Boletín semanal ciberseguridad 1-7 de enero

Telefónica Tech    7 enero, 2022

Fallo en la entrega de correo en servidores Microsoft Exchange on-premise

Microsoft lanzaba el 2 de enero una solución de emergencia para corregir un fallo por el que se interrumpía la entrega de correo electrónico en los servidores Microsoft Exchange on-premise. Nos encontramos ante un fallo del “año 2022” en el motor de análisis antimalware FIP-FS, una herramienta que se habilitaba en 2013 en los servidores Exchange para proteger a los usuarios ante el correo malicioso. El investigador de seguridad Joseph Roosen indicaba que la causa estaba en que Microsoft usaba una variable int32 firmada para almacenar el valor de la fecha, variable que contaba con un máximo de 2.147.483.647. Las fechas de 2022 tienen un valor mínimo de 2.201.010.001, por lo que sobrepasan la cifra máxima que se puede almacenar, de forma que falla el motor de escaneo y no se puede enviar el correo. El parche de emergencia requiere intervención del usuario (se trata de un script que debe ejecutarse siguiendo unas instrucciones determinadas) y, desde Microsoft advierten que el proceso puede llevar un tiempo. Desde la firma, estarían también trabajando en una actualización que solucione de forma automática el problema.

Más detalles: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447

Fallo de seguridad en Uber permite enviar correos desde sus servidores

El investigador de seguridad Seif Elsallamy ha descubierto una vulnerabilidad en el sistema de correo empleado por Uber que podría permitir a un agente amenaza enviar emails suplantando la identidad de la compañía. La vulnerabilidad detectada estaría localizada en uno de los endpoints de correos de Uber, el cual se habría expuesto de forma pública y permitiría que un tercero pudiera inyectar código HTML, pudiendo enviar correos simulando ser Uber.  El investigador envió al medio digital Bleeping Computer un correo que provenía de la dirección de correo [email protected], donde se observa un formulario donde se solicita al usuario la confirmación de los datos de su tarjeta de crédito, información que sería enviada más tarde al servidor controlado por Seif Elsallamy. Este correo no entró en la bandeja de spam por provenir de los servidores de Uber. El investigador reportó a Uber la vulnerabilidad a través del programada de recompensas de HackerOne, pero esta fue rechazada por requerir ingeniería social para poder ser explotada. Este problema no es la primera vez que se detecta, pues investigadores como Soufiane el Habti o Shiva Maharaj ya lo habrían reportado tiempo atrás.  Asimismo, el investigador expone que, debido a la fuga de información que tuvo Uber en 2016, existen 57 millones de usuarios en riesgo que podrían recibir correos que simularan proceder de Uber. Por su parte Bleeping Computer también se habría comunicado con Uber, sin recibir respuesta por el momento.

Toda la info: https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/

Parche extraordinario para fallos en Windows Server

Microsoft publicó un parche de actualizaciones extraordinario que buscaba resolver algunos errores reportados por usuarios de Windows Server. En concreto, algunos usuarios de Windows Server 2019 y 2012 R2 se estarían encontrando con problemas de lentitud excesiva o que derivaban en que los terminales se quedaran en negro. En algunos casos, además, podrían producirse fallos a la hora de acceder a los servidores mediante escritorio remoto. El parche para estas versiones no está disponible en Windows Update y tampoco se instalará de forma automática. En su lugar, los usuarios afectados deberán seguir las instrucciones proporcionadas por Microsoft en su publicación. Se espera que el resto de las versiones de Windows Server reciban parches similares en los próximos días.

Para saber más: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772

Técnicas evasivas del malware Zloader

Investigadores de CheckPoint han analizado las nuevas técnicas evasivas del malware bancario Zloader. En la nueva campaña analizada, que atribuyen al grupo MalSmoke y que indican estaría realizándose desde noviembre de 2021, la infección comienza con la instalación de Altera Software, una herramienta legítima de monitorización y administración remota para IT, y que se emplea para conseguir acceso inicial de manera sigilosa. De forma complementaria a la utilización de una herramienta legítima, los actores hacen uso de DLL maliciosas con una firma válida de Microsoft para evadir las detecciones. Para ello los actores aprovechan el fallo CVE-2013-3900, una vulnerabilidad conocida desde 2013 por Microsoft, cuyo parche viene deshabilitado por defecto y que permite a un atacante modificar ejecutables firmados añadiendo código malicioso sin invalidar la firma digital.

Todos los detalles: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

Elephant Beetle: grupo con motivaciones financieras

El equipo de respuesta a incidentes de Sygnia han publicado un artículo donde exponen el análisis de Elephant Beetle, un grupo con motivaciones financieras que estaría atentando contra múltiples compañías del sector en Latinoamérica, y al que llevarían siguiendo durante dos años. También clasificado como TG2003, este grupo dedica largos periodos de tiempo en analizar a su víctima, además de su sistema de transferencias, pasando desapercibido por los sistemas de seguridad mediante la imitación de paquetes legítimos y empleando para ello un arsenal de más de 80 herramientas propias. Como vector de entrada predilecto, Elephant Beetle estaría aprovechando aplicaciones Java legítimas desplegadas en sistemas Linux. Desde Sygnia destacan la explotación de vulnerabilidades antiguas sin parchear como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 o EDB-ID-24963 (SAP NetWeaver). Una vez estudiada la víctima, crea transacciones fraudulentas de pequeñas cantidades que imitarían los movimientos legítimos de la compañía.  Aunque la atribución todavía no es clara, desde Sygnia explican que, tras múltiples análisis de incidentes protagonizados por Elephant Beetle donde han localizado patrones como la palabra “ELEPHANTE” o múltiples C2 que estaban localizados en México, podría tener conexión con países hispanohablantes, más concretamente con Latinoamérica, pudiendo ser México la zona de procedencia.  

Más info: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia- Elephant Beetle_Jan2022.pdf

Empezamos un 2022 que será «ciberamenazante»

Diego Samuel Espitia    6 enero, 2022

Terminó el 2021, para algunos un año de recuperación económica y social, para otros un año con muchas dificultades en lo laboral y en lo personal, pero para los que trabajamos en el área de la ciberseguridad sin duda es un año en el que la pandemia aumentó exponencialmente nuestro trabajo y que nos permitió demostrar la efectividad y necesidad de las medidas de control y salvaguarda de la información.

Sin embargo, para los delincuentes fue un año en el que la efectividad de los incidentes demostró que son una industria en evolución y que cada vez son más los objetivos a los que pueden afectar con un simple clic. Sin importar el tipo de industria o lo grande que sea la organización, todas se han visto afectadas.

Para el 2021 iniciamos con el incidente de SolarWinds, una de las empresas de software que más desarrollos de monitoreo realiza en organizaciones gubernamentales y en empresas privadas de todos los tamaños el mundo, que evidencia cómo esto puede afectar incluso operaciones críticas de la industria. Pero el 2021 nos tenía un cierre igual de complicado con las vulnerabilidades detectadas en una librería usada en todo el mundo llamada Log4J.

En la cual a inicios de Diciembre se detectaron 4 vulnerabilidades críticas que permitían a los atacantes ejecutar remotamente código en millones de aplicaciones y desarrollos que la usan, incluso equipos de control industrial reportaron ser vulnerables a Log4Shell, como se denominó el ataque.

¿Qué nos espera en el 2022?

Sin duda nadie puede predecir el futuro claramente, pero podemos usar los datos que hemos obtenido en años anteriores y ver las evoluciones de los incidentes para determinar las posibles afectaciones que van a impactar con mayor fuerza en este entorno cada vez más digital y que con la pandemia se aceleró sin tener en cuenta muchas de las exigencias de ciberseguridad.

Lo que los datos nos muestran es que al igual que en 2020 y 2021, el ransomware va a ser el ataque dominante, pues tras generarse un ataque de este tipo cada 11 segundos en el 2021 (en promedio) afectando a organizaciones de todos los tamaños en el mundo y casos tan conocidos como el de Garmin o el del Colonial Pipeline, no cabe duda que seguirá siendo el arma predilecta por las organizaciones criminales.

Acompañado de dos tipos de incidentes poco nombrados, pero muy efectivos para las actividades criminales. El primero son los ataques a la cadena de suministro y el segundo tipo son los ataques que provechan la tecnología de microservicios en la nube (CSP).

Los tipos de ataques que debemos prevenir

El primero es cada vez más común, incluso los incidentes de principio y fin de 2021 son un ejemplo claro de cómo un ataque a la cadena de suministro afecta a miles o millones de empresas en todo el mundo, pero se prevé que con implementaciones como DeepFake y análisis de cadenas de suministro específicas, pueda ser una tendencia de ataque que ya no solo busque afectar a miles sino que pueda “personalizarse” para afectar directamente a una organización o Estado determinado.

En este tipo de ataques, los delincuentes no se centran en encontrar las debilidades en los sistemas o servicios propiamente usados o desarrollados por las organizaciones, sino en lo que estos se soportan, un paquete de desarrollo, un servicio de monitoreo, un hardware especifico o cualquier cosa que sea usada por ellos pero no completamente controlada, como lo que hemos demostrado con PackageDNA en los desarrollos de software.

El segundo tipo de incidente está muy relacionado al anterior, pues los delincuentes están activamente buscando debilidades en los esquemas de microservicios de la nube para aprovecharse de estos y amplificar o generar ataques cibernéticos en mayor escala.

La migración a la nube es un paso cada vez más necesario para las empresas. Los servicios en la nube han avanzado en arquitecturas que brinden mejoras en los servicios y en la seguridad de estos, pero para mejorar en lo primero se usan arquitecturas de microservicios, donde se implementa una configuración base que es reusada por múltiples organizaciones para aprovechar de la computación en nube.

Estos microservicios están expuestos a Internet por su misma función de servicio permitiendo a los delincuentes realizar análisis exhaustivos de su funcionamiento y detectando vulnerabilidades, que, si bien no afectan directamente a una organización que los use, sí pueden ser usados para amplificar ataques u obtener información sensible.

¿Lo que tenemos nos protege?

En general, las empresas han mejorado sus esquemas de seguridad, pero estamos lejos de ser “inmunes”, por lo que debemos estar conscientes de que vamos o estamos siendo afectados en un ataque, pero de las medidas previas que tomemos, la concientización de nuestro personal y los planes de respuesta que tengamos depende que este ataque nos acabe o lo resistamos.

La historia demuestra que tomar solo medidas de prevención no es útil ante las amenazas, un ejemplo es el riesgo a los incendios que todas las empresas enfrentan. Implementar la instalación de extintores en todas las áreas no va a reducir la probabilidad que personal no capacitado genere un incendio. Además, tener estos extintores no es útil en caso de presentarse un incendio si no existe un plan claro de cómo usarlos y quiénes los usan en caso de tener que enfrentar la amenaza. En el mundo digital no es muy diferente, es vital coordinar la arquitectura de seguridad con la capacitación al personal para prevenir los incidentes y para saber cómo reaccionar en caso de presentarse un incidente. Para esto, desarrollos como los XDR y los SOAR permiten a las unidades de ciberseguridad tener elementos de prevención y respuesta no solo automáticos sino organizados y estructurados, facilitando la dinámica de la respuesta de incidentes y mitigando el nivel de impacto en caso de un incidente.

Foto creada por standret – www.freepik.es

¿Son seguros los SMS para el envío de códigos de verificación?

Alexandre Maravilla    5 enero, 2022

Recientemente olvidé la clave de acceso a mi área personal de la app de banca online de mi actual banco. Os muestro el proceso de reset de la clave, llevado a cabo desde el navegador de mi smartphone:

  1. Introducir el DNI
  2. Introducir el número de una de mis tarjetas de débito y su código pin
  3. Solicitar el envío de un SMS para recibir un código de verificación/confirmación
  4. Recibir el código de verificación a través de SMS para poder acceder a la app y crear un nuevo código de acceso definitivo
Imagen 1: Proceso de envío de código de verificación a través de SMS para resetear el código de acceso a la app de banca online.

El problema de enviar códigos de verificación a través de SMS

Como se puede observar en el esquema anterior (imagen 1) donde se muestra el flujo del proceso, el paso 4 donde se recibe el código de verificación, sucede con la pantalla bloqueada, es decir, el código de confirmación puede ser visto por cualquier persona que tenga cerca el dispositivo móvil, sin necesidad de saber cómo desbloquearlo.

Este hecho se traduce en una brecha de seguridad, puesto que cualquier impostor que tenga en posesión nuestro dispositivo, o que tenga en posesión nuestra SIM (fraude conocido como SIM swapping), podrá acceder al código de verificación, y hacerse con el control de nuestra cuenta bancaria. A partir de este momento, solo nos queda “rezar” para que el banco tenga implantado algún motor anti-fraude basado en la analítica del comportamiento, y que sea capaz de identificar que quien está usando la app bancaria es un impostor, y no el usuario legítimo para ello.

Es cierto que, para llegar a este punto, un impostor habrá tenido que realizar cierto trabajo previamente, como por ejemplo recopilar nuestro DNI, y conocer el número de nuestra tarjeta de débito y su código pin. No obstante, el robo de estas credenciales está a la orden del día, conociéndose este tipo de fraude como pishing, vishing o smishing.

¿Por qué seguimos utilizando los SMS?

Según este informe de Twitter sobre la seguridad en sus cuentas de usuario, el 80% de los usuarios que utiliza un doble factor de autenticación (2FA) para acceder a su cuenta, lo hace a través del envío de un SMS. Twitter permite utilizar otros métodos para implementar el 2FA como por ejemplo el uso de una app externa que te tienes que instalar y desde la que se genera cada vez este código de verificación, o el uso de una llave de seguridad, un dispositivo hardware que se conecta al puerto usb de un pc, y que sustituye al código de verificación porque se presupone que solo el legítimo usuario es quien la posee.

Imagen 2: Métodos alternativos al envío de SMS para la autenticación de usuarios

Dada la sencillez de los SMS en comparación con estas otras alternativas, puede parecer razonable pensar que la mayoría de los usuarios de Twitter pueda preferir el SMS como método para recibir el código de verificación porque, entre otras cosas, no supone tener que instalarse una app externa, ni tampoco la adquisición de un dispositivo hardware adicional. Además, todos los usuarios sabemos cómo funcionan los SMS, no necesitamos aprender a utilizarlos como quizás pueda suceder con los autenticadores externos y/o security keys.

¿Podríamos incrementar la seguridad al enviar SMS?

Como hemos mostrado, los SMS son un método con amplia aceptación entre los usuarios a la hora de recibir códigos de confirmación, su usabilidad y experiencia de usuario (por mucho que nos pese), hacen que sea la opción preferida. No obstante, sabemos que este método está expuesto a ataques de suplantantación de identidad, por eso, encontrar una solución y securizar los SMS, puede aportar mucho valor para los usuarios.

Desde el Laboratorio de Innovación en Identidad de Telefónica Tech en la Marina de Valencia, junto con los compañeros expertos en soluciones de verificación de la identidad de Mobbeel, hemos desarrollado una solución basada en el estándar de Identidad FIDO2, que permite confirmar transacciones de usuario, utilizando el envío de SMS de manera segura, ¿cómo?, introduciendo la biometría en medio del proceso.

Como se puede observar en el paso 4 del esquema mostrado arriba (imagen 3), sustituimos la recepción de un código de verificación enviado a través de SMS, por el envío de un SMS que solicita nuestra autenticación a través de la biometría que el usuario ya utiliza en su propio dispositivo móvil; TouchID, FaceID o patrón o código de desbloqueo. Una vez el usuario ha verificado su identidad a través de la biometría en el SMS recibido, podrá continuar con el reset de su clave de acceso a la app.

Imagen 3: Proceso de envío de código de verificación a través de SMS seguro para resetear el código de acceso a app de banca online.

SMS de verificación seguros a través de la biometría

Desde Telefónica y Mobbeel, hemos sido pioneros en la implementación del estándar FIDO2 para solucionar una problemática real, que afecta a la mayoría de los usuarios de servicios y productos digitales. El envío de SMS securizados a partir de la biométría contribuye a prevenir el fraude online por suplantación de identidad. De este modo, la utilización de SMS para verificar transacciones de usuario, no corre el peligro de que alguien con malas intenciones pueda “situarse en el medio”, y conseguir así ganar acceso a nuestras cuentas.

Cloud computing, la clave para ahorrar costes y ser más productivo

Alberto Fernández Castro    5 enero, 2022

Trabajar en la nube implica numerosas ventajas que ya nadie cuestiona. El contexto digital está impactando en personas y empresas en un entorno virtual en el que la tecnología permite que seamos capaces de hacer las cosas de forma más eficiente. Una nueva forma a la que tenemos que adaptarnos (y entender) para sacar el máximo provecho y que nuestro negocio sea más competitivo.

El entorno cloud computing es, sin duda alguna, el habilitador principal para que un negocio pueda evolucionar de manera más rápida. Además, permite que las pymes hagan uso de tecnologías que, hasta hace no mucho, solo estaban al alcance de las grandes empresas.

Tener las aplicaciones y servidores en la nube hace posible que cualquier empresa pueda delegar esas funciones en un proveedor y centrarse en su actividad diaria. Es decir, dota de una mayor flexibilidad a la hora de evolucionar hacia un nuevo negocio o ampliar el existente.

Asimismo, supone un ahorro de costes, ya que se paga solo por aquello que realmente se consume, evitando los modelos tradicionales de inversión.

En este punto y dado el momento actual, con los precios de la electricidad en máximos históricos, es importante saber que las soluciones cloud pueden suponer también un importante ahorro energético.

Es cierto que, por regla general, una pyme (o una empresa familiar) dedica la mayor parte de su esfuerzo a sacar el negocio adelante. Por ello, no siempre repara en cómo la tecnología puede ayudarle. En este sentido, mi sugerencia es que delegue estas funciones en aquellas personas que tengan un perfil más tecnológico y, si es posible, que contrate o se apoye en alguien con experiencia.

De este modo, la empresa logrará encontrar la fórmula para ser más competitiva y crecer.

Por otro lado, el cloud computing mejora la seguridad de la empresa, ya que todos los equipos y sistemas están en un entorno más controlado y protegido, que permite recuperar la información en caso de que se produzca algún ciberataque.

Los costes del cibercrimen continúan aumentando

La seguridad se está convirtiendo en el caballo de batalla de las empresas. Día sí y día también nos despertamos con noticias sobre nuevas vulnerabilidades y ataques. De hecho, los costes que genera el cibercrimen continúan aumentando cada año. Las cifras que se manejan a día de hoy sitúan las pérdidas en seis billones de dólares (algo más de cinco billones de euros) a nivel global.

En España, según el informe de Datos101, este año se han producido 40.000 ciberataques al día, lo que implica un incremento del 125% con respecto a 2020.

Amenazas y principales ciberataques en 2021 (Infografía)

Son múltiples las amenazas en ciberseguridad a las que se enfrentan las empresas. Las pymes están sufriendo en gran medida el impacto de ciberataques como el del ransomware. Consiste en introducir un malware en el equipo de la víctima, que bloquea su ordenador desde una ubicación remota. Los archivos quedan cifrados y el atacante se apropia del control de la información. A cambio de eliminar esa restricción, el hacker pedirá un rescate.

En compañías más grandes, además del ransomware, las amenazas pueden tener su origen en ataques Zero Day. Es decir, aquellos que explotan vulnerabilidades de un sistema y no son reconocidos aún por las soluciones de seguridad.

También es relevante el problema de la fuga de información en las empresas, ya sea por algún atacante, por casos de robo efectuados por personal interno (algo cada vez más frecuente), o bien por imprudencia o descuido.

Los grupos “hacktivistas” cada vez son más audaces. Utilizan a menudo ataques de denegación del servicio con los que logran echar abajo la web de numerosas empresas y organizaciones en función del objetivo que hayan elegido.

Habitualmente las grandes empresas disponen de equipos dedicados de seguridad liderados por un CISO (director de Seguridad de la Información) con un presupuesto específico. En cambio, una pyme suele implantar (cuando lo hace) medidas muy básicas, y en muchas ocasiones solo toma conciencia de la importancia de protegerse cuando ya se ha producido algún incidente que ha causado un impacto serio.

¿Qué medidas debe adoptar una pyme para estar protegida?

Ante esta pregunta no hay una única respuesta. No obstante, es conveniente seguir unos pasos básicos:

  • Concienciación: ser consciente de que tienes que estar protegido, la seguridad es cosa de todos en el nuevo contexto digital.
  • Revisión de los activos e información: identificar aquellos activos que necesitas proteger en tu empresa, así como la importancia y criticidad de cada uno de ellos.
  • Implantar medidas de seguridad, paso imprescindible para realizar la detección y prevención de riesgos. Y en este punto el cloud computing es clave.
  • Elegir socios tecnológicos de confianza, es decir, apoyarse siempre en partners que tengan el conocimiento y la experiencia necesarios para ganar en tranquilidad y poder centrarte en tu negocio.

Recuerda siempre que la protección es un proceso continuo, en el que es imprescindible mantener y actualizar las medidas de seguridad adoptadas.

Foto de Sigmund en Unsplash

Ni «reunionitis» ni «eReunionitis», queridos Reyes Magos

Mercedes Núñez    5 enero, 2022

Todos los adultos sabemos que los Reyes no siempre nos traen lo que les pedimos… ¿Y quién no ha insistido de niño año tras año en alguna petición desoída? Por eso hoy a sus Majestades de Oriente desde este blog volvemos a pedirles que 2022 nos dé un respiro de reuniones y videorreuniones. El fin de la «reunionitis», vamos

El 3 de enero de 2020, sin saber aún lo que nos deparaba el año, un compañero escribía “Queridos Jefes Magos: ¿y si para 2020 terminamos con la «reunionitis»?”.

Por si Gurb nos leyera -todos los demás seguro que sabéis a qué se refería- la “reunionitis” es el exceso de reuniones superfluas que solo llevan a la pérdida de tiempo y dinero. Representa un mal generalizado en casi todas las organizaciones.

La necesidad de reunirse de vez en cuando se convierte en algo obsesivo compulsivo y estos encuentros pasan a ser “vampiros del tiempo, la productividad y la energía de los trabajadores. De cada una, además, sale otra (es como ese ramo que se tira en las bodas) y se convierten en un trabajo en sí mismas: son las reuniones como deporte corporativo, como competición a ver quién convoca más incluso”, escribía Jota. Con buen criterio, apelaba a celebrar reuniones productivas -en lo que hay un claro y largo recorrido de mejora- y las estrictamente necesarias, y daba algunas pautas para ello.

Reunidos por encima de nuestras posibilidades durante la pandemia…

Luego la pandemia hizo que 2020 fuera un año totalmente inesperado y el COVID-19 impuso, entre otras cosas, el teletrabajo de urgencia. Pero cuando no hay una cultura del teletrabajo previa y la gente se ve obligada, de la noche a la mañana, a trabajar desde casa a la fuerza durante tanto tiempo se cometen errores. Así, la nueva situación, lejos de aplacar la «reunionitis» que nos aquejaba, la convirtió en «eReunionitis. Y aunque las videorreuniones tengan una huella de carbono menor, las hemos celebrado “por encima de nuestra posibilidades”, a veces fuera incluso del horario laboral o sin un minuto de desconexión siquiera entre una y otra.

Agotamiento y estrés, consecuencias de la «reunionitis»

El precio de mantener e incluso incrementar la productividad en el nuevo escenario ha sido agotamiento y estrés en muchos casos. Tanto que para combatir sus efectos negativos las herramientas de colaboración han empezado a incorporar “capacidades de bienestar”, como veíamos.

Y es que, según el «Informe anual sobre el futuro del trabajo» elaborado por Microsoft, la sobreexposición e intensidad con la que se han utilizado las herramientas digitales para teletrabajar nos están pasando factura. ¡Ojo a algunos de los datos!:

El tiempo dedicado a reuniones de Teams ha sido más del doble que en el mismo periodo anterior a la pandemia y la duración media de las reuniones se ha incrementado. Muchas de ellas, además, tuvieron lugar sobre la marcha, de manera imprevista, lo que aumenta aún más esa sensación de agotamiento y estrés.

Durante los meses de pandemia, por tanto, hemos convivido con una enorme sobrecarga digital… y de reuniones. Pero, como comentábamos al principio, la «videorreunionitis» viene de atrás.

Medir la utilidad de reuniones y videorreuniones

Los expertos coinciden en que “los españoles nos reunimos demasiadas veces, demasiado tiempo y con un estilo pésimo”. Somos «el país de Europa que más horas dedica a las reuniones y más tiempo pierde en ellas». Las estadísticas dicen que una persona desperdicia 31 horas mensuales en reuniones ineficaces. En una empresa de cien empleados eso representa un coste inútil de 704.500 euros al año.

Por eso, de cara a 2022 muchos deberían preguntarse ya no solo si reunirse tanto está dando buenos resultados, sino lo que penaliza en términos de pérdida de tiempo y dinero.

Aspectos que fallan en estos encuentros

¿Por qué ocurre? Muchas veces las reuniones no tienen un objetivo claro; otras, no tienen sentido y son fruto solo de la urgencia de alguien por transmitir sus prioridades a los demás.

En muchas ocasiones no se sigue el procedimiento idóneo. Se convocan sin agenda, con multitud de “invitados de piedra” a los que el tema no incumbe, en ellas se acaba hablando de “flores y pájaros” o se dan vueltas y vueltas sobre lo mismo sin avanzar, no se toman decisiones, no hay un estatus final y se “cronifican” y convierten en recurrentes. Esto hace, como señala Gustavo Piera que al final “la gente esté de cuerpo presente pero ausente de mente”. 

También están las “reuniones oposiciones”, en las que se pone sobre la mesa un tema para el que aún falta un año. En general, acaban provocando hastío y suele ocurrir que dos semanas antes aún está todo por hacer, sin que las cincuenta reuniones anteriores hayan servido para apenas nada. Decía Thomas Sowell que “las personas menos productivas suelen ser las que están más a favor de celebrar reuniones”.

En general con la «reunionitis» se aprecia una evidente falta de respeto por el tiempo de los demás. A veces uno no sabe siquiera -ni se preocupan en presentarle- quiénes son el resto de asistentes ni entiende por qué lo han convocado a él para tratar de algo en lo que “ni pincha ni corta”.

Conozco el caso de personas que han llegado tarde, se han metido en reuniones equivocadas y han tardado veinte minutos en darse cuenta, levantarse e irse. A los que estaban allí tampoco les chocó la presencia de dos más… “La eficacia de una reunión es inversamente proporcional al número de participantes” decía Lane Kirkland.

Sentido del humor también en 2022

Además de la «reunionitis» está la impuntualidad que se observa en estos encuentros… Me ha hecho gracia esto que me he encontrado en Internet:

-¿Es aquí la reunión de personas impuntuales?

-Fue ayer.

-¡Ah!

– Pero acabamos de llegar todos, pasa

Y como el sentido del humor es clave y no debemos perderlo en este nuevo año tampoco, termino con esta cita de Dave Barry: “Si tuviera que identificar en una palabra la razón por la que la raza humana no ha alcanzado y nunca logrará todo su potencial esa palabra sería reuniones”.

Imagen: Ville Saavuori

 

 

 

 

Crowdfunding para validar un proyecto empresarial

Mario Cantalapiedra    4 enero, 2022

El crowdfunding es una modalidad de financiación participativa en la que múltiples personas aportan dinero para financiar las iniciativas de otras personas o empresas. Aparte de un modo de obtener financiación, puede convertirse en una forma de probar que un proyecto empresarial que se está pensando lanzar al mercado es viable.

El origen del crowdfunding está en el rock

En 1997 la banda británica de rock Marillion no disponía de suficiente capital para realizar la gira de su álbum “This Strange Engine” por los Estados Unidos, lo que llevó al teclista del grupo a solicitar ayuda a sus seguidores a través de Internet.

La respuesta fue muy positiva y el grupo consiguió recaudar 60.000 dólares mediante la aportación económica de sus fans, con los que pudo realizar la gira por tierras norteamericanas. Desde entonces, Marillion ha repetido este modelo de financiación con el que ha realizado otras giras y grabado discos gracias a la aportación de sus fieles seguidores.

Este caso se considera pionero en el fenómeno del crowdfunding o financiación de un proyecto mediante la aportación económica de muchas personas a través de Internet. Se podría decir que la banda británica lo inventó, aunque realmente fueron sus fans quienes lo hicieron posible, movidos por su amor al grupo y por el afán de escuchar sus canciones en directo.

Desde entonces, el crowdfunding ha evolucionado del mismo modo que lo ha hecho la base en la que se soporta, Internet. Puede decirse que se ha utilizado como fuente de financiación para proyectos musicales, como el comentado, películas de cine, campañas políticas o negocios de toda clase y condición, aunque sobre todo relacionados con la tecnología.

Crowdfunding financiero y no financiero

Hoy en día existen múltiples modalidades de financiación participativa que básicamente se pueden agrupar en dos grandes categorías en base a su componente financiero o no financiero.

En el crowdfunding financiero, los aportadores de dinero esperan recibir una remuneración también dineraria a cambio de su inversión, ya sea vía cobro de intereses por el dinero que prestan a un particular o a una empresa (crowdlending), o vía cobro de dividendos y plusvalías en el momento de vender su participación en el capital de una sociedad (crowdinvesting).

Por su parte, en el crowdfunding no financiero, los aportadores de fondos no esperan recibir a cambio una remuneración dineraria, sino un bien o servicio determinado, como, por ejemplo, una entrada al concierto de Marillion (crowdfunding de recompensa), o simplemente realizan una donación de manera altruista (crowdfunding de donación).

Medio para validar la idea de negocio

Un emprendedor puede tratar de validar su idea de negocio fundamentalmente mediante dos de las modalidades anteriores: crowdfunding de recompensa y crowdinvesting.

En el caso del crowdfunding de recompensa, el emprendedor puede publicar el proyecto detallado de su bien o servicio en Internet para difundirlo entre la multitud y comprobar el interés que despierta entre posibles clientes, antes inclusive de llegar a fabricarlo. Así, la financiación participativa se utiliza para confirmar que hay clientes interesados en el producto que desea comercializar la empresa, los cuales pueden llegar a pagarlo por adelantado con tal de ser los primeros en tenerlo.

Por su parte, el crowdinvesting, aunque en cierto modo también sirve para validar la idea de negocio entre la multitud, se centra en la búsqueda de inversores que deseen formar parte del accionariado de la compañía promotora del negocio, y compartir su posible éxito, mediante el cobro de dividendos y/o de la plusvalía que en su caso se logre al vender la participación accionarial, como ya he comentado.

En este caso, el crowdinvesting cuenta con regulación propia en España a través de la Ley 5/2015, de 27 de abril, y es un tipo de financiación participativa que suelen utilizar los business angels o inversores privados que aportan capital en las etapas iniciales de las empresas.

Normalmente los proyectos que acuden en busca de inversores han de ser negocios escalables y tener una facturación demostrable para ser seleccionados por las plataformas de Internet intermediarias, algo que se ha podido lograr utilizando previamente el crowdfunding de recompensa. En este sentido, ambas modalidades de financiación participativa pueden ser complementarias a la hora de validar el negocio de la empresa y contribuir a su crecimiento.

Foto de Damir Spanic en Unsplash

Innovación en formación corporativa con ayuda de la inteligencia artificial

Virginia Cabrera    4 enero, 2022

Ayer en «Formación es transformación» escribía, al hilo de la última edición del Talent day, de la importancia estratégica del aprendizaje continuo en el seno de las organizaciones. Explicaba que los nuevos tiempos requieren también innovación en formación corporativa, un modelo distinto.

Durante el encuentro las empresas participantes expusieron algunos ejemplos en este sentido, que pueden servir de modelo a otras compañías. Se habló de aprendizaje social, «gamificado», agile, con itinerarios personalizados y especial atención a la experiencia de usuario, entre otras cosas. Veámoslo:

El proyecto Uvance (Universal advance) de Fujitsu. Se trata de un espacio de formación, conversación y transformación, en el que pueden participar todos los trabajadores de la compañía, tanto para aprender como para compartir su conocimiento con el resto. Pueden contar en videos de 30 minutos aquello que consideren importante para otros (existen ya más de cien videos).

Desde este espacio se promueve la evolución hacia un entorno y una sociedad sostenibles con ayuda de la tecnología. Combina acciones de formación individuales y colaborativas. Cuenta con laboratorios de experimentación, auditoria por unidades de negocio y un sistema de autoevaluación,.

«Gamificación» y serious games

-El Data School de Repsol es “una escuela sobre la importancia del dato” para toda la organización, totalmente alineada con su objetivo de ser una compañía data driven en 2025. Cuenta con distintos itinerarios según los perfiles (básico, avanzado y especializado) y apuestan por el aprendizaje social, interactivo y “gamificado”.

Los proyectos de serious game de Kiabi encajan plenamente con su cultura: “ser diferentes y disfrutar trabajando en Kiabi”. Con ellos buscan generar engagement a través de la “gamificación”, con juegos serios tanto presenciales como online, ya que el 90 por ciento de sus equipos está deslocalizado.

Entienden también que permitir a cada empleado elegir su ruta formativa en base a un plan de desarrollo individual para incrementar sus fortalezas, los empodera. También que la aplicabilidad de lo aprendido al puesto de trabajo para avanzar hacia donde quieren ir es clave.

El Plan Ronin de San Miguel incluye iniciativas orientadas a los early adopters de la transformación digital. Su objetivo es impulsar la tracción, apoyados en agentes de evolución cultural que hagan de nexo entre la estrategia y los equipos de trabajo.

Saben que es algo que solo surge desde la voluntariedad, por lo que identifican de manera casi natural a personas convencidas, comprometidas, proactivas, con ganas y generosas (la comunidad Ronin), que se animan a realizar las distintas misiones que se publican. Estas misiones se ejecutan en sprints de un par de semanas y finalizan con un análisis de logros y mejoras para el siguiente cometido así como con una reflexión sobre el trabajo como equipo.

Importancia de la experiencia de usuario

La plataforma Learning hub de Randstad es otro ejemplo de innovación en formación corporativa. Se trata de un espacio de social learning, con recursos online que permiten al empleado formarse de forma interactiva, cuando quiere y desde cualquier dispositivo.

Facilita la adquisición de conocimientos y el desarrollo de 16 competencias y la evaluación de los empleados. Es un espacio con “cursos largos” y otros recursos de consumo rápido en formato texto, audio y video. Su diseño es atractivo e incluye funcionalidades propias de plataformas de entretenimiento y redes sociales. Se cuida la experiencia del usuario, al que se le permite configurar intereses, comentar los recursos, compartir lo que le haya gustado, recomendar, crear playlists y sugerir la incorporación de recursos de otros entornos. La plataforma usa la inteligencia artificial para ir aprendiendo del consumo individual y social para sugerir rutas basadas en gustos e intereses.

Aplicación de la inteligencia artificial al aprendizaje

Sin duda, la aplicación de la inteligencia artificial va a tener cada vez mayor protagonismo en el aprendizaje. Y -como no podía ser de otro modo- durante el Talent day se abordó el tema durante un coloquio muy interesante. En él participó Roberto Prada, gerente de Aprendizaje de Telefónica España.

Según los expertos, la clave de una estrategia de formación exitosa pasa por tener claras tanto las capacidades actuales como las necesidades de la plantilla. Esta información se obtiene de experiencias, entrevistas y valoraciones pero, sobre todo, de “datos limpios” que permitan generar cuadros de mando fiables, que son la base para construir algoritmos de calidad sin sesgos no deseados.

La plataforma SkillBank de Telefónica

Roberto compartió con los asistentes el modelo de reskilling y upskilling de Telefónica, una estrategia de analítica de datos con una solución de inteligencia artificial que persigue el desarrollo de los perfiles del futuro y las habilidades necesarias para la nueva actividad de la compañía así como nuevos modelos de liderazgo.

La plataforma SkillBank permite conocer el perfil e intereses de cada persona de la compañía, con un modelo que combina analítica de datos y machine learning para crear hojas de ruta personalizadas en las que cada empleado puede ver qué tiene que hacer para parecerse más a ese referente que marca su “quién querría ser”. Es un modelo que incorpora recomendaciones de formación pero también sugerencias de oportunidades de desarrollo, en función de las capacidades de cada uno. Un referente en innovación en formación corporativa.

Las cifras son llamativas: incluye más de 1.500 habilidades para desarrollar y dos de cada tres personas ya reciben propuestas de mejora, algo impensable sin ayuda de la tecnología.

Como conclusión del Talent day, quedó claro que la learnability es una capacidad social y emocional, que constituye una palanca clave para la competitividad y sostenibilidad de las organizaciones. También que nunca hay que perder de vista la perspectiva del empleado y es preciso facilitarle los medios y la tecnología para que pueda “ampliar su zona de confort educativa”, sin que suponga un esfuerzo inasumible. Hay que encontrar además agilidad en el aprendizaje con un equilibrio entre rutas personalizadas y el aprendizaje social que se produce de manera natural de la relación con otras personas.

Las herramientas, el tiempo necesario y la voluntad de aprender y compartir conocimiento van a ser claves para el futuro de nuestro aprendizaje.

Imagen: Mike Cardus

¿Es un canal de denuncias un caso de uso de Blockchain?

José Luis Núñez Díaz    4 enero, 2022

El canal de denuncias es una herramienta incluida dentro de las políticas de compliance de una compañía. Por tanto intenta prevenir la responsabilidad penal de las empresas por los comportamientos inapropiados o delictivos de sus empleados. Gracias al canal de denuncias, los empleados de una empresa o cualquier otro colectivo pueden comunicar hechos delictivos que afectan a la empresa. Pero es una forma de denunciar no sólo comportamientos delictivos, sino también contrarios a los valores y códigos éticos corporativos.

El canal de denuncias es mucho más que un buzón donde enviar esa comunicación. Debe ofrecer garantías absolutas de mantener la confidencialidad del denunciante y que ningún tipo de represalia se va a producir contra él. La empresa está obligada a atender y responder todas las denuncias registradas y realizar una investigación sobre los hechos denunciados. En base a esa investigación podrá establecerse la pertinencia de la denuncia o en su caso archivarla.

Desde Telefónica Tech, lanzamos Línea Ética, nuestra solución que permite a las empresas implementar un canal de denuncias de manera rápida y sencilla. Línea Ética cumple con todos los requisitos técnicos y normativos exigibles a un canal de denuncias. Pero en Telefónica Tech, creemos que podemos dar mayores garantías a este tipo de servicios aplicando blockchain.

La trazabilidad de procesos con Blockchain

Desde Telefónica Tech, construimos, sobre nuestro servicio gestionado de Blockchain, TrustOS, varios servicios que combinan las capacidades de trazabilidad y certificación de la tecnología. Combinamos IoT y las técnicas más avanzadas de criptografía para dotar de trazabilidad a cualquier activo. Desde un contenedor en mitad del atlántico a un tractor añadiendo fertilizantes en una finca de la meseta. Con estos servicios creamos un registro inmutable con todas las actualizaciones relevantes del activo. Su posición cambiante o la cantidad de fertilizante utilizada en esa finca. En base a la inmutabilidad de la información registrada emitimos certificados verificables por cualquiera garantizando la integridad de los datos desde que se registraron.

Pero el mismo esquema podemos aplicar a muchas relaciones empresariales que se basan en el intercambio de documentación. Pensemos en un contrato de compra-venta. Desde que se inicia una negociación hasta que se firma la transacción, se intercambian multitud de documentos. Auditorías, due dilligences, contratos de garantías, avales, etc. Las partes pueden registrando en blockchain la documentación intercambiada y generar evidencias del contenido, la fecha y quién la envió a quien. Nadie podrá cuestionar que la documentación asociada se ha alterado o modificado desde que se registró. En Telefónica hemos aplicado este mismo esquema en nuestros procesos legales. Estamos monitorizando y registrando evidencias de la información confidencial intercambiada con un partner en el marco de una relación comercial.

Y por supuesto, el esquema vuelve a reproducirse en un canal de denuncias. El denunciante crea la denuncia y desde ese momento la empresa abre un expediente. En él se va añadiendo toda la información recopilada en el marco de la investigación. La información pueden ser documentos, fotos o cualquier tipo de evidencia. También parece oportuno que puedan registrarse las eventuales comunicaciones con el denunciante (si existieran) y las consideraciones del investigador.

Línea Ética: un canal de denuncias con blockchain

Funcionalmente, Línea Ética es equivalente a las docenas de soluciones de canal de denuncias existentes en el mercado. En la ficha de producto encontrareis sus principales características. Seguro que no os sorprende ninguna. Si Línea Ética es diferencial es precisamente por la aplicación de Blockchain.

Pero no sólo porque se reproduce el esquema anterior. Es decir, Blockchain añade transparencia y trazabilidad desde que se crea la denuncia hasta que se resuelve y archiva. Sólo esto ya justificaría su aplicación en este caso. Gracias a Blockchain incrementamos las garantías al denunciante en 2 aspectos fundamentales:

  1. La denuncia es inmutable e irrefutable. Como cualquier información registrada en Blockchain no puede eliminarse ni modificarse. Tampoco poner en duda la fecha de registro. Traducido al contexto del canal de denuncias, aseguramos que la empresa no puede alterar en su propio beneficio el contenido de las denuncias. Tampoco puede modificar la fecha en que se registró. O incluso evitamos que la empresa pueda eliminarla u ocultarla.
  2. Las transacciones en redes de Blockchain son públicas pero la identidad real del usuario se mantiene en el anonimato. Usando los mismos principios criptográficos podemos asegurar en cualquier circunstancia la confidencialidad del denunciante. La empresa no puede acceder a la identidad del denunciante. Incluso cuando nos facilita datos de contacto como el e-mail para poder enviarle las actualizaciones sobre su denuncia.

Sin blockchain la empresa debe demostrar que la implementación del canal garantiza su funcionalidad. Es decir, que toda denuncia es atendida (ninguna se ignora, modifica u oculta deliberadamente) y que se mantiene la confidencialidad. Blockchain es la pieza clave que permite cumplir con los requisitos del servicio sin necesidad de auditorías o análisis pericial de la implementación. En definitiva, la aplicación de blockchain en Línea Ética añade garantías esenciales al producto que lo diferencian de otras soluciones.

Entrada en vigor de la Directiva ‘whistleblowing

El pasado 17 de diciembre entró en vigor la Directiva Europea 2019/1937 sobre protección del denunciante, más conocida como «Directiva Whistleblowing». Como consecuencia todas las administraciones públicas y las empresas privadas tienen la obligación de implementar un canal de denuncias internas.

Esta obligación es de inmediato cumplimiento desde la entrada en vigor de la Directiva para las empresas de más de 250 empleados. También para las administraciones públicas de poblaciones superiores a 10.000 habitantes. A las empresas de más de 50 empleados y el resto de administraciones públicas les aplica una moratoria de 2 años. Es decir, en su caso, tendrán que tener implementado el canal de denuncias antes del 17 de Diciembre de 2023.

Por otro lado, licitaciones de entes públicos y privados exigen ya la aplicación de políticas de compliance o la vinculación a determinados códigos de conducta. Entre ellas, la existencia de un canal de denuncias. Incluso se habla también de que podría ser una exigencia para el acceso a los Fondos Europeos de Recuperación. En definitiva, más allá de la obligación por la Directiva Whistleblowing, la propia dinámica de contrataciones empuja a implementar un canal de denuncias.

Así que, con Línea Ética, perseguimos un doble objetivo alineado con la misión de Telefónica Tech. Por un lado, acompañamos a las empresas en su digitalización ayudándoles a cumplir con esta obligación. Por otro, promovemos el uso de Blockchain con casos de uso diferenciales y de manera transparente para los usuarios.

Si tu empresa tiene más de 250 empleados no esperes más, Línea Ética te permitirá cumplir con la Directiva Whistleblowing de manera inmediata. Y si tu empresa es más pequeña, no agotes el plazo, sé previsor y planifica la implementación del canal de denuncias en tu empresa.

El consumidor responsable: cómo, qué, dónde y cuándo consume

Ángel Escribano    3 enero, 2022

Las empresas deben poner toda su atención en el consumidor responsable, si quieren seguir formando parte del mercado. Todas deberán incorporar a sus buyers personas estas características de responsabilidad o, de lo contrario, tendrán un gran desconocimiento de las razones y las motivaciones que mueven a su consumidor ideal. 

Para entender y dar el suficiente valor al término consumidor responsable, debemos acercarnos al contexto en el que nace y ver su proyección actual.

Antes de que se acuñase este término, ya empezaban algunas voces muy representativas del capitalismo actual (el Foro de Davos, sin ir más lejos) a plantear en sus ponencias y reuniones la necesidad de que las empresas, las sociedades y los gobiernos lanzasen miradas a la sostenibilidad, definiendo un futuro en el que la permanencia en el mercado, la supervivencia de las organizaciones e incluso el propio mercado colapsaría si no se atendían unos criterios básicos de responsabilidad con el planeta.

En esa misma línea, hemos visto cómo se empiezan a traducir todos estos términos en movimientos firmados por países y cómo las empresas más representativas de cada nación y de cada sector firman acuerdos y se suscriben a los ya tan nombrados (incluso desgastados, según mi parecer) Objetivos de Desarrollo Sostenibles (ODS), comprometiendo presupuestos, reconfigurando su marca, realizando actuaciones en el mercado y campañas de comunicación, siendo conscientes de que deben tomar una posición al respecto.

El propósito empresarial

Incluso en la actualidad, vemos que la mayor parte de las empresas han abandonado los conceptos clásicos de misión y visión que decoraban sus páginas webs corporativas, para adentrarse en términos más cercanos a los ODS como son el propósito y para los más “modernos” la intención.

Tan grande ha sido el volumen que ha alcanzado este cambio que incluso algunos autores se han aventurado a decir que hemos creado una auténtica economía del propósito. Suena contradictorio, por decirlo de una manera suave, con el origen de todo esto, ¿verdad?

Sin embargo, aunque estén llenos de grises estos conceptos del propósito y la intención a los que se están sumando las empresas, la palabra sirve de puente entre lo que se ha definido como el consumidor responsable con el mundo de la empresa.

El propósito individual

El consumidor responsable, en esencia, es una persona que pone un propósito por encima de sus intereses personales. Es decir, antepone el bien común, el bien de la sociedad por encima de sus necesidades particulares y tiene un modelo de comportamiento dentro de la sociedad y con el planeta que le trasciende y que determina su vida.

Quizás lo más importante que debemos destacar de esta definición es que el propósito del consumidor responsable le transciende y determina su vida.

¿Cómo determina este propósito la actitud y el comportamiento del consumidor responsable?

Para responder a esta pregunta de una manera didáctica y lo suficientemente amplia como para que sea aplicable al mayor número de industrias posibles, iremos respondiendo a las preguntas formuladas en el título del post.

¿Qué consume?

Mejor que hablar de qué consume, podríamos hablar de “a qué tipo de empresas” compra sus productos. En esto la posición es rotunda: el consumidor responsable solo comprará a las empresas que estén alineadas con su propósito y sean 100% productoras responsables.

¿Cómo consume?

Este tipo de usuario hará todo lo posible por que aquello que rodee su consumo sea lo más sostenible posible: empaquetado, apoyo a los productores o economías locales, logística y distribución… Todos esos detalles cuentan muchísimo a la hora de definir su modo de consumo.

¿Dónde consume?

El comercio electrónico o las tiendas digitales son quizás el mercado natural en el que se desenvuelve el consumidor responsable. Pero hay que tener en cuenta que siempre va a preferir aquellas tiendas online que le ofrezcan la misma experiencia responsable. La única posibilidad de que los grandes ecommerce sufran tensión en un futuro será si son incapaces de demostrar que realmente son responsables en absolutamente toda su cadena de valor. Ahí lo dejo: en toda su cadena de valor.

¿Cuándo consume?

Esta es quizás una de las preguntas que más desestabilizada el modelo anterior de consumo. El consumidor responsable solo consume cuando necesita el producto. Con esto discrimina o elimina grandes campañas anuales de descuento enfocadas a incentivar el consumo.

¿Cuánto consumirá?

Sin lugar a dudas, lo fast es el gran enemigo de este tipo de consumidor. Consume con conciencia y está dispuesto a pagar un sobrecoste si lo explicamos bien y se alinea con nuestra posición. Este consumidor entiende que es muy difícil compaginar fast & cheap con el concepto de consumo responsable.

Las pymes tienen una posición de ventaja para poder estrechar lazos y vincularse a este consumidor. Aprovechar esta ventaja y ocupar un territorio en su mente debería ser excusa suficiente como para transformar su empresa en una pyme responsable. De esta manera, asegurará la permanencia de su negocio pero, sobre todo, el futuro de la sociedad y del planeta.

Foto de Florida-Guidebook.com en Unsplash

Boletín semanal ciberseguridad 28-31 diciembre

Telefónica Tech    3 enero, 2022

Campaña de smishing suplantando a MRW y Sending que utiliza datos de pedidos reales

Numerosos usuarios de Twitter están denunciando una campaña de smishing en la que se estaría suplantando a las empresas de logística Sending y MRW. Las primeras denuncias se producían el día 26 de diciembre, cuando clientes de marcas como Pampling, Druni o Primor informaban que Sending, el proveedor de mensajería de éstas, habría sufrido un incidente y estarían enviándose SMS en nombre de Sending solicitando datos bancarios para poder completar el envío de un pedido. Lo relevante de este caso es que los SMS recibidos hacían referencia a pedidos reales que se habían realizado, según denuncian los propios usuarios, motivo por el que se habría planteado una posible fuga de información en Sending, la cual se estaría empleando por los atacantes para dotar de credibilidad a los SMS enviados. En los SMS se incluye información personal como el nombre y el tipo de pedido, además de una URL donde se hace referencia a un dominio ilegítimo “envios-sending[.]com”, junto con un parámetro creado para que el phishing lo pueda visualizar únicamente el propio usuario. Al acceder al enlace, se puede ver ya un caso de phishing donde se solicitan datos bancarios al usuario para formalizar el envío. En las últimas horas de la tarde del lunes, comenzaban también las denuncias de casos contra MRW por el mismo fraude, lo que forzaba a la empresa a lanzar un aviso a sus usuarios alertando de la importancia de no introducir datos bancarios que se soliciten vía SMS. En este caso, al igual que ocurría con Sending, se empleaba también un dominio ilegítimo “envios-mrw[.]com”. Desde el principio de esta campaña los usuarios en redes sociales denunciaron un “hackeo” a estas empresas, siendo esta hipótesis confirmada en un comunicado emitido desde MRW el día 29 de diciembre, donde señalaban que habrían notificado una brecha de seguridad ante la Agencia Española de Protección de Datos, enunciando que se habrían visto afectados datos de carácter identificativo y de contacto de los destinatarios. Por su parte desde Sending advirtieron a sus usuarios acerca de la brecha de seguridad el mismo día 27 mediante un SMS.

Toda la información: https://www.mrw.es/comuns/noticia/sms-mrw-smishing.pdf

Vulnerabilidades en cifrados de almacenamiento de DataVault

Investigadores de seguridad han informado acerca de dos nuevas vulnerabilidades en el software DataVault, y sus sistemas derivados, empleados para el cifrado de datos en soluciones de almacenamiento de WD (propietario de SanDisk), Sony o Lexar. Uno de los fallos, se debe a la utilización de un hash criptográfico unidireccional con una clave salt predecible, lo que los convierte en vulnerables a ataques de diccionario (CVE-2021-36750). El software también emplea un hash de contraseñas con un esfuerzo computacional insuficiente, lo que permitiría a un atacante obtener las contraseñas del usuario mediante ataques de fuerza bruta, exponiendo así los datos a un acceso no autorizado (CVE-2021-36751). Ambos fallos en la función de derivación de claves se han resuelto en la versión de DataVault 7.2. por lo que se recomienda la actualización inmediata del software a dicha versión.

Más información: https://pretalx.c3voc.de/rc3-2021-r3s/talk/QMYGR3/

Avisos de exposición de contraseñas master de usuarios de LastPass

Varios usuarios estarían reportando en las últimas horas un posible compromiso de su contraseña principal (master password) del gestor de contraseñas LastPass. Las denuncias se producen tras llegarles un aviso de bloqueo de un acceso no autorizado a su cuenta de LastPass desde una ubicación desconocida. De acuerdo con la compañía, no se han encontrado indicios de la exposición de sus datos, por lo que estos bloqueos se habrían realizado según indican, al haber reutilizado los usuarios estas credenciales en otros servicios, de forma que esas podrían estar expuestas a raíz de su utilización en esos otros servicios, y serían susceptibles ser utilizadas en ataques de credential stuffing. Sin embargo, esta justificación de LastPass no encaja, según dicen algunos usuarios, con los reportes que indican habrían vuelto a recibir tras configurar nuevas contraseñas únicas. También se plantea como posibilidad, que los avisos hayan sido remitidos por error. Se desconoce, por tanto, si ha existido o no algún tipo de exposición de credenciales y el vector por el que se podrían haber expuesto. Por su parte, el investigador Bob Diachenko habría revisado si algunos de los usuarios que han denunciado haber recibido los avisos se encontraba incluido entre los afectados por malware como RedLine, descartando también esta opción. Desde LastPass han recomendado la activación del doble factor autenticación a fin de evitar accesos no autorizados. Este incidente, pone en evidencia la importancia de no reutilizar en ningún momento contraseñas entre servicios, y menos cuando se trata de la contraseña principal de un gestor de contraseñas.

Toda la información: https://www.bleepingcomputer.com/news/security/lastpass-users-warned-their-master-passwords-are-compromised/

Nueva vulnerabilidad de ejecución arbitraria de código en Log4j

Esta semana, el investigador de seguridad Yaniv Nizry volvía a sembrar el caos con una publicación en Twitter donde alertaba del descubrimiento de una nueva vulnerabilidad de ejecución remota de código en Log4j, que afectaría a la última versión 2.17.0. Algunos investigadores destacados como Kevin Beaumont invitaban a mantener la calma hasta que se conociesen más detalles y, a los pocos minutos de la publicación alertaban de la detección de supuestos exploits para este nuevo fallo que no eran sino troyanos; práctica habitual cuando se informa de fallos mediáticos como el actual. Unas horas más tarde, el investigador Marc Rogers hacía ya público el CVE asociado a esta nueva vulnerabilidad, CVE-2021-44832, e indicaba, asimismo, que para la explotación de este fallo se requiere un cambio previo de las condiciones predeterminadas, lo que complica su explotación. Esta misma idea era compartida inmediatamente por otros investigadores de renombre como Will Dorman, quien ayer, tras hacerse pública la investigación de Yaniv Nizry criticaba a Checkmarx, la firma del investigador, por crear una situación de alarma con este nuevo fallo. La explotación de este requiere que el atacante cuente con permisos de administrador en el propio sistema que quiere comprometer, puesto que, para poder explotarlo, debe poder modificar previamente el archivo de configuración de logging. Esta idea ya de por si no tiene mucho sentido, pero algunos usuarios insisten en apuntar a la figura del insider, que modifique el archivo, como posible riesgo (si bien es cierto que, de existir un insider, existen otros riesgos mayores). Dicho lo anterior, estamos por tanto ante una vulnerabilidad de ejecución arbitraria de código, no de ejecución remota como se pensaba inicialmente, y habría recibido una criticidad moderada, con un CVSSv3 de 6.6. El fallo en concreto se debe a la falta de controles adicionales en el acceso JDNI en Log4j. Apache ha lanzado ya la versión 2.17.1 para corregir el fallo. A pesar de la auto atribución del fallo por parte de Yaniv Nizry, desde Apache no han incluido su nombre en los créditos de la vulnerabilidad.

Descubre más: https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832