Boletín semanal ciberseguridad 22 – 29 de abril

Telefónica Tech    29 abril, 2022

​Nueva campaña maliciosa de distribución de RedLine

Investigadores de BitDefender han publicado un informe sobre una nueva campaña de distribución del malware RedLine. Según los analistas, actores maliciosos estarían haciendo uso de RIG Exploit Kit para su distribución, el cual habría incorporado el aprovechamiento de una vulnerabilidad en Internet Explorer que provoca daños en la memoria cuando la víctima accede a un sitio web especialmente diseñado.

Concretamente se trata del fallo identificado como CVE-2021-26411 con un CVSSv3 de 7.8, el cual fue parcheado por Microsoft en marzo de 2021. Posteriormente, una vez aprovechada la vulnerabilidad, el kit distribuye RedLine colocando un archivo JavaScript en un directorio temporal, que a su vez descarga un segundo payload cifrado con RC4, generando el proceso de infección final en el equipo de la víctima.

Cabe destacar que, según indicó al medio digital The Record, Bogdan Botezatu, director de investigaciones en Bitdefender, durante el mes de abril identificaron únicamente con sus soluciones un total de 10.000 ataques de RedLine alrededor del mundo, lo que denota la amplia utilización de este malware para la realización de incidentes de ciberseguridad.

Más info: https://www.bitdefender.com/files/News/CaseStudies/study/415/Bitdefender-PR-Whitepaper-RedLine-creat6109-en-EN.pdf

Escalada de privilegios en el directorio activo de Windows

La firma de seguridad SOCPRIME ha publicado un artículo donde establece que investigadores de seguridad han revelado la existencia de un fallo en el Directorio Activo (AD) de Windows en entornos en los que se utilice la configuración predeterminada.

Este error, podría permitir a un usuario con acceso añadir máquinas al dominio sin necesidad de privilegios de administrador, pudiendo desencadenar en una escalada de privilegios en el sistema vulnerable. Este error, del que existe prueba de concepto, se podría explotar utilizando la herramienta KrbRelayUp.

Una posible mitigación requeriría cambiar la configuración por defecto y eliminar los usuarios autentificados de la política de controladores de dominio por defecto. Se pueden encontrar más detalles sobre la mitigación de la vulnerabilidad en el repositorio de la investigación de Mor Davidovich.

​Nimbuspwn: vulnerabilidades de escalada de privilegios en Linux

El equipo de investigadores de Microsoft ha identificado dos nuevas vulnerabilidades, denominadas Nimbuspwn, que podrían permitir a un atacante elevar privilegios a root en sistemas Linux vulnerables.

En concreto, estos fallos han sido identificados como CVE-2022-29799 y CVE-2022-29800, y se encuentran en el componente networkd-dispatcher, cuya función es realizar cambios en el estado de la interfaz de red.

Según los investigadores, la explotación encadenada de dichas vulnerabilidades permitiría a actores maliciosos alcanzar privilegios de root dando la posibilidad, en fases posteriores, de implementar payloads, backdoors, distribuir malware y/o realizar otras acciones maliciosas a través de la ejecución arbitraria de código.

En último lugar, cabe indicar que Clayton Craft, administrador del componente networkd-dispatcher, ha implementado las correspondientes correcciones y se recomienda a los usuarios que actualicen sus instancias para prevenir posibles ataques.

Más info: https://www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/

Cómo realizar reuniones y eventos motivadores y participativos

Alfonso Alcántara    29 abril, 2022

No hay reuniones cortas o largas, hay reuniones interesantes o aburridas.

Antístenes (444-365 a.C.) fue fundador de la Escuela Cínica y afirmó que “solo existe lo individual”, oponiéndose explícitamente a la Teoría de las Ideas de Platón.

Cierto día en que Antístenes habló muy extensamente en su habitual diatriba crítica con otros colegas filósofos, Platón le dijo:

—¿Ignoras que la medida de un discurso no es del que habla sino del que escucha?

Cuando crees que los participantes en una reunión son malos, significa que has organizado la reunión equivocada. 

En mi caso, y usando el ingenio de Mark Twain, generalmente me cuesta más de una semana preparar una buena conferencia de empresa improvisada, y más tiempo cuanto más breve sea mi intervención.

Ten en cuenta que el esfuerzo que no dedicas a sintetizar tus ponencias, presentaciones o intervenciones en reuniones de empresa o de equipo, es el esfuerzo que tiene que dedicar tu audiencia a soportarlas.

Es importante que los profesionales de la comunicación sean conscientes de que las comunicaciones que realizan deben ser más lúcidas que lucidas.

En un mundo que exige mejora continua y que afirma repetidamente que “lo importante son las personas”, todos tenemos funciones comunicadoras, motivadoras y formadoras, especialmente directivos y managers en particular, y empleados de cualquier perfil de responsabilidad en general.

Evita aplastar a tu audiencia con una sobrecarga de contenidos. El objetivo de una conferencia o reunión es compartir ideas y propuestas acotadas en temáticas, no demostrar que tienes mucho material, que eres muy listo o tienes mucho que decir. 

No hay participantes desmotivados sino reuniones que no motivan.

Habitualmente recibo propuestas de colaboración de este estilo:

«Alfonso, queremos una conferencia para nuestros empleados, pero que sea participativa y motivadora». 

Estas peticiones, aparentemente convencionales, no son tan fáciles de entender como podemos pensar en un primer momento, porque conceptos o factores muy usados en el ámbito profesional y de empresa suelen tener un significado poco concreto. 

¿A cuánta y a qué tipo de participación se refiere el directivo que pide que haya participación en las reuniones de equipo, en los grandes eventos de la empresa o en las actividades de formación interna?  

¿Cómo se considera la variable «motivación» en la cultura de la empresa? 

¿Qué piensan y aplican los directivos y managers de la organización para motivar a sus colaboradores? ¿Tal vez creen que los empleados tienen que venir motivados de casa? ¿Que motivarse es una responsabilidad individual que tiene que ver con su «pensamiento positivo»?

Otro aspecto a considerar es cómo podemos aumentar el valor percibido —o la validez aparente, que se diría en psicología— de este tipo de acciones de comunicación o formación, las cuales suelen recibir críticas por parte de sus obligados participantes respecto a su pertinencia, eficacia y entretenimiento.

Cómo conseguir que las reuniones y eventos sean más participativos

Vayamos al asunto. ¿Quieres aumentar la probabilidad de que las reuniones y eventos grupales presenciales y online de tu empresa sean más participativos y motivadores?

Si es así, te propongo que cumplan estos cuatro requisitos o condiciones. A ver qué te parecen:

  1. Participación como valor y buena práctica en sí misma incluida en la cultura de la empresa. 
  2. Pragmatismo. Enfoque especializado y por objetivos o retos que propicien intervenciones pertinentes y útiles.
  3. Entretenimiento. Emplea contenidos interesantes, didácticos y con humor.
  4. Cero crítica. Haz que opinar y aportar no sea arriesgar.

REQUISITO 1: Participación como valor y buena práctica en sí misma incluida en la cultura de la empresa 

Nadie se quejó nunca de que una reunión fuese demasiado breve.

Parece buena idea fomentar la participación de los empleados en la actividad cotidiana de la organización y, en particular, en las actividades formativas, reuniones oficiales y encuentros de equipo, para conocer sus opiniones y propuestas. 

Y la participación es una herramienta de gestión y motivación más relevante aún en tiempos de teletrabajo y deslocalización laboral.

Y además, esas aportaciones deberían también ser recogidas, consideradas y reflejadas de forma sistemática y explícita en las decisiones y planes de la empresa, como un recurso valioso y como un motivador para esos profesionales.

Si no vas a tener en cuenta la opinión de tus empleados, ¿para qué les preguntas?

Pero hay un problema: a más participantes y más participación, mayor duración. 

Dicho de otra forma, debemos ser conscientes de que la participación es un coste más para las empresas que depende, por ejemplo, de la duración y calidad de las entrevistas y reuniones individuales mantenidas con los empleados, y de las reuniones y acciones formativas grupales que ofrecen participación en directo.

Las aplicaciones Teams o Zoom, que permiten organizar y realizar videoconferencias y reuniones virtuales, facilitan la petición de participación mediante el gesto de levantar la mano ante la webcam

¿Esta funcionalidad aumentará la participación? Y si lo hace, ¿cómo se gestionará ese incremento en reuniones que no tienen la duración suficiente para dar voz a todos los interesados?

Hagamos cuentas. 

Imagina que organizas un webinar de empresa (o reunión online), el cual puede tener objetivos de coordinación, y/o formación y/o motivación, al que van a asistir todos tus 100 profesionales. Y quieres que participen TODOS. Vale.

Si cada participante habla un minuto, solo un minuto, se necesitará una hora y media solo para esa pequeña intervención individual. 

Pongamos ahora que tu intención es mantener una entrevista o reunión individual dos veces al año con cada empleado para valorar y apoyar su evolución en la empresa. Si la duración media de cada sesión es de 30 minutos, la inversión será de 100 horas al año dedicadas por parte de uno o varios profesionales cualificados.

En resumen, que la participación es costosa, por lo que hay que decidir cómo fomentarla y aprovecharla para beneficio de todas las partes implicadas. 

Pero si como directivo crees que tus profesionales tienen que dedicarse a “trabajar más y a hablar menos”, tal vez prefieras que tus empleados vengan ya «opinados» de casa.

Entonces, ¿cuánta participación “te pongo”?

Aforo en las reuniones

REQUISITO 2: Pragmatismo. Enfoque especializado y por objetivos o retos que propicien intervenciones pertinentes y útiles

Y que hayan sido elaboradas o preparadas con antelación, gracias a convocatorias detalladas y tematizadas.

Si las intervenciones no están siendo pertinentes o útiles, hay que propiciar que sean más breves, aún.

Si quieres que tu gente prepare de verdad sus participaciones para mostrar su talento en las «reuniones», organiza las reuniones para que el talento pueda ser el protagonista.

Si se pretende convertir las reuniones en auténticas herramientas de mejora de la organización, debe realizarse un seguimiento sistemático de la aplicación y resultados de las medidas o propuestas aprendidas o acordadas en esas reuniones. 

No organices reuniones para debatir cosas, sino para solucionar cosas.

REQUISITO 3: Entretenimiento. Emplea contenidos interesantes, didácticos y con humor

En un mundo audiovisual, multipantalla, de inmediatez y de competencia por la atención, ¿cómo planeas hacer más interesantes las reuniones y actividades grupales en tu organización? 

Si tu objetivo es aumentar la frecuencia y la calidad de la participación, parece evidente que tendrás que aumentar la frecuencia y la calidad de los factores que las propician.

Qué interesa a tus empleados

Algunas historias, contenidos con humor y ejercicios funcionan siempre y para todos, pero la mayoría solo funcionan a veces y para algunos.

Puedes conocer las preferencias de tus profesionales en cuanto a estilos de aprendizaje y en cuanto a cultura de comunicación y entretenimiento. 

Por ejemplo, un foro interno, en el que los empleados pueden compartir memes, gifs o contenidos visuales directos y sencillos, puede tener más influencia que otros canales de comunicación convencionales o formales.

Elige sabiamente para adaptar ideas, contenidos y formatos en cada tipo de intervención y en cada tipo de escenario.

Si no eres interesante, intenta no ser aburrido.

¿Cómo de interesantes son tus empleados?

Para que las reuniones o sesiones grupales en tu organización sean interesantes, prácticas o divertidas, hay una fórmula sencilla: que los participantes sean interesantes, prácticos y divertidos. Fácil, ¿no? Bueno, solo tienes que tenerlos en tu empresa.

La mejor forma de atraer talento a una organización es el talento que ya tiene esa organización. También la mejor forma de atraer a tu gente a las reuniones para que participe de forma efectiva, es que los participantes sean interesantes. 

Vale. Ha quedado claro. Estamos de acuerdo. 

Pero como los empleados que tenemos son los que tenemos y aumentar su «interesantibilidad» puede ser un reto difícil, podemos considerar otra estrategia: entrenar sus habilidades de comunicación y presentación.

Imagina un webinar o reunión presencial en la que casi todos los ponentes y participantes logran comunicar de forma directa, ágil y breve, usan contenidos pertinentes, aportan toques divertidos o relajados y se ponen siempre en el lugar de la audiencia. 

Las habilidades de presentación y comunicación son competencias profesionales muy relevantes, porque permiten evitar que el talento, la colaboración y el aprendizaje sean lastrados por el desinterés.

No intentes ser «carismático», haz que tus contenidos lo sean. No son los ponentes o los participantes quienes tienen que ser entretenidos o divertidos, deben serlo sus intervenciones.

Lo contrario de un comunicador divertido no es un comunicador serio, es uno aburrido.

Insisto: lo contrario de divertido no es serio, es aburrido. 

Muchos conferenciantes, formadores y directivos que resaltan «la importancia del humor» en la empresa, luego ofrecen discursos tediosos y califican de poco serios a los colegas divertidos, entretenidos o que fomentan la participación.

No hay nada que no se pueda comunicar con una sonrisa. Pero lo difícil no es decir algo sonriendo, sino que lo que se dice genere sonrisas.

La razón de que haya muchas más conferencias, intervenciones y participaciones aburridas que divertidas es esta: 

Ser divertido implica más elaboración, esfuerzo y riesgo que ser aburrido. 

Hasta aquí mi master class en tres segundos titulada «El humor en la empresa es serio”. 🙂

Pero no se trata de “hacerte el gracioso”, sino de hacer «graciosa» tu intervención. En una reunión no debes intentar ser interesante o entretenido, debes intentar que lo sea tu comentario o tu opinión, preparándola para que sea más breve y esté mejor expresada.

Es evidente que el carisma y el estilo comunicador de cada persona pueden facilitar la atención y la conexión con la audiencia o con el resto de participantes. Es difícil entrenar nuestro carisma, pero sí podemos prepararnos para comunicar mejor, incluyendo el humor.

Por supuesto, el contenido comunicado de forma divertida facilita que los contenidos de las intervenciones y publicaciones obtengan mayor alcance online

Si quieres likes, como el humor no hay.

REQUISITO 4: Cero crítica. Haz que opinar y aportar no sea arriesgar

Si quieres que tu gente participe de verdad, crea un entorno de tolerancia cero a la critica, fomenta la empatía y un buen clima de conversación.

¿He comentado ya lo importante que es el humor en la superficie y en el fondo, como objetivo y como medio? 

Gracias por interesarte por mi opinión y leer hasta aquí.

Ha llegado el momento de la reflexión: ¿cuántos de estos requisitos se cumplen en tu organización?

De su observancia depende la motivación, participación y valor de las reuniones y acciones de formación presenciales y online.

Si crees que las reuniones son importantes, organízalas como si lo fueran y las tomarán en serio.

Hay dos tipos de reuniones: las útiles y las habituales.

«El viaje a la digitalización» de la industria

Félix Hernández    29 abril, 2022

La industria se digitaliza de forma acelerada. No solo es fruto de la necesidad de modernizar sus procesos y la manera en que entrega sus productos, que cada vez más se ven como servicios, flexibles y enriquecidos con el valor del dato en tiempo real. El cambio responde a un movimiento inapelable. Esta nueva industria mucho más robotizada y automatizada es fuente de prosperidad. Incrementa su competitividad y el respeto por el medioambiente.

El ejemplo de Navantia, Gestamp, ASTI…

Tenemos ya pioneros muy cerca: Navantia, con lo que se se ha denominado el Astillero 4.0, o Gestamp, con su fábrica inteligente y la revolución de fábrica virtual que simula el mundo físico en la producción de piezas de automoción.

España también es cuna de grandes empresas, como ASTI, perteneciente al grupo ABB. En ella nuestros ingenieros compiten mundialmente en el desarrollo de la nueva robótica móvil desde la meseta burgalesa .

En “El Viaje a la digitalización”, un documental producido por Telefónica España para Movistar Plus+, que se estrenó el pasado fin de semana, Iñaki Gabilondo, como conductor, nos sorprende con la historia de un cambio que muchas veces pasa desapercibido a nuestros ojos. La era digital en la que estamos inmersos está modificando nuestro día a día.

Capacitación, prosperidad y sostenibilidad

El corte de video sobre la digitalización de la industria que acompaña a este post muestra cómo la tecnología y la innovación pueden ayudar a generar más prosperidad e impulsar la actividad fabril. Y las nuevas profesiones necesarias para llevar a cabo dicho recorrido: ingenieros, arquitectos del dato, matemáticos, programadores de nuevas plataformas, expertos en ciberseguridad y, en general, tantos y tantos que participarán del nuevo ecosistema.

Pero debemos ser capaces de ver este proceso de digitalización más allá de la tecnología (IoT, big data, inteligencia artificial, etc.). Es, en realidad, una gran oportunidad como país. Y no solo como respuesta al COVID, no solo como una necesidad de empoderamiento de nuestras pymes, no como el destino de los Fondos Europeos para recuperar la producción. Debemos verlo como el camino de transición de nuestra economía en esta década para ser más prósperos y sostenibles.

Imagen: James Garcia

El secreto del éxito de Aristocrazy: no solo diseño, también tecnología

Alicia Díaz Sánchez    28 abril, 2022

Inspirarse en la moda para crear joyas innovadoras”. Esa es la seña de identidad de Aristocrazy, una red de joyerías que está presente en la mayor parte de las ciudades españolas de más de 80.000 habitantes, y siempre en calles céntricas y comerciales.

Su estilo moderno con toques tradicionales ha propiciado una gran acogida no solo en España, sino también en mercados internacionales como Francia, Portugal, México, Guatemala, Chile y Estados Unidos, gracias a su sistema de franquicias que les ha permitido una rápida expansión.

Fundada en 2010, de la mano del grupo Suárez -que lleva ya tres generaciones en el negocio de las joyas-, Aristocrazy refleja el conocimiento y saber hacer de la saga familiar, tanto en el diseño como en la fabricación de las piezas, que se hacen de forma artesanal.

Diseño y transformación digital

Con más de 300 empleados, en Aristocrazy son completamente conscientes de la importancia de la tecnología y de la transformación digital de las personas y los procesos.

Además de las comunicaciones y la conectividad, que ya tenían con Telefónica antes de la pandemia, han dado un paso más y han optado por la omnicanalidad. Porque el cliente no solo está en las tiendas físicas, sino cada vez más en el mundo online, entendiendo por tal las páginas web y las redes sociales, y en todos los pasos del proceso de compra: decisión, adquisición y posventa.

Como asegura su CEO, Borja Zamacola, “el cliente es uno”, independientemente del canal por el que se conecte. “Puede ver algo que le interese en la web, luego ir a una tienda física y posteriormente devolver una compra en posventa. Es el mismo cliente y por eso debemos tener esa visión única, porque es crítico para nuestro negocio”.

Próximos pasos en la digitalización de Aristocrazy

Telefónica está ayudándonos en la detección de proyectos innovadores, como puede ser la realidad aumentada”, manifiesta Zamacola. Mediante esta tecnología, cada vez más en boga y con múltiples aplicaciones a los negocios, sus clientes podrán probarse las piezas de joyería virtualmente, sin necesidad de acudir a la tienda física, y ver cómo les quedan.

Y es que la innovación es una de sus premisas, como lo demuestra no solo su apuesta por la tecnología, sino también el hecho de haberse convertido, en 2018, en la primera marca de joyería que fabrica piercings (lóbulos, hélix, tragus, rook…).

En este vídeo, su CEO relata cómo ha sido ese proceso de digitalización, que tanto les ha ayudado en la pandemia y que continúa beneficiándoles para afianzar y expansionar su negocio:

Foto de portada: web de Aristocrazy

Fusión Digital Pymes

Cinco claves de la eSalud

Equipo Editorial    28 abril, 2022

La ambulancia conectada, intervenciones quirúrgicas en remoto, teleoftalmología con 5G, quirófano manos libres, la smart UCI o el “hospital líquido”… Son solo algunas de las posibilidades de la eSalud.

Pero el principal titular, como explica Sergio Fernández, responsable de Desarrollo de negocio eHealth en Telefónica España, es que “Vamos hacia una medicina personalizada, de precisión, orientada al paciente”. Esto implica un cambio en la manera de hacer las cosas, transformar los modelos organizativos y procesos. La tecnología es la herramienta necesaria que debe acompañar al cambio cultural y Telefónica Empresas, el partner idóneo para acompañar al sector salud en su transformación.

Hay una apuesta firme por parte de todos los agentes involucrados para llevar a cabo esta hoja de ruta, que además ha impulsado la pandemia. Pero hay que implantar a escala lo que ya ha funcionado de manera aislada y aún queda mucho camino por recorrer.

Cinco son las claves de la eSalud, según el experto de Telefónica:

  1. Ecosistemas. Es clave contar con un sistema sanitario interoperable y transparente para el paciente, sin departamentos que actúen como silos. Esto es una necesidad tanto dentro de un hospital como, a nivel macro, entre comunidades autónomas y entre la sanidad pública y privada.
  2. Personalización. El acto médico no debe reducirse a la consulta. Tiene que haber un continuo asistencial en el que la preconsulta y la posconculta sean esenciales. La tecnología ayudará a que el médico cuente de manera remota con datos previos sobre el paciente. Posteriormente también podrá realizar un seguimiento de este, sin que deba trasladarse al centro.
  3. Paciente crónico. En España, el aumento de la esperanza de vida, las mejoras en salud pública y en la atención sanitaria han convertido a las enfermedades crónicas en el patrón epidemiológico dominante. Es necesaria la transformación hacia un modelo mejor preparado para afrontar la prevención y la gestión con soluciones que permitan la gestión remota del paciente crónico.
  4. Big data e inteligencia artificial. Van a revolucionar la sanidad como hace años lo hicieron el TAC y los ecógrafos. La reducción de los tiempos de espera y de diagnóstico o la prevención de reingresos hospitalarios pueden ser solo tres de sus ventajas. Su aplicación será clave en la toma de decisiones en numerosos campos.
  5. Capacitación. Para poder utilizar estas tecnologías el profesional deberá formarse. Se están generando nuevos perfiles y roles relacionados con la ciencia de datos, la realidad extendida o impresión 3D, por poner algunos ejemplos.

Imagen: Rosmarie Boetgli

El éxito de la política de inteligencia artificial en Colombia

Jorge A. Hernández    27 abril, 2022

Cuando se habla de políticas de inteligencia artificial (AI), los países que saltan a la cabeza son las grandes potencias como Estados Unidos y China, por solo mencionar dos, pero existen algunas naciones como Colombia que están figurando en dicho campo. ¿Por qué?

Recordemos que este país Suramericano de aproximadamente 50 millones de habitantes y con un PIB de $1.176,6 billones de pesos es considerado la tercera economía regional. Sin embargo, más allá de eso, sus políticas relacionadas con el uso de inteligencia artificial, en el gobierno, la han hecho destacarse.

Así lo pone de manifiesto el Center for AI and Digital Policy, también conocido como CAID, que en su estudio comparativo “Index-Country Ratings 2021 v. 2020” destacó al país cafetero con la ubicación 17 en el escalafón global de gobiernos.

Y no es el único estudio que destaca este fenómeno, según  la Organización para la Cooperación y el Desarrollo Económicos (Ocde), Colombia es el país líder en la implementación de Inteligencia Artificial (IA) en el sector público de América Latina y El Caribe.

Otro estudio, el “AI Readiness Index 2021», de la Universidad de Oxford, destaca a Colombia con la posición 45, entre 160 países, clasificándola según el grado de preparación para utilizar la IA en la prestación de servicios públicos.

Potencial de la inteligencia artificial en gobiernos

Uno de los secretos tras estas distinciones es que Colombia fue el primer país de la región en gestionar una normativa para la implementación de herramientas en el sector público y privado.

Además, estableció marcos jurídicos y éticos para la toma de decisiones automatizada y la promoción de la imparcialidad en el sector gobierno. Algunos ejemplos concretos de esta política son el proyecto con inteligencia artificial de la Superintendencia de Industria y Comercio permitiendo acelerar el procesamiento de sus casos.

Se trataba de una mejora prioritaria pues se estima que el 43%  de los colombianos no acude al sistema judicial por considerarlo lento. Con este proyecto se optimizaría alrededor de 16.500 informes de sentencias por año. 

Otro ejemplo son las tutelas, la herramienta legal más usada en Colombia, pero su volumen es tal (más de 2.000 diarias) que hace humanamente imposible leerlas todas. Por ello se creó la plataforma de inteligencia artificial Pretoria.

Pero más allá de estos casos, tal vez el mayor logró en la política de inteligencia artificial de Colombia es que cuenta con metas específicas, en marcos de tiempo y objetivos claros. Es decir, hablamos de una política diseñada al mejor estilo empresarial con mecanismos de supervisión que permiten soñar que el gobierno colombiano aprovechará de la mejor forma, la tecnología que se viene.

Foto de Possessed Photography en Unsplash

Teletrabajo, algunos consejos para su beneficio y productividad

Jorge A. Hernández    27 abril, 2022

En medio de la pandemia, “el teletrabajo llegó para quedarse” se convirtió en una de las frases más populares de varios medios de comunicación por su enorme potencial y beneficios. Sin embargo, no siempre es fácil implementarlo, por ello traemos aquí algunos consejos.

Aunque parezca increíble, solo en el 2021 más de tres millones de personas sufrieron lesiones por teletrabajo en Colombia. Que esto se diera en el país no se trata de un caso aislado, es una tendencia global ya que, aunque el teletrabajo presenta numerosas ventajas también tiene sus riesgos.

Por ejemplo, en el caso colombiano las lesiones más frecuentes se presentaron en hombros, muñecas y manos, derivadas de las malas posturas frente al computador. Lo que nos lleva al primer consejo: ergonomía, todo comienza con las sillas.

La silla

Las empresas, por simples regulaciones, suelen tener sillas ergonómicas adaptadas para largas jornadas de trabajo, pero no sucede lo mismo con las existentes en los hogares.

Más allá de tener una buena silla también se debe saber cómo usarla. Por eso existen numerosas guías de organismos independientes y de vendedores. Aún así, nunca sobra que los departamentos de recursos humanos compartan algunos consejos.

Por ejemplo, recordando que siempre los pies deben estar apoyados en el suelo en posición de 90 grados respecto a la cadera, rodilla y tobillo y permitiendo que los brazos queden alineados a la altura de la mesa.

Pausa activa

Una de las complicaciones más inesperadas del teletrabajo es que no se sabe con certeza cuándo detenerse y tomar un descanso. Esto es algo más usual y natural cuando se está en grupos. Pero el descanso es vital para mantener una buena productividad y evitar lesiones.

En este escenario la expresión clave es “pausa activa”. Según el Ministerio de Salud las pausas activas son sesiones de actividad física desarrolladas en el entorno laboral, con una duración continua mínima de 10 minutos que incluye adaptación física cardiovascular, fortalecimiento muscular y mejoramiento de la flexibilidad.

Aunque su uso depende de cada trabajo, se suelen hacer al comenzar y terminar las jornadas y cada dos o tres horas durante el día.

La luz

Otros factores importantes son la luz y el espacio de trabajo, lo ideal con poco ruido y distracciones. Más puntualmente, es aconsejable que las pantallas sean perpendiculares a las ventanas para evitar deslumbramientos y reflejos. De ser posible en espacios con luz natural.

Al igual que con las pausas activas, los ojos deben descansar y se deben realizar pausas frecuentes durante las cuales se aleje la vista de las pantallas; incluso se pueden hacer ejercicios de parpadeo voluntario.

Por último, más allá del espacio de trabajo es vital impulsar la práctica deportiva como una forma de mejorar física y psicológicamente para salir de esta pandemia no solo como mejores trabajadores sino como mejores seres humanos. 

Foto de Jason Strull en Unsplash

Los 0days en números: Chrome, Windows, Exchange… ¿Qué buscan los atacantes y los fabricantes?

Sergio de los Santos    27 abril, 2022

Interesantísimos los datos del Project Zero de Google que intenta catalogar, encontrar y difundir 0days. No los descubren directamente, sino que los “detectan” en cualquier fabricante cuando están siendo aprovechados si ellos lo declaran así. Así pueden analizar, alertar y corregir para cerrar esa puerta a los atacantes cuanto antes.

Abogan por catalogar los 0day adecuadamente y ser transparentes para mejorar la comunidad. Por ejemplo, el punto de partida es que los fabricantes etiqueten bien sus vulnerabilidades (si están in-the-wild) o no cuando son detectadas o corregidas. Este año han detectado 58. El anterior récord es de 28 en 2015. Project Zero trabaja desde 2014.

Los 0days son vulnerabilidades encontradas cuando ya está siendo aprovechadas por atacantes y, por tanto, sin parche conocido.

Los números que arrojan este seguimiento son de lo más interesante. Si los dividimos por grandes fabricantes durante 2021 quedaría como en esta gráfica.

0days declarados por fabricante en 2021

Gráfico con los 0days declarados por fabricante en 2021
Datos: Project Zero

¿Significa esta gráfica que Chrome tiene más fallos y es más vulnerable? Para nada. De hecho, de esta gráfica se desprende tanta información que es necesario dividir el discurso.

Chrome

14 0days reportados en 2021. Sin duda, el navegador es el que más interés está despertando entre los atacantes desde hace algún tiempo. Primero por el número de ataques nuevos que realizan, segundo porque es sabido que eludir la sandbox de Chrome siempre ha sido un reto técnico.

Sin embargo ahora les renta más puesto que Edge usa Chromium y puede que algunos fallos puedan compartirse. Seis de estos fallos se encontraban en el motor V8 de JavaScript.

Webkit (Safari)

El primer año completo que Apple reporta 0days como tal en Webkit. Y son 7, por lo que no se puede establecer una tendencia. Desde luego, muchos en comparación con su cuota de mercado, pero ya sabemos que es un target jugoso en teléfonos iPhone sobre todo. De nuevo, 4 de ellos en el motor JavaScript.

Internet Explorer

Sí, todavía importa, dada lo incrustado en el sistema y como consecuencia de que aún es el motor HTML de Office. Además siempre se encuentran 3 o 4 0days de forma sostenida desde 2015.

Windows

10 0days. Lo curioso es que hasta ahora, la inmensa mayoría atacaban al win32k para elevar privilegios. Hasta el 75% de todos los 0days en años anteriores.

En 2021 es apenas el 20% los que atacan este driver. ¿Por qué? Porque esos ataques iban dirigidos a versiones anteriores a Windows 10. Con su desaparición, este módulo se vuelve más complejo de explotar. Aunque no lo parezca, Windows 10 está más blindado en este aspecto.

iOS/MacOS

Siempre hermético, este 2021 ha sido el primer año en el que Apple ha reportado 0days como tal en su sistema operativo. Y han sido 5 y de ellos, uno de ellos (el primero) en MacOS (hasta ahora todos en iOS).

De nuevo, iOS es un objetivo muy interesante para los atacantes en altas esferas geopolíticas. Pegasus es una muestra de ello.

La seguridad de Windows 11 mejora y se apunta al Zero Trust

Android

Hemos pasado de un solo 0day en 2019, a cero en 2020 y a 7 en 2021. Y de estas 7, 5 fallos en el driver GPU.

Dado que los sistemas operativos Android están muy fragmentados, realizar un exploit funcional para la mayoría de sus sabores es difícil. Sin embargo, un fallo en el driver GPU permite al atacante necesitar solo dos exploits. Uno para Qualcomm Adreno o uno para la GPU ARM Mali.

Curioso como no solo en Android, sino en el resto, lo más valorado para atacantes son las elevaciones de privilegios. ¿Por qué? Porque hacer que el usuario ejecute es relativamente fácil gracias a la ingeniería social.

Exchange Server

El gran protagonista de 2021. La primera vez que aparece desde 2014 y lo hace con 5. También es cierto que 4 de ellas formaban parte de una misma operación o campaña relacionadas con ProxyLogon.

Conclusiones

Nunca se sabrá qué parte no se conoce o qué porción representan esos 58 del total de 0days que están usando los atacantes. Al menos, este año es el primero en el que Apple se compromete a etiquetar sus vulnerabilidad como conocidas in-the-wild tanto para Webkit como para iOS y MacOS.

La mayoría de esos 58 0days siguen prácticas muy similares a las de siempre: se basan en exploits y vulnerabilidades ya conocidas para desarrollar nuevos y exploits derivados. Solo dos constituían una novedad sus técnicas y sofisticación. Y esto es relevante. Porque siempre que se usen métodos, técnicas o procedimientos conocidos, en teoría es más fácil detectarlos de forma más sencilla por “esperables”. Aquí debería mejorar la industria.

Otra conclusión es que estos números nos muestran algo solo parcial, cuyo mapa completo no conocemos. Son solo las vulnerabilidades declaradas como 0days detectadas por los fabricantes. Habrá más sin duda, pero no sabemos cuántas. La llamada de Google a que todos los fabricantes reporten sus 0days como tales es de gran ayuda para analizar la propia industria.

MYSPHERA, tecnología para reducir las listas de espera

Innovation Marketing Team    27 abril, 2022

Liberar a los profesionales de la salud de utilizar su tiempo en cualquier cosa que no sea la atención al paciente es el principal objetivo de MYSPHERA. Esta startup, que forma parte del portfolio de Wayra, pone su expertise al servicio de la tecnología y las personas para automatizar, simplificar y agilizar los procesos más complejos de una organización sanitaria.

A través de unas pulseras Bluetooth, localizan a los pacientes dentro del hospital. Usando estos datos, se crean tareas automatizadas cuando ocurren ciertos eventos. Por ejemplo, se generan tareas de limpieza, cuando el paciente sale de un quirófano; o tareas de transferencia, cuando se notifica que el paciente está listo a través del botón de la pulsera.

De entre sus productos, destaca ORvital, una solución que ha demostrado resultados increíbles en varios bloques quirúrgicos de diversos hospitales europeos, donde se ha aumentado el número de cirugías en más de un 14 %, ahorrando más de 3 horas al día a las enfermeras, reduciendo los inicios tardíos en más de un 50 % y mejorando la gestión de camas de 65 al 85% de tasa de ocupación.

MYSPHERA forma parte del portfolio de Wayra

El mercado sanitario es complejo y extenso con las dificultades que conlleva dar visibilidad a los productos y soluciones de una startup. “Formar parte de Wayra nos ha ayudado a potenciar enormemente tres pilares clave en este terreno: la visibilidad, la confianza y el alcance. Desde Telefónica, siempre han puesto su confianza y recursos a nuestra disposición, lo cual es vital para nosotros, sobre todo en nuestros primeros años de andadura”, afirma Daniel Vera, director de Marketing de MYSPHERA. Además, reconoce que “ir de la mano de Telefónica da un plus de confianza en tus soluciones y además abre puertas a las que es realmente difícil llamar desde la perspectiva de una startup”.

Primer año en 4YFN

MYSPHERA fue una de las startups que participaron en el stand de Wayra en 4YFN, el evento que se celebra de forma paralela al Mobile World Congress. “Fue una gran oportunidad poder asistir a este escaparate, en el que se dan cita las startups más innovadoras. Pudimos poner en marcha sinergias y oportunidades que solo se dan en eventos de esta magnitud”.

Además pudieron participar en la mesa redonda “On the way to Scale Up: How to work with large corporates” junto a Ezzing Solar y Unmanned Life. Fue muy interesante entender la experiencia de empresas de sectores muy diferentes y cómo se relacionaron con Telefónica para alcanzar el éxito. “Participar en una mesa con empresas de sectores muy diferentes fue muy enriquecedor para entender lo similar que fue nuestro camino en muchos ámbitos, entre ellos la relación con grandes empresas”.

5 estilos de negociación para convencer a tu adversario (Infografía)

Alicia Díaz Sánchez    27 abril, 2022

Es imposible tener razón en todo momento, aunque muchos lo pretendan. De ahí que, ante determinadas situaciones críticas o “en punto muerto”, se recurra a personas que tienen un estilo de negociación concreto o que saben manejar determinadas técnicas para lograr convencer al resto y conseguir su propósito.

Una negociación no es otra cosa que una o varias conversaciones entre dos o más partes para llegar a un acuerdo común que sea respetado y beneficie a todos.

Estilos más frecuentes de negociación

Según la mayor parte de los manuales, existen cinco estilos de negociación:

  • Colaborativo: se dejan aparte los intereses particulares en pro de las necesidades de cada negociador. La prioridad es lograr el crecimiento y el éxito conjunto, de tal modo que todos los involucrados salen beneficiados.
  • Competitivo: se trata de ganar a toda costa, aunque se perjudique al resto. El éxito es más importante que las relaciones con los demás negociadores. Este estilo es propio de empresas con un gran control del mercado y menos común entre los emprendedores.
  • Complaciente: se basa en aceptar todas las condiciones que ponen los demás. Este estilo lo emplean, por ejemplo, los principiantes, para entrar en un determinado mercado o para afianzar las relaciones con nuevos clientes.
  • Evasivo: prima la idea de evitar los conflictos, para no afrontar una situación perjudicial. Este estilo de negociación puede dañar seriamente a la empresa, al no combatir directamente los problemas que surgen.
  • Flexible: el objetivo es llegar a una solución rápida. Para ello, se establecen acuerdos justos y equilibrados para todos. El punto débil de este estilo es que las soluciones son temporales y no se aborda el núcleo central ni estructural del problema.

En cualquier caso, lo primero que se debe hacer ante un conflicto es delimitarlo y ver los puntos en los que se está de acuerdo (si los hay). A partir de ahí, comenzaría la negociación, para ir consensuando unos objetivos y condiciones y descartando otros.

Quién y cómo debe ir a una negociación

Es importante saber elegir bien a la persona que va a negociar, ya que es uno de los pilares fundamentales para conseguir el éxito. Por ello, el negociador debe acudir a la reunión lo más tranquilo posible (control emocional). También debe cuidar su aspecto, para causar una buena impresión, y elegir bien cómo plantea su punto de vista para convencer al resto.

Entre las capacidades de un buen negociador destacan la inteligencia, la intuición, el respeto a los demás, la paciencia, la empatía y la capacidad de persuasión.

El proceso de negociación

Hay diferentes tipos de negociación, pero la mayoría incluye los siguientes puntos:

  • Escuchar de forma activa a las partes involucradas.
  • Dejar que los otros expongan primero sus propuestas y objetivos. Esto es fundamental para evaluar hasta dónde se puede llegar en las concesiones (si son necesarias).
  • Es preferible no ser el primero en exponer la propuesta, para saber qué pretende el resto. Esto no significa que no haya que llevar un plan bien preparado, con las posibles ofertas, las concesiones y los límites que no se pueden rebasar.
  • Hay que crear un clima agradable, sin tensiones, para que la negociación fluya mejor.
  • Y, por último, cerrar el trato con todos los puntos acordados o retirarse a tiempo, en caso de que la negociación no prospere.

En la siguiente infografía resumimos los cinco estilos de negociación más utilizados:

5 estilos de negociación (Infografía)

Foto de Markus Spiske en Unsplash