RASP: un nuevo enfoque en la protección de aplicaciones

Roberto Velasco    19 marzo, 2020

La gran mayoría de sistemas web, grandes o pequeños, reciben numerosos ataques a diario. Por el mero hecho de estar en internet, las aplicaciones están expuestas a un flujo constante de ataques que buscan dañar de alguna forma las aplicaciones y servicios.

Las motivaciones detrás de estos ataques son variadas, pero las razones principales son económicas (extorsión, robo de datos, u operativa fraudulenta) y políticas (manipulación y prevención de la información). Pero una gran parte de los ataques son completamente indiscriminados, sin motivo alguno. Esta misma variedad se puede observar en los perfiles de los atacantes, desde grupos altamente profesionalizados auspiciados por gobiernos, a perfiles más amateur, como los script-kiddies, que se limitan a usar herramientas automáticas pre-empaquetadas por otros actores. En resumen, a pesar de que a priori un sistema pueda considerarse “de bajo riesgo,” es necesario contar una estrategia de protección de ataques.

Dado que es virtualmente imposible construir a mano un sistema 100% inmune a este tipo de ataques, el mercado de Seguridad de Aplicaciones ofrece varias opciones para automatizar la protección de estos ataques.

Una de las opciones tradicionales con más cuota de mercado, es el firewall de aplicación o WAF (Web Application Firewall). La idea es que todo el tráfico destinado a la aplicación pase por un filtro externo que valida las peticiones comparándolas con patrones conocidos sospechosos.

Este enfoque tiene ventajas atractivas, al tener una posición externa, no hay problemas de compatibilidad con el sistema protegido. Los WAFs son efectivos para los ataques de denegación de servicio, tipo DDoS, y para aplicaciones estáticas que reciben ataques básicos pueden ser suficiente. No todo son ventajas, el enfoque perimetral hace que el WAF no tenga ninguna información de la arquitectura de la aplicación. Es decir, defienden el sistema de forma externa intentando adivinar la tipología del dato recibido y las posibles consecuencias que ese dato pueda tener en el lado servidor.  Este enfoque externo obliga a los WAFs a tomar decisiones sin tener el contexto completo de la aplicación, lo que significa que es imposible defender de forma adecuada con un WAF de ciertos tipos de ataque, algunos muy importantes, en el OWASP Top 10, como Insecure Deserialization.

Esta diferencia, que puede parecer un tecnicismo, tiene consecuencias muy tangibles. Uno de los peores incidentes de seguridad, la brecha de Equifax, estuvo en parte causada por una vulnerabilidad de Insecure Deserialization. Un WAF no puede parar estos ataques.

RASP: Cuando la defensa perimetral no es suficiente

Como respuesta a la sofisticación de aplicaciones y ataques, la industria de seguridad ha propuesto un nuevo enfoque de protección, que complementa la defensa perimetral de un WAF. Este nuevo enfoque se basa en la idea de integrar la protección en las propias aplicaciones, y que por tanto se defiendan por sí mismas. Hablamos de la tecnología RASP (Runtime Application Self Protection).

Mientras que un WAF podría ser equivalente a ponerse guantes y mascarilla para prevenir una gripe, un RASP es más parecido a vacunarse.

Esta técnica de vacuna se basa en la idea de instrumentar (es decir, añadir sensores internos) la aplicación protegida. Gracias a estos sensores de seguridad, el RASP analiza la respuesta de la aplicación a cada petición, y en tiempo real, decide si la petición puede causar problemas al sistema. Las ventajas son numerosas. Primero, la precisión aumenta ya que la visibilidad que confieren los sensores permite tomar decisiones con mucha más información. Por ejemplo, ciertos ataques relacionados con el control de acceso (OWASP Top 10 2017 Broken Access Control) pueden ser protegidos por un RASP, debido al enfoque integrado en la aplicación, donde podemos entender el origen y la tipología del dato que es enviado al cliente.

Segundo, la inmunidad otorgada por el RASP hace que las aplicaciones estén protegidas allá donde vayan, y por ejemplo, los despliegues en entornos de cloud dinámicos, tan populares hoy en día, son inmediatos. Otra ventaja es que un RASP puede corregir defectos en tiempo real y por ejemplo, reemplazar porciones de código inseguro, con código seguro. Por último, una vez configurada, una plataforma RASP es muy estable y sencilla de administrar. No requiere gestión directa, lo que abarata la operación, y simplifica las necesidades organizativas de los equipos de explotación, incluso cuando las aplicaciones añaden funcionalidad o nuevos tipos de ataque son identificados.

En definitiva, el enfoque de protección integrado dentro de la aplicación permite la implementación de técnicas avanzadas, que no son aplicables desde enfoques meramente perimetrales basados en elementos de red en frente de las aplicaciones.

La instrumentación que introducen los RASP requiere compatibilidad con el sistema protegido, y cada RASP debe estar construido con una tecnología particular en mente. Por ejemplo, si la aplicación está programada en lenguaje Java, el RASP debe estar diseñado para sistemas Java.

Los expertos recomiendan RASP

Debido a estas ventajas, analistas expertos en la seguridad IT como Gartner y Forrester Research, recomiendan complementar la protección de sistemas perimetrales (WAFs) con sistemas más avanzados como RASP. En definitiva, los responsables de la gestión de aplicaciones complejas disponen de una herramienta más en el abanico de opciones para garantizar que los sistemas operan inmunes a acciones que buscan desestabilizar, robar, o corromper su funcionalidad.

¿Qué es Hdiv Security?

Hdiv Security es un pionero en el mercado de protección de aplicaciones desde el año 2008, es el primer producto que ofrece protección durante el ciclo completo de desarrollo de software contra los bugs de seguridad o errores de sintaxis, a la vez que protege de los fallos en la lógica de negocio. La plataforma unificada de Hdiv simplifica la adopción de filosofías de desarrollo DevSecOps. Las soluciones de Hdiv (RASP y IAST) son utilizadas actualmente por instituciones gubernamentales, bancos, industria aeroespacial, y empresas del ranking Fortune 500. Es una empresa de capital privado y su sede está en San Sebastián (España).

Cómo detectar y protegerse de los ataques de phishing en tiempos de coronavirus

ElevenPaths    19 marzo, 2020

La sobreinformación provocada por la enorme cantidad de noticias que nos llegan sobre el coronavirus hace más difícil distinguir los correos verdaderos de los falsos. Ésto supone un gran riesgo para la seguridad de las personas, ya que puede conducir a la descarga de malware que los ciberatacantes pueden utilizar para acceder a los datos de sus víctimas y robar su identidad, provocando catástrofes económicas e incluso en su salud. En el peor de los casos, un correo de phishing podría tener consecuencias mortales.

El número de afectados por el COVID-19 es abrumador y aumenta cada día. Sabemos que esta enfermedad está provocando consecuencias nefastas a nivel social y económico en todo el mundo y debemos seguir las recomendaciones e imposiciones de las autoridades para tratar de frenar su expansión. De la misma manera, hemos de tomar medidas para protegernos de las ciberamenazas que igualmente pueden afectarnos de manera individual y colectiva.

Tipos de correos de phishing del coronavirus

Los correos electrónicos de phishing sobre el coronavirus, al igual que los de cualquier otra temática, pueden aparecer en diferentes formas:

  • Alertas del Ministerio de Sanidad. Los ciberdelincuentes envían correos en los que se hacen pasar por organizaciones legítimas (organizaciones gubernamentales, sanitarias, grandes empresas, etc.), enlazando, por ejemplo, una URL con una lista de casos de coronavirus en tu región. ¡No pinches en el enlace y elimínalo!
  • Correos electrónicos con consejos de salud. Los phishers también ofrecen supuestos consejos o soluciones para protegerse contra el coronavirus. Estos correos electrónicos pueden afirmar ser expertos médicos chinos, donde comenzó el brote de coronavirus, por ejemplo.
  • Correos electrónicos sobre políticas de trabajo. Es posible que recibas correos de phishing no sólo en tu cuenta de correo personal sino también en la corporativa, haciéndose pasar por una empresa conocida o incluso por la empresa para la que trabajas. En este caso comprueba bien el dominio del remitente porque el enlace contendrá malware.

Consejos para detectar y evitar correos de phishing

  1. Ten mucho cuidado cuando te soliciten información personal en línea. Las instituciones gubernamentales no piden números de la seguridad social ni otro tipo de datos personales así como así. Nunca contestes a estos correos ni proporciones ningún tipo de información personal.
  2. Otros correos de phishing consisten en anuncios que aseguran tener un tratamiento o cura para el coronavirus. Normalmente, estos anuncios tratan de crear una sensación de urgencia, con ofertas limitadas o estableciendo un límite temporal para conseguir los productos. Lo que tienes que hacer es simplemente eliminarlos, porