea bidireccional, para que el público pueda participar y así evitar que tu presentación acabe siendo un monólogo aburrido.
  7. Ajústate al tiempo del que dispones, y reserva una parte para la ronda de preguntas.
  8. Revisa la sala y los dispositivos que vas a utilizar antes de comenzar, para asegurarte de que no haya ningún problema técnico.
  9. Duerme ocho horas el día anterior, tu cuerpo te lo agradecerá y seguro que tu público también. No hay cosa peor que ver a un ponente bostezando.
  10. No leas tus diapositivas. Debes saber qué vas a decir, además de lo que ya está escrito. Pueden ser ejemplos, matizaciones, excepciones, etc.
  11. Utiliza el lenguaje corporal para conectar con tu público. Los presentadores más dinámicos utilizan sus manos, expresión facial y los ojos para mantener a la audiencia enganchada.
  12. Sé natural, esto te hará más cercano y te ayudará a sentirte mejor en el desarrollo de tu exposición.
  13. Utiliza la potencia de las pausas y los silencios y evita las muletillas.
  14. Practica, practica y practica.
  15. Sé emocional, que se vea que estás hecho de carne y hueso. Intenta transmitir, mediante tu entusiasmo, una parte del discurso con una carga emocional suficiente para conmover a tu audiencia.
  16. Contacta visualmente con los asistentes, ya sea mediante la mirada «faro» (fijar los ojos unos segundos en cada persona) o la mirada en «v» (fijar la vista al fondo de la sala y luego en las primeras filas, de derecha a izquierda, o viceversa, para que todo el mundo se sienta partícipe).
  17. Utiliza su mismo lenguaje: adapta tu vocabulario al público al que te diriges.

Por último, me gustaría concluir este post con una célebre frase de Seneca: “No hay viento favorable para quien no sabe adónde va”. Es decir, que antes de comenzar a preparar tu presentación, piensa qué “viento” necesitas para navegar o quizás -quién sabe- volar.

Foto de M ACCELERATOR en Unsplash

La percepción de la innovación en España

Mercedes Núñez    30 mayo, 2022

Fundación Cotec ha publicado la V Encuesta de percepción de la innovación en España y estas son algunas de sus principales conclusiones :

Mejora la percepción de España como país innovador, que alcanza al 53 por ciento de la población. De ese porcentaje el 48 por ciento considera que nuestro país está “en la media europea” y el 5 por ciento, entre los “países avanzados de la Unión Europea”.

-Sin embargo, una gran mayoría de españoles (cuatro de cada cinco) cree que la inversión pública en I+D es insuficiente. La I+D+i se mantiene como prioridad de gasto público en cuarta posición, por detrás de sanidad, educación y las pensiones.

Baja la valoración respecto al grado de innovación del tejido empresarial, sobre todo entre las pymes (del 48 al 41 por ciento).

-Sale a relucir una mala valoración de los servicios públicos digitales. Ya escribíamos, al hilo del informe de Adigital, “Economía digital en España” que, si bien nuestro país destaca en la oferta de servicios públicos digitales, los ciudadanos no lo perciben así en muchas ocasiones.

Una mayor adopción ciudadana es una asignatura pendiente pero, para ello, deberá mejorar la experiencia… Dos de cada tres ciudadanos (65 por ciento) tienen una opinión mala o muy mala de este servicio. Es una percepción muy transversal, sin diferencias significativas de edad.

“Innovación fuerte” solo en dos comunidades autónomas

-Se observa una correspondencia muy clara entre la autopercepción del nivel de innovación de las comunidades autónomas y su posición en el ranking del Regional Innovation Scoreboard (RIS) publicado por la Comisión Europea en 2021. Así, País Vasco y Madrid, las dos únicas comunidades autónomas consideradas «innovadoras fuertes» en el RIS, son las que más innovadoras se autoperciben.

Impacto de la tecnología en el mercado laboral

La percepción de la innovación como fenómeno positivo y su capacidad de generación de empleo se ha reducido respecto al año anterior.

