Siete claves para la transformación digital de la Administración

Julio Mestre Valdés    4 agosto, 2021

El pasado mes de junio participé como moderador en la mesa redonda “Retos de la Administración pública para su adaptación digital”. El COVID-19 también ha hecho más urgente la transformación digital de la Administración. El tema se abordó en el evento «eAdministracion 2021», organizado por IKN, que patrocinaba Telefónica Empresas, entre otros.

Se abordó el recorrido necesario hacia una Administración digital eficiente, interconectada y con el ciudadano como eje central, en un momento marcado por la pandemia y los Fondos europeos para la recuperación.

Como ponentes participaron Aitor Cubo, director general de Transformación digital del Ministerio de Justicia; José Borja, director del Departamento de Informática tributaria de la Agencia Tributaria; María Pérez, directora general de Estrategia digital de la Agencia Digital de Andalucía, y Guzmán Garmendia, director general de Telecomunicaciones y digitalización del Gobierno de Navarra.

«eAdministración 2021»: el debate

Algunos de los temas que se destacaron en este debate sobre la transformación digital de la Administración fueron los siguientes:

  • La normativa se tiene que adaptar a las nuevas tecnologías. Para poder innovar utilizando las TIC para proporcionar nuevos servicios a los ciudadanos es necesario abordar las reformas con una visión integral. Esta debe incluir una legislación que respalde y facilite la relación digital con el ciudadano. Ya se están dando los pasos adecuados en este sentido.
  • Para facilitar la relación digital con toda la población y evitar discriminaciones entre distintos puntos de España, las comunicaciones -tanto 5G como fibra- deben llegar a todos los rincones. E igualmente importante es abordar un proceso de capacitación digital. Sin formación los nuevos procedimientos digitales no serán accesibles para importantes sectores de la ciudadanía.
  • La Administración orientada al dato puede aportar mucho valor al ciudadano, ya que las decisiones se toman tras el análisis previo de los mismos. En este sentido, los datos tienen distintos orígenes y se tienen que establecer mecanismos que permitan su compartición. Algunos ejemplos del uso de los datos en beneficio del ciudadano son el cálculo de los beneficiarios del ingreso mínimo vital o la Justicia basada en el dato.
  • Se debe seguir evolucionando en la atención remota a los ciudadanos. Durante la pandemia y el estado de alarma se implantaron soluciones de emergencia para poder seguir resolviendo las necesidades de los ciudadanos sin necesidad de que acudieran a las oficinas de la Administración. Ahora se tiene que seguir avanzando en este sentido. Aquí surgen aspectos como la identidad digital del ciudadano para facilitar esa relación a distancia. E igualmente importante es poner a disposición de los ciudadanos los trámites administrativos en el móvil, que es el dispositivo de acceso más implantado entre la población.

La ciberseguridad, condición sine qua non

  • El teletrabajo también es factible en la Administración. No solo es el ciudadano se relaciona a distancia con la Administración; los propios funcionarios han demostrado que el teletrabajo es una opción perfectamente válida para realizar sus actividades diarias. Se están tomando las medidas para que esta nueva forma de trabajar se pueda ejecutar de la forma más efectiva posible, con herramientas tecnológicas y dispositivos adaptados.
  • El uso de la inteligencia artificial y la automatización pueden ayudar a simplificar y mejorar los procedimientos. No se pueden olvidar los posibles sesgos de la inteligencia artificial y que hay que trabajar para evitarlos. Pero eso no nos puede impedir avanzar en el uso de esta tecnología si no nos queremos quedar descolgados respecto a los países de nuestro entorno, se dijo en el encuentro.
  • La ciberseguridad es clave en la transformación digital de la Administración. Debe estar presente por defecto en todas las acciones que se emprendan, ya que una Administración digital está expuesta a diversos ataques que pueden bloquear su funcionamiento, y hay que evitarlo con medidas preventivas y correctivas.

La Administración, presente en el Plan de Recuperación

La sensación que saqué de este interesante debate en “eAdministracion 2021” es que se está trabajando de forma coordinada entre todas las Administraciones para aprovechar las nuevas tecnologías y prestar mejores servicios a los ciudadanos. Y, además, muchas de las iniciativas que se mencionaron se recogen dentro del Plan de Recuperación, Transformación y Resiliencia de la Economía. En concreto, el detalle se encuentra en el Componente 11 “Modernización de las Administraciones públicas”, dotado con 4.238 millones de euros, correspondiente a la cuarta palanca estratégica: una Administración para el siglo XXI.

Imagen: Mitch Paradise

El Edge Computing y la ciberseguridad: ventajas, retos y desafíos

Moncho Terol    4 agosto, 2021

La transformación digital y el crecimiento económico son dos temas claves, muy relacionados con el futuro de la conectividad. Uno de los desafíos más importantes que las organizaciones de todo tipo deben afrontar en relación a la transformación digital y su evolución hacia la nube, que en gran medida se beneficia de la conectividad de nueva generación, es el de la ciberseguridad o seguridad informática.

Como dice John Chambers, ex CEO de Cisco: “considero que hay dos tipos de empresas; las que han sido hackeadas y las que aún no se han dado cuenta”. Dentro de este contexto, y englobado dentro de las tecnologías que resultarán clave en los próximos años ¿Qué es el Edge Computing y qué aporta a la seguridad informática?