Los españoles se dividen casi a partes iguales entre los que creen que la tecnología crea más empleo del que destruye (48 por ciento) y los que opinan lo contrario (46 por ciento).

-Uno de cada tres trabajadores en España ve hoy su futuro laboral peor que hace dos años: la pandemia ha empeorado las expectativas laborales e incrementado la percepción de desigualdad.

Un 63 por ciento cree que en España no se promueve lo suficiente la igualdad de oportunidades y la justicia social. Y casi la mitad opina que los puestos de responsabilidad no se adjudican en función de méritos personales. 

La innovación tecnológica como generadora de desigualdad social

Un 56 por ciento de los encuestados cree que la innovación tecnológica aumenta la desigualdad social, frente a un 30 por ciento que opina lo contrario. Por primera vez hay una diferencia de 26 puntos porcentuales entre ambos grupos.

El 70 por ciento de la población cree que la mayoría de los puestos de trabajo actuales los realizarán robots/ordenadores dentro de quince años.

Pero resulta curioso en esta encuesta sobre la percepción de la innovación en España que, aunque la creencia general sea esa, tan solo un 10 por ciento de la población activa considera que su puesto de trabajo actual será completamente automatizable.

Los que más seguros están de que su puesto de trabajo no se automatizará son los trabajadores de la construcción, empresarios y altos funcionarios.

Los trabajadores de la industria son los que más valoran la innovación, a pesar de ser más conscientes de su impacto en el mercado laboral.

-La mayoría de los españoles está a favor de una renta básica universal en caso de que se produjera un fuerte fenómeno de desempleo tecnológico

-Por otro lado, el 66 por ciento opina que la sociedad española no se está preparando lo suficiente para el impacto de la tecnología sobre el mercado laboral.

En torno a un muy relevante 40% de la población activa no se considera capacitado, y este porcentaje supera el 50% en el caso de los ciudadanos con menor nivel educativo.

Avance en la implantación del teletrabajo

-Los indicadores de la encuesta también muestran cómo la pandemia ha acelerado la implantación del teletrabajo en España y ha modificado las prácticas empresariales. El reconocimiento del derecho a la desconexión digital gana casi 20 puntos porcentuales respecto al año anterior.

Frente a los momentos iniciales de cierta angustia, en que el teletrabajo se implantó como medida de urgencia, en la actualidad el 96 por ciento de los teletrabajadores se siente capacitado para ello. Mayoritariamente se valora de manera muy positiva: permite mayor conciliación sin que la productividad se resienta.

Imagen: Adam

Boletín semanal de ciberseguridad, 21—27 de mayo

Telefónica Tech    27 mayo, 2022

​​Vulnerabilidad sin corregir en PayPal

El investigador de seguridad H4x0r-DZ ha dado a conocer una vulnerabilidad sin corregir en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para robarles el dinero completando transacciones dirigidas mediante la realización de ataques de clickjacking.

Esta técnica permite a un atacante engañar a un usuario para que haga clic en elementos aparentemente inofensivos de una página web con fines fraudulentos: descargar malware, redirigirlos a sitios web maliciosos o revelar información sensible.

El investigador descubrió que un endpoint de paypal[.]com/agreements/approve, diseñado para acuerdos de facturación, y que únicamente debería permitir tokens del tipo billingAgreementToken, permitía realmente recibir otro tipo de token.

Ello permitiría a un atacante incluir un iframe específico, que provoca que una víctima que ha iniciado sesión en el sitio web transfiera sus fondos a una cuenta de PayPal controlada por el atacante simplemente con hacer clic en un botón.

El investigador ha decidido publicar la prueba de concepto, después de notificar el pasado mes de octubre de 2021 el fallo a la compañía y no haber recibido ningún tipo de compensación o solución para el mismo por parte de PayPal.

Más info: https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

​​​Spyware Predator distribuido mediante la explotación de 0-days

Investigadores del grupo de análisis de amenazas de Google (TAG), han revelado los detalles de la utilización de nuevos 0-days en Chrome y Android para la distribución del spyware conocido como Predator, una herramienta comercial de ciberespionaje desarrollada por Cytrox.

En concreto, los investigadores hablan de tres campañas distintas. La primera campaña se detectaba en agosto de 2021 y habría explotado una vulnerabilidad en Chrome para redirigir a SBrowser (CVE-2021-38000 CVSSv3 6.1).

La segunda campaña daba comienzo en septiembre de 2021 y explotaba varias vulnerabilidades en Chrome para escapar del sandbox del navegador (CVE-2021-37973 CVSSv3 9.8 y CVE-2021-37976 CVSSv3 6.5). Finalmente, la tercera campaña data de octubre de 2021 e implica la utilización de 0-days en Chrome y Android (CVE-2021-38003 CVSSv3 8.8 y CVE-2021-1048 CVSSv3 7.8). A pesar de explotar 0-days distintos, la base de las campañas era la misma.

Los atacantes distribuían enlaces “one-time link” (válidos solo una vez y que caducan a las 24 horas) suplantando servicios de acortadores de URL a usuarios de Android, mediante correo electrónico, desde los que distribuían los exploits.

El objetivo de las campañas era la distribución del malware de Android denominado ALIEN, encargado de descargar posteriormente el spyware Predator.

En cuanto a la atribución de las campañas, los investigadores apuntan a que los actores detrás de las campañas estarían respaldados por gobiernos y concretamente, apuntan al menos a los de Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, España e Indonesia. Sus conclusiones van en línea con las investigaciones realizadas desde CitizenLab en diciembre de 2021.

Más info: https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

​​Distribución de Cobalt Strike mediante PoCs falsas

Investigadores de seguridad de Cyble han descubierto que agentes amenaza habrían utilizado pruebas de concepto falsas de dos vulnerabilidades recientes en Windows para infectar a sus víctimas con Cobalt Strike.

En concreto, los atacantes publicaron en GitHub PoCs maliciosas para las vulnerabilidades de ejecución remota de código CVE-2022-24500 y CVE-2022-26809, ambas corregidas por Microsoft el pasado mes de abril. Los dos repositorios pertenecían al mismo usuario de GitHub, denominado «rkxxz», cuya cuenta y repositorios ya han sido eliminados.

El objetivo de este tipo de prácticas, cada vez más habituales, suelen ser individuos relacionados con la seguridad de la información. Según el análisis realizado por Cyble, el malware utilizado en esta campaña es una aplicación .NET que muestra por pantalla un mensaje falso sobre el intento de explotación de la vulnerabilidad, ejecutando posteriormente comandos en PowerShell para la descarga del beacon de Cobalt Strike.

Más info:  https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/

​Vulnerabilidad 0-day en Tails 

Tails ha emitido un aviso de seguridad donde alertan que habrían localizado una vulnerabilidad en su versión Tails 5.0 que afectaría a los usuarios que utilicen la distribución de Linux para acceder al navegador de Tor. Por ello recomiendan que no se use Tor hasta el próximo 31 de mayo, cuando se lanzará la actualización a la versión 5.1.

Este fallo está relacionado con el aviso de seguridad que emitía Mozilla donde corregía dos vulnerabilidades críticas que afectaban a su gestor de correo Thunderbird y al navegador Firefox. Estos fallos fueron clasificados con los identificadores CVE-2022-1529 y CVE-2022-1802, y estaban relacionados con un error en el motor de JavaScript, el cual es también utilizado por Tor.

Tails establece que, de ser aprovechada, podría permitir a un atacante obtener información confidencial como contraseñas, mensajes privados, entre otros, si bien el cifrado de las conexiones empleado por Tor para mantener el anonimato del usuario, no se habría visto afectado.

Desde Tails recomiendan reiniciar el sistema, y afirman que Mozilla habría detectado actividad relacionada con la explotación de estos fallos.

​​​Más info: https://tails.boum.org/security/prototype_pollution/index.en.html