La importancia del Edge Computing

Edge Computing, también conocido como computación en el borde, es una tecnología innovadora para el almacenamiento y procesamiento de datos, que surge como una alternativa para afrontar algunas de las limitaciones que presentan actualmente algunos de los servicios de computación en la nube:

  • Sobrecarga del sistema: con el auge del Internet de las cosas (IoT) en el desarrollo de las ciudades inteligentes y la gran cantidad de sensores de energía (smart grid), cada día se conectan millones de dispositivos móviles a Internet. Muchos de estos dispositivos requieren de unas latencias o tiempos de respuesta muy bajos, que los servicios de nube convencionales tienen dificultades en proporcionar, debido a su distancia física. Adicionalmente el volumen creciente de tráfico que generan podría saturar los nodos centrales en los que actualmente se procesan.
  • Falta de control sobre la conectividad extremo a extremo: la nube puede encontrarse muy alejada de los usuarios y en algunos casos, el tráfico puede atravesar redes no seguras en su camino.

La tecnología Edge Computing se basa en un sistema distribuido que acerca el procesamiento de la información al borde de la red, es decir, al dispositivo o persona que genera o requiere la información. Esta tecnología, unida a las redes de acceso 5G y fibra, soluciona los problemas de latencia, de conectividad y posible congestión en la nube.

La importancia de este servicio radica en su eficiencia. Imagina a un paciente de un hospital que tiene conectado su dispositivo de salud a Internet. Una transmisión de la información con la menor latencia y la mejor conectividad (para lo cual es imprescindible disponer también de una buena cobertura 5G o de fibra) podría salvar su vida.

Dentro de ese contexto, es importante entender también cómo el Edge Computing plantea nuevos retos para la ciberseguridad.

Claves para el Edge Computing y la seguridad informática

Algunos estudios, entre ellos el efectuado por Zhang, Chen et. al. (2018), sugieren adaptar al Edge Computing algunas de las soluciones incorporadas por otras tecnologías. Por ejemplo, la computación en la nube. En este sentido, se han generado algunos aportes:

  • Integridad. La integridad de los datos consiste en impedir que personas no autorizadas tengan acceso al sistema y lo modifiquen.
  • Disponibilidad. Uno de los atributos más importante de la seguridad informática es que la información esté disponible para su consumo. La tecnología de procesamiento distribuido permite acercar la información al usuario. Además, ofrece una mayor capacidad de realizar mantenimiento en casos de incidentes.
  • Búsqueda segura de datos. Dependiendo del servicio/aplicación, los datos se encuentran encriptados en los servidores de borde, por eso, los sistemas de búsqueda estática ya no pueden operar. Han surgido alternativas como la búsqueda dinámica. Esta permite a los usuarios buscar por palabra clave sin necesidad de desencriptar los datos.

Con la extensión del Edge Computing y de las redes de siguiente generación como el 5G estos problemas se irán resolviendo paulatinamente al tiempo que se desarrollan nuevos estándares y medidas de seguridad.

La importancia de la nube en la transformación digital de las pymes

Raúl Salgado    3 agosto, 2021

El auge que han experimentado, desde marzo de 2020, las videoconferencias, el tráfico de Internet, el teletrabajo, el comercio electrónico y, en consecuencia, la nube son un claro reflejo de la transformación digital de las empresas y de la sociedad en general.

En este sentido, según datos de Deloitte recogidos en el informe Sociedad Digital en España, elaborado por Fundación Telefónica, en enero de 2020 únicamente el 3% de los empleados a tiempo completo trabajaban en remoto; un porcentaje que se disparó por encima del 80% en apenas cuatro meses.

Y soportar una eclosión tan abrupta de la demanda hubiera resultado inviable de no ser por los grandes centros de computación que configuran la nube.

Pero cada vez son más las empresas que no únicamente hacen uso del cloud para salvaguardar sus datos, sino que son capaces de sacar provecho a la nube y, así, marcar distancias con respecto a la competencia.

Ventajas de la nube para las pymes

Subir los datos a la nube contribuye a reducir costes, ser más flexibles o aumentar la escalabilidad; aunque esta tecnología también permite interactuar de otro modo con clientes, socios y empleados, así como mejorar la elaboración y comercialización de los productos y servicios. 

Si bien es cierto que la “fiebre” por configurar infraestructuras para almacenar y gestionar el tráfico masivo de datos no es un síntoma de la pandemia, también es verdad que la COVID-19 ha precipitado las intenciones de muchas empresas de subirse al cloud, como consecuencia fundamentalmente del teletrabajo, del mayor volumen de comunicaciones digitales o de la automatización de los procesos corporativos.

Hoy en día, un número significativo de las compañías que utilizan sus propias instalaciones de tecnología son propietarias de sus centros de procesamiento de datos (CPD). Sin embargo, tal y como se pone de manifiesto en el informe de Fundación Telefónica, hay razones para trasladar el CPD a la nube.

En el informe se señala que los servicios de cloud computing permiten a la empresa una flexibilidad para adaptarse a necesidades de procesamiento o almacenamiento de datos cambiantes, sin un coste económico excesivo. Y, precisamente, el coste es una de las principales razones para apostar por la nube.

En cualquier caso, los expertos puntualizan que no es cuestión de trasladar a la nube todo lo que antes se llevaba a través de infraestructuras informáticas propias o más cercanas, sino que cada organización ha de buscar la estrategia de arquitectura y servicios que más se ajuste a sus necesidades.

Para aprovechar todo el potencial de la nube es fundamental que las compañías detecten sus debilidades y fortalezas y tengan claro el camino a seguir. De ahí la importancia de que los máximos responsables se involucren y estén convencidos con un proceso que marcará su devenir.

Uso de la nube en España

De la encuesta de uso de tecnología entre las empresas españolas que realiza el Instituto Nacional de Estadística y recoge el informe Sociedad Digital en España se desprende que casi una tercera parte de nuestro tejido productivo utiliza algún tipo de servicio en la nube.

Y en este sentido, existen importantes diferencias en función de la tipología de la empresa, siendo las de mayor tamaño las que hacen un uso más intensivo del cloud computing, un 64 % de las que tienen más de 250 empleados y casi el 44 % de las que tienen entre 50 y 250. Entre las más pequeñas, únicamente una cuarta parte lo utilizan.

Servicios en la nube más utilizados

Respecto a los tipos de servicio, el correo electrónico es el más utilizado por la empresa española, puesto que casi el 80 % de las que acceden al cloud lo tienen contratado. No obstante, más de la tercera parte alquila espacio para el almacenamiento de ficheros y el 70 % hacen uso de servicios de bases de datos corporativos.

Ese porcentaje se reduce hasta el 40% si hablamos de prestaciones más avanzadas, como las relacionadas con aplicaciones de software financiero o contable, software para gestionar la información de los clientes o capacidad de computación para poder ejecutar los propios programas corporativos.

Salvaguardar la actividad

Más allá del tipo de empresa que hace uso de estos servicios e incluso de los tipos de servicios, no hay duda de que la computación en la nube ha sido un garante de la continuidad de la actividad en plena crisis del coronavirus.

Otra encuesta, realizada por Quint a directivos y altos cargos de áreas tecnológicas corporativas y recogida también en el informe de Fundación Telefónica, señala que para 6 de cada 10 consultados el cloud ha contribuido a dar continuidad al negocio, y que para la mitad ha permitido que la fuerza de trabajo haya podido teletrabajar durante el confinamiento domiciliario. Asimismo, más de la mitad de los encuestados consideran que estos servicios han reforzado la cultura digital de su empresa.

De igual modo, 8 de cada 10 de los ejecutivos preguntados opinan que el enfoque cloud ayudará significativamente a la recuperación económica, y más de la tercera parte piensan que será una palanca diferencial en dicha recuperación del negocio. En esta línea, en el informe Sociedad Digital en España se constata que las empresas creen en los beneficios de la nube, como lo demuestra el hecho de que la inversión en este concepto continúe incrementándose a pesar de la crisis.

Se triplica la inversión en cloud

De hecho, se prevé que las grandes empresas españolas (las cien primeras) destinen más de 2.400 millones de euros a la nube solo en el año 2022, lo que supone triplicar el ritmo de gasto de los últimos tres años. Una inversión que tendrá su reflejo en términos de empleo, ya que otros estudios estiman una subida superior al 150% de la contratación de especialistas en cloud.

Por último, en el informe de Fundación Telefónica también se analizan los obstáculos y barreras más importantes para el despliegue de soluciones cloud, entre las que destacan los temas relacionados con la seguridad y el cumplimiento de la regulación.

Sin embargo, una barrera cuya importancia se ha reducido para los consultados es la capacidad de integración entre los servicios de la nube y los sistemas de la empresa, algo que en 2019 era señalado por el 47 % y un año más tarde solamente por el 35 %.

Finalmente, los costes ocultos que pudieran entrañar estos servicios y las propias limitaciones culturales del negocio frenan un uso de la nube que, sin duda, seguirá acelerándose en el futuro y que revolucionará el ecosistema empresarial.

Foto de Neda Astani en Unsplash

El malware creado en Go es tendencia y ha llegado para quedarse

David García    3 agosto, 2021

Aunque no se podría decir que Go es un lenguaje de programación nuevo (tiene ya más de diez años) sí que pertenece a esa nueva hornada de lenguajes que junto a Rust, Typescript, Zig, etc. que están despuntando cada vez más en los últimos tiempos. Go nació, en cierto modo, de la necesidad de Google de encontrar un sustituto al eficiente pero inmensamente complejo C++. Esa complejidad producía dos efectos nada deseables en una compañía: tiempos de compilación muy dilatados y poca oferta de ingenieros con un nivel alto de conocimientos; muy necesarios si se quiere sacar partido (y no generar fallos de seguridad) al lenguaje.

Así, nombres ampliamente conocidos como Rob Pike o Ken Thompson y otros diseñaron un lenguaje de programación que cubriese las necesidades descritas anteriormente. Un lenguaje que fuese seguro, sin errores de memoria que se tradujesen en vulnerabilidades de seguridad, tiempos reducidos de compilación, multiplataforma, orientado a Internet y a la programación concurrente. A priori, la tarea parecía un reto inabarcable, la cuadratura de un círculo perfecto.

Pero funcionó, Go era (y es) sencillo, seguro, potente y moderno. El éxito está fuera de toda duda. Es ya un ecosistema que ha producido proyectos como Docker, Kubernetes o CoreOS. Su sintaxis, que hereda la sencillez del lenguaje C, ha abierto las puertas a una ingente cantidad de programadores con su suave curva de aprendizaje y gestión automática de la memoria.

¿Es esa sencillez de uso la que ha provocado que el malware lo adopte como una lengua “oficial” más?

Una de las primeras oportunidades de ver a Go usado como parte de la infraestructura de un malware fue con la botnet Mirai (cuyo código fuente fue liberado y puede leerse aquí). Si recordamos, Mirai se enfocaba en la búsqueda y detección de dispositivos con contraseñas fáciles o por defecto. Tuvo un tremendo éxito y a los pocos días de echar a rodar sumaba millones de nodos bajo su control.

Aunque Mirai estaba escrito principalmente en el venerable lenguaje C, su centro de control (C2) estaba escrito en Go:

Quienes diseñan y programan malware no difieren mucho de un desarrollador salvo la intencionalidad, evidentemente maliciosa. Al final, es un proceso de evolución bien definido que incluye actualizaciones, mejoras y corrección de bugs con la continua liberación de nuevas versiones. Tampoco podemos olvidar que la vida de un malware es corta y termina cuando la industria antivirus despliega las firmas necesarias para su detección. Nuevas versiones del mismo malware permiten aumentar esa ventana de infección, al pasar por debajo del radar de los antivirus, aunque sea momentáneamente.

Dado que la creación de malware no dista mucho de la del software común, las herramientas siguen siendo comunes y estas no son ajenas a los cambios de tendencias. Además, en Go se han encontrado con una herramienta con características muy deseadas: multiplataforma, gestión automática de memoria, test unitarios integrados en el lenguaje, etc.

No solo hallaron una buena herramienta, sino que en Go los binarios producidos portan de forma estática las librerías necesarias para su ejecución, es decir, no necesitan que el sistema posea una librería concreta, ya la incluyen ellos incrustada en el ejecutable. Esto, sin embargo, provoca que los binarios alcancen tamaños “anormales”, de varios megas, circunstancia que puede ser ambivalente: permite caracterizarlos y por el contrario un gran tamaño pone trabas a la inspección automática.

¿Es esto suficiente para el relativo éxito que está teniendo Go en su adopción respecto al malware?

Cuando un analista se interesa por una muestra concreta utiliza un conjunto de herramientas para empezar a hacerse una idea de lo que tiene delante. Entre el análisis estático y dinámico se va trazando un cuadro que termina por dibujar las intenciones de un malware.

Los analistas llevan décadas de experiencia tratando con ejecutables producidos por los compiladores habituales y hechos en C o C++ en su inmensa mayoría. Los binarios de Go se estructuran de forma diferente y al abrirlos para su inspección el analista se encuentra con un territorio desconocido. Las herramientas usadas necesitan, por tanto, adaptarse a este nuevo canon para dar con un proceso ágil de análisis.

Mientras eso ocurre, los creadores de malware ven un añadido beneficioso el hecho de que producir un binario en Go permite enfangar los análisis y aumentar la ventana de actividad del malware.

Una pequeña muestra, dos programas básicos, dos “Hello World” en C y en Go. Fijémonos en sus tamaños:

Ahora, veremos la cantidad de funciones (símbolos) que portan cada uno de los binarios producidos:

Como podemos observar, el binario de Go no solo porta el programa, consigo va un grupo de funciones procedentes de su librería estándar y que nos permiten imprimir en el terminal la clásica frase “Hello World”. Este comportamiento puede ser reproducido por C si hubiésemos compilado estáticamente todo lo necesario para que realice la misma función, pero no es lo común.

No obstante, el número de funciones no debe amedrentar a un experimentado analista. Solo es paja que hay que ir retirando hasta alcanzar la verdadera raíz del binario, el comportamiento codificado por sus autores. Así, tan solo hay que ir adaptando las herramientas ya disponibles de ingeniería inversa y análisis al nuevo panorama.

Por cierto, si hacemos stripping (borrar información de debug y símbolos (nombres de funciones, etc.)) de un binario en Go, los símbolos (al igual que su homólogo en C) desaparecen y dificultan, si cabe, aun más el análisis:

Solo es la punta del iceberg. Existen muchos más problemas que deben afrontar los analistas para ir desenredando la madeja: detección de cadenas, reservas de memoria, etc. Todo “parece” familiar a los binarios producidos por otros compiladores, pero es distinto en la forma en el que se efectúan operaciones habituales. Es como hablar ensamblador, pero con un acento notablemente diferente.

¿Es entonces una tendencia firme a seguir?

El número de muestras de malware crece a diario en proporciones ingentes. Obviamente, muchas son variantes de una misma familia y existe un crisol de lenguajes de programación sobre el que se diseñan y liberan.

Ya en 2019, un estudio de la UNIT42 de PaloAlto Networks arrojaba un número de 13.000 muestras únicas de malware creado en Go. Un par de años después, la tendencia se iba confirmando por otros laboratorios, como el informe de Intezer publicado el pasado marzo, representaba un crecimiento del 2000% desde hace unos años atrás.

No solo Go

Otro lenguaje de programación de factura moderna es Rust, nacido en el seno de Mozilla, ahora independizado de la organización del navegador Firefox. Tampoco se libra de ser usado por los cibercriminales para incluirlo en su arsenal de herramientas.

Además, curiosamente, Rust, que es un lenguaje llamado a ser el sustituto del complejo y enorme C++, posee un meme denominado “Rewrite it in Rust”, consistente en solicitar a proyectos que no estén escritos en Rust que vuelvan a reescribirlos en este lenguaje. Evidentemente, en un tono jocoso y burlesco.

Pues bien, ha ocurrido de forma real en el mundo del malware con “Buer”. Este malware se dio a conocer escrito en lenguaje C… hasta que hace unos meses se encontraron con una reescritura completa (rewrite it…) en Rust.

El malware es una industria, que no nos extrañe, y los procesos que son inherentes a la industria terminan por permear a aquellos. Las cadenas de diseño, montaje, despliegue y calidad son calcos a los usados por las organizaciones. Como hemos visto, se usará todo aquello que suponga una ventaja competitiva usando las últimas tendencias en desarrollo.

El primer día de becario: consejos para triunfar (Infografía)

Raúl Alonso    2 agosto, 2021

El verano es estación de bautismo laboral para miles de graduados. Entre nervios y disculpas, la de becario es una condición que se vive con sentimientos encontrados, pero que en ocasiones marca el devenir profesional. Te contamos todo lo que debes saber para empezar con buen pie en tu primer día.

El becario es una figura omnipresente en una mayoría de empresas. Discutida por su falta de regulación, a la espera del llamado Estatuto del becario, es incluso imposible conocer el número de universitarios que pasan por esta fase.

El SEPE estimaba en unos 70.000 los becarios en 2019, último año antes de la pandemia. Sin embargo, esta cifra sería exclusivamente la de los becarios que cobran algún tipo de remuneración, lo que no haría el 58%, según el informe The experience of traineeships in the EU (La experiencia de los becarios en la Unión Europea).

En este estudio de la Comisión Europea, también se señala que un universitario español pasa por dos procesos de práctica y tres de cada diez terminan formando parte de la plantilla.

En la mano del becario, solo está tomar consciencia de cuánto significa de aprendizaje y también de inicio de esa red de contactos, hoy tan necesaria para ir rellenando el capítulo de experiencia laboral del currículum.

Doce consejos para el becario

Antes de incorporarte como becario

Infórmate sobre la empresa

Deberías haberlo hecho durante el proceso de selección, pero si no fue así, recopila toda la información que puedas sobre la empresa, prestando especial atención a sus elementos diferenciales en el sector, sus productos o servicios y la competencia. No hace falta que firmes una tesis doctoral, pero toda esta información te ayudará a ser más efectivo e integrarte mejor.

Nada peor que perderse el primer día

Da igual que hayas nacido con el GPS de serie, no te obligues a batir tu marca en los 400 metros valla por haberte perdido o calculado mal el tiempo. Revisa la dirección y asegúrate de que sabes llegar a la empresa. Y si unos días antes haces el trayecto, ganarás en tranquilidad.

Más equipado que un smartphone premium

Prepara con antelación todo lo que necesites llevar para tu primer día. Es muy probable que ya hayas hecho entrega de la documentación básica (DNI o pasaporte, número de la Seguridad Social, datos bancarios…), pero llévalos contigo por si acaso.

¿Qué me pongo?

Presentarse en vaqueros cuando el código de vestimenta es de traje y corbata puede servir para que toda la oficina hable de ti antes de lo deseado. Lo habitual es que se haya visitado ya la empresa, con lo que habrá sido suficiente con observar el protocolo de vestimenta, pero fijándose en el de tu equipo. Recuerda que el traje para los chicos sigue siendo más habitual de lo que a priori parece, y sea cual sea tu género, ten presente que vas a trabajar: ni a una boda ni a tomar unas cañas, pero para el primer día mejor pasarse de arreglado que de informal, siempre respetando tu propio estilo. Si tienes dudas, pregunta a Recursos Humanos.

La eterna duda de la comida

Es un momento crítico del primer día, así que lo mejor es que estés preparado para cualquier contingencia. Lleva contigo un sándwich sencillo, pero no dudes en aceptar cualquier invitación de tus compañeros para sumarte a su comida fuera o en el comedor de la empresa. Y si la invitación no llega, ya tienes resuelta la comida.

El día de la incorporación como becario

Como un reloj suizo

El día de la incorporación debes presentarte en la empresa a la hora convenida, ni antes ni después.

Utiliza tu mejor sonrisa

Actúa de la forma más relajada posible, con seguridad pero receptivo. Sonreír es la mejor tarjeta de presentación, y el mejor modo para empezar a conocer a tus compañeros, pero controla, no debes parecer el Joker. 

Antes de preguntar, observa y escucha

Es inevitable, las dudas van a ser muchas, pero es mejor reflexionar y observar antes de preguntar. Una buena técnica es escuchar de forma reflexiva, tratando de entender toda la información que te están dando durante el proceso de acogida.

Antes de equivocarte, pregunta

Si pese a todo la duda persiste, es mejor preguntar que meter la pata, todo el mundo lo ha hecho. Mira a tu alrededor, siempre va a haber un compañero dispuesto a ayudarte, o acude a tu responsable directo.

No te fíes de los rumores

Como en cualquier otro espacio de socialización, los rumores son muchos en las empresas. De entrada, no debes dar nada por sentado, saca tus propias conclusiones de los compañeros y la empresa.

La actitud es el superpoder del becario

Mostrarse positivo frente a cualquier tarea que te toque asumir nunca falla. Además, esta actitud te ayudará a obtener un mayor aprendizaje, tanto de las tareas más rutinarias como de las más estratégicas dentro de tu posición. No desperdicies la oportunidad de ofrecer tu ayuda. 

Muéstrate agradecido

Dar las gracias siempre que proceda es una norma de convivencia básica en cualquier situación y lugar, y un modo infalible para que tus nuevos compañeros te tengan en buena estima. 

En la siguiente infografía, te resumimos todo lo necesario para triunfar como becario desde el primer día:

Cómo triunfar como becario

Cómo sale una marca de la irrelevancia con un buen marketing digital

Mercedes Núñez    2 agosto, 2021

“Marketing digital para los que no saben de marketing digital”, el libro de Gonzalo Giráldez de LID Editorial, en realidad podría titularse “Marketing digital para los que se creen que saben de marketing digital”. Y es que para hacer que algo parezca sencillo hace falta dominar muy bien el tema. Cuánta explicación farragosa entre los (supuestos) expertos de este sector…

Aunque modestamente el autor apunte que la simplificación puede restar rigor creo que no lo hace. Y tampoco llama a engaño sobre que hacer un buen marketing digital exige complicarse un poco la vida y mucho “pico y pala”.

Por eso, para entrar en un mundo complejo como éste y en cambio constante, nada como tener las cosas claras. El glosario del final del libro arroja luz sobre tanta sigla que se usa en este ámbito -CTA, CTR, CGC, CPA, CPC, CPM, FMOT, ZMOT…- y los gráficos que se incluyen a lo largo de la obra también ayudan a una mejor comprensión.

Pero, no os asustéis, es una lectura amena que también ayuda a entender por qué Coca Cola ha creado el Instituto de la felicidad o por qué Lego tiene una comunidad tan importante.

Hay en él, además, verdades como puños: “lamentablemente, el área comercial, encargada más del corto plazo y de los resultados de ventas, absorbe con mucha frecuencia las competencias de marketing y marca… el marketing tampoco es publicidad…”.

Diferenciarse o ser invisible: he ahí la cuestión

Un estudio de Havas Group de 2019, Meaningful Brands, aseguraba que si el 81 por ciento de las marcas desaparecieran nos daría igual. La clave, por tanto, es la diferenciación. “Si eres uno más eres uno menos”, se repite a lo largo de esta obra.

Pero, aunque hay unas claves para hacerlo bien, no existe una fórmula mágica única: cada empresa debe encontrar su camino, que no necesariamente pasa por el de otras.

El marketing digital, además, debe ser personal, hablar de los intereses y necesidades del usuario para que éste acabe estableciendo una relación de confianza y fidelidad con la marca.

Para ello las marcas tienen que innovar, sorprender, ofrecer contenidos interesantes…

El libro consta de tres capítulos:

– “Un cambio radical sin vuelta atrás”, en el que se habla de que marcas y consumidores han pasado de las transacciones a relaciones más complejas. Ahora a la transacción se llega tras la relación, explica el autor. Los consumidores esperan cada vez más que las marcas sean útiles para ellos, les informen, entretengan, emocionen, que sean auténticas y haya unos valores compartidos. Quieren conocerlas de verdad, por lo que es clave su propósito.

En este primer capítulo se habla también del nuevo consumidor y sus hábitos de consumo, de la importancia de la experiencia, del customer journey y el funnel… Y me ha parecido muy interesante el apartado de la crisis de los medios y su relación con las marcas.

Claves de la relación entre las marcas y los consumidores

-Pero mi favorito es el segundo -“Cómo entablar una relación”-, en el que se explica el ejercicio de introspección que deben hacer las marcas para conocerse a sí mismas y ver qué aportan a la sociedad. Es necesario para construir una estrategia basada en el propósito, que el autor define como el ADN de la marca.

La pandemia ha acelerado algunas cosas importantes y es significativo también que, a raíz del COVID-19, los CEO aseguren estar más vinculados al propósito de sus compañías, según un estudio de KPMG. El propósito es tan importante que es asunto de la dirección y, además, es la forma más segura de atraer y conservar talento, se dice.

Se habla también de marcas change makers, del storytelling y el storydoing.

La importancia de una estrategia de marketing de contenidos

Y se destaca la importancia de una estrategia de marketing de contenidos y su valor, que es, por cierto, lo que hacemos en este blog desde hace más de diez años ya… La meta es transmitir, llegar. “Hay que perder el miedo a contar nuestras historias, las reales, alejadas de formalidades que solo generan distancia con la audiencia… Los clientes solo confían en las marcas cuando creen en sus historias”, afirma Gonzalo Giráldez.

Pero a los contenidos de calidad debe acompañarlos una distribución eficiente. Se refiere a la distribución como la reina porque sin ella contenidos de altísima calidad podrían no llegar a tener impacto. Habla del concepto de “distribución liquida” que trata de encontrar a la gente no por soportes sino por comportamientos y momentos de consumo. Y llama la atención sobre que hacer bien todo esto exige ajustes continuos.

-El apartado “Cómo crear la estrategia de marca” resulta muy útil y lo resumiría en este consejo: “…las marcas nos interesan solo en la medida en la que nos hacen la vida más fácil, sé oportuno el mayor número de veces posible”.

Según el darwinismo digital, las empresas exitosas son las que se adaptan a los cambios. John Pierpont Morgan decía que “el primer paso para llegar a un lugar es decidir que no estás dispuesto a quedarte donde estás”. Y el autor de “Marketing digital para los que no saben de marketing digital” añade: “si seguimos las viejas reglas perderemos las nuevas batallas”.

¡Feliz lectura de verano!

Imagen: Clive Varley

Cibercrimen en robótica, la investigación de Alias Robotics que viaja a Black Hat

Víctor Mayoral-Vilches    2 agosto, 2021

¿Están seguros los robots industriales? Es la pregunta con la que comienza este análisis, desde Alias Robotics hemos trabajado junto a TrendMicro en una investigación sobre seguridad robótica en la que también han participado investigadores de la universidad Alpen-Adria-Universität Klagenfurt de Austria. Este análisis ha dado como resultado un detallado informe que incluye nuevos resultados en el campo de la investigación de amenazas y vulnerabilidades en robótica que alertan de los serios riesgos de estos dispositivos.

La investigación, que se presentará en el prestigioso evento de ciberseguridad Black Hat 2021, incluye una novedosa metodología en la que, gracias a un enfoque ofensivo y complementario, se consigue la protección de los robots industriales de manera factible y oportuna.

Black Hat 2021

Como hemos comentado, este evento se trata de uno de los más respetados e importantes del panorama internacional de la ciberseguridad, que este año se celebra en Las Vegas entre el 31 de julio y el 5 de agosto. El incremento de la preocupación por la seguridad de los entornos OT y los riesgos a los que se enfrenta el sector industrial ha llevado a los organizadores a seleccionarnos como ponentes, algo que pocas empresas en el mundo puedan decir y que demuestra cómo esta start up está liderando el campo de la ciberseguridad de robots desde 2018.

Obsolescencia programada

De la misma manera que Ford en los años 20, muchos fabricantes de robots llevan a cabo prácticas de obsolescencia organizando a los distribuidores e integradores en redes privadas, proporcionando piezas de recambio únicamente a ciertas compañías en un intento de desalentar las reparaciones y eliminar la competencia.

La investigación desveló más de 100 vulnerabilidades que afectan a varios fabricantes. Entre los resultados obtenidos, observamos una tendencia de Teradyne, donde dos de las empresas de robótica de su propiedad (Universal Robots y Mobile Industrial Robots) presentaron docenas de vulnerabilidades. Este es un caso especialmente interesante porque sus robots se anuncian como colaborativos, esto significa que aumentan las capacidades físicas humanas sin causar daño.

Los resultados de la investigación demuestran que los desmontajes de robots pueden ayudar a la industria de la robótica y a la cadena de suministro mejorando significativamente la calidad, la seguridad y la protección, además, se aprecian, como decíamos, prácticas de obsolescencia programada. Abogamos por el «derecho a la reparación» en robótica y animamos a los usuarios finales a relejar sus necesidades de seguridad tanto a sus cadenas suministro como a los fabricantes.

Cómo eliminar sus datos de forma segura

Jorge A. Hernández    2 agosto, 2021

Si es usted de los que cree que un archivo de su computador desaparece con simplemente hundir la tecla “Delete” le tenemos malas noticias. Los datos no desaparecen tan fácilmente.

Es más, son tan resistentes que el método usado por Google, con los discos duros que desechan de sus centros de datos, es reescribirlos 35 veces, pasarles un imán, someterlos a una máquina de presión y luego triturarlos.

Esto puede parecer exagerado, pero teóricamente es la forma correcta de eliminar los datos de forma segura, afirma Diego Espitia Montenegro, el Chief Security Ambassador de ElevenPaths en Colombia.

Pero Espitia admite también que este método es prácticamente inviable para la mayoría de usuarios y empresas, pues borrar un disco duro de un terabyte, en un computador convencional, podría demorar todo un día.

Además, existe otro problema y es donde se encuentran ubicados sus datos. En otras palabras, estos suelen estar sincronizados con elementos de la nube como Dropbox. Google Drive. Microsoft One Drive, etc.

¿Y dónde están los datos?

La mayoría de los usuarios no sabe dónde están ubicados sus datos, recuerda Espitia. Por eso, si se borran los archivos físicos en sus computadoras, pero no los eliminan en la nube, los sistemas de sincronización recuperarán toda la información en poco tiempo.

El problema se complica aún más cuando se recuerdan las prácticas empresariales de muchas entidades que, al rotar los equipos entre muchas personas, reinstalan el sistema operativo y crean un nuevo usuario, ignorando la fragilidad de esta información.

“Esto no es tan complicado cuando los computadores permanecen en una misma empresa, pero cuando estos equipos cumplen su ciclo y se botan o se donan la cosa se complica” recuerda el experto. 

De hecho, existe un nombre para una práctica criminal que consiste en buscar secretos industriales de estas máquinas desechadas conocida como “escarbar basura” o dumpster diving.

Por cierto, al pasar un equipo a un nuevo usuario lo que se debería hacer es formatearlos en bajo, o sea escribir ceros en todo el disco, y sobre esto reescribir la imagen del sistema operativo para luego crear el nuevo usuario.

Así las cosas, recuerde que para eliminar la información lo primero es saber dónde está ubicada, borrarla primero en la nube y luego en los dispositivos físicos, además de eliminar el historial de backups.

Desgraciadamente esto no es una práctica frecuente a pesar de que existen guías de cómo eliminar estos datos divulgados por entidades como el SANS Institute.

Foto creada por rawpixel.com – www.freepik.es

Los retos de ciberseguridad en los Juegos Olímpicos de Tokio 2021

Jorge A. Hernández    2 agosto, 2021

Los Juegos Olímpicos de Tokio 2021, el sueño de la vida de miles de deportistas, son también la oportunidad de cibercriminales que esperan aguarle la fiesta a todos (deportistas y espectadores).

El mercado de ciberseguridad siempre ha sido gigantesco y se calcula que para 2023 involucrará más de 158.800 millones de dólares. Un incremento del 20% del mercado actual. Y eventos como los Juegos Olímpicos, antes realizados como un símbolo de unión y paz internacional, son ahora un dolor de cabeza para los expertos en ciberseguridad. 

Y esta preocupación no es en vano, en los XXIII Juegos Olímpicos de Invierno de 2018 se hizo tristemente célebre el Olympic Destroyer, un gusano de la red que saboteó los servidores justo antes de la inauguración impidiendo su transmisión a millones de personas.

En otras palabras, los eventos son un blanco irresistible para los criminales y más con la dimensión de los Olímpicos. Como muestra, en los juegos de Río 2016 se registraron más de 5.000 millones de espectadores.

El caso de Tokio 2021

Alertados por el FBI, por posibles ataques, y con antecedentes como el de Olympic Destroyer, el Comité Olímpico Internacional (ICO) estableció la ciberseguridad como una de las prioridades logísticas del evento.

Incluso organizaciones de inteligencia británicas advirtieron al ICO de un “ciber reconocimiento” de Tokio realizado por hackers rusos. Recordemos que Rusia fue excluida de los olímpicos por dopaje

Dentro de las advertencias realizadas por el FBI se alertó de posibles “intentos de bloquear las retransmisiones deportivas o realizar intrusiones a las redes que conforman la infraestructura IT”.

Esto sin contar con innumerables sitios web que anuncian visualizaciones gratuitas de los Juegos Olímpicos, a través de Internet, y que son usados para infectar computadores y robar datos de los espectadores.

Otra amenaza viene de los ciberactivistas que ven en la audiencia masiva una oportunidad para promover ciertas ideologías.

Enfrentando la amenaza

Gracias al aplazamiento de los Juegos Olímpicos, previstos para 2020, varios de los líderes digitales de Japón con empresas como Toyota y Panasonic han colaborado para actualizar la infraestructura IT.

Pero no solo eso, también el mismo gobierno nipón dio a conocer iniciativas como el reclutamiento masivo de hackers éticos para fortalecer la red.

Por otra parte, el gobierno japonés ha estrechado sus relaciones con las agencias de inteligencia de otros países con la esperanza de que la única batalla que vean los espectadores en Tokio sea deportiva.

Foto creada por creativeart – www.freepik.es

Boletín semanal de ciberseguridad 24-30 de julio

Telefónica Tech    30 julio, 2021

PetitPotam: nuevo ataque de retransmisión NTLM

El investigador de seguridad Gilles Lionel, también conocido como Topotam, ha descubierto un fallo presente en los sistemas Windows que tengan activado Active Directory Certificate Services (ADCS) que permitiría a los atacantes tomar el control de los controladores de dominio a través de un ataque de retransmisión NTLM. Lionel ha publicado una prueba de concepto que permitiría explotar este fallo mediante una petición SMB. Este ataque aprovecha el protocolo Microsoft Encrypting File System Remote Protocol (MS-EFSRPC) para obligar a un dispositivo, incluidos controladores de dominio, a autenticarse y compartir sus hashes de contraseñas con el atacante, lo que le permitiría tomar el control total de la red de la víctima. Según los investigadores, este fallo afecta a la mayoría de las versiones de Windows Server. Si bien este problema todavía no ha sido corregido por Microsoft, ha publicado mitigaciones para reducir el impacto.

Más información: https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

​Análisis de la nueva familia de ransomware AvosLocker

Investigadores de Malwarebytes Lab han publicado el análisis de una nueva familia de ransomware conocida como AvosLocker. A finales de junio, el analista de seguridad Rakesh Krishnan compartía mediante su perfil oficial de Twitter lo que parecía ser una nueva familia de ransomware que habría optado por continuar con la tendencia actual de operar: la búsqueda de afiliados en foros underground, conocido como Ransomware-as-a-Service (RaaS), y la creación de un blog en la Dark Web donde compartir y extorsionar a sus víctimas, catalogado como doble extorsión. AvosLocker es un RaaS escrito en C++ que utiliza dos algoritmos de cifrado diferentes: AES para archivos y RSA para claves AES generadas. Malwarebytes determina que esta familia parece ser operada manualmente una vez consigue el acceso inicial en el dispositivo de la víctima, estimando que crea una muestra por víctima dado que el ID se encuentra codificado en la muestra. Una vez consigue desplegar el ransomware, sus operadores dirigen a la víctima a un dominio de la Dark Web donde pueden ver la cuantía solicitada y el tiempo que tienen para poder abonar el importe, incrementando este en caso de no cumplir con los plazos establecidos. Los investigadores afirman que esta nueva familia de ransomware se encuentra bastante activa, y según mencionaba Rakesh Krishnan, podría estar atentando contra compañías del sector legal, logístico e inmobiliario situadas en Estados Unidos, Reino Unido y Europa.

Más información: https://blog.malwarebytes.com/threat-intelligence/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/

Apple corrige una vulnerabilidad 0-day

Apple ha lanzado una actualización de seguridad para corregir una vulnerabilidad 0-day que estaría siendo explotada y que afecta a dispositivos iOS, iPadOS y macOS. La vulnerabilidad registrada como CVE-2021-30807, supone un fallo de corrupción de memoria en la extensión de kernel IOMobileFramebuffer que permite ejecutar código arbitrario con privilegios de kernel en un dispositivo vulnerable. Apple ha corregido este fallo en las versiones iOS 14.7.1, iPadOS 14.7.1 y macOS Big Sur 11.5.1. Asimismo, desde la compañía confirman que esta vulnerabilidad podría estar siendo activamente explotada, si bien no han compartido mayor detalle al respecto. Tras la publicación de este fallo por parte de Apple, investigadores de seguridad elucubraban con la posibilidad de que se trate de un jailbreak, en lugar de un 0-day. Finalmente, otro investigador ha publicado un detallado análisis de la misma, para la que también ha salido ya una Prueba de Concepto (PoC).

Más información: https://support.apple.com/en-us/HT212623

​Campaña de malspam mediante HTML smuggling

El equipo de Microsoft Security Intelligence ha analizado una campaña de distribución de malware que lleva activa varias semanas y que está aprovechando una técnica conocida como HTML smuggling para evadir las soluciones de seguridad de correo electrónico de sus víctimas. En esta campaña, los atacantes envían correos electrónicos con enlaces maliciosos que, tras acceder a ellos, despliegan componentes incrustados en HTML a través de HTML smuggling. Esta técnica permite crear un archivo malicioso dentro del navegador de la víctima, en este caso concreto sería un archivo ZIP que contendría un JavaScript mediante el cual se descargarían otros ficheros maliciosos, entre los que se encuentra el payload del troyano Casbaneiro. Si bien Microsoft no ha detallado la afectación de esta campaña, la actividad de este troyano tiende a centrarse en países de Latinoamérica.

​Análisis del ransomware Hanon

Investigadores de la firma de seguridad coreana S2W han publicado un análisis de una nueva familia de ransomware denominada Haron, que iniciaba sus operaciones este mes. Haron utiliza tácticas de ransomware más maduros como la exfiltración de información para su posterior publicación en su blog de la Dark Web. Los analistas relacionan esta nueva muestra con la familia de Thanos y Avaddon, ya extinto, afirmando que este nuevo ransomware sería más bien la unión de diferentes aspectos de estas familias en base a la similitud en: los blogs de la Dark Web, la página de pago, la nota de rescate y los iconos e imágenes utilizados, entre otros. S2W no clarifica el porqué de estas semejanzas, hipotetizando que quizá Haron compró algunas partes a los operadores de Avaddon o bien que algún agente de la familia extinta se unió a los operadores de la nueva muestra.

Más información: https://medium.com/s2wlab/quick-analysis-of-haron-ransomware-feat-avaddon-and-thanos-1ebb70f64dc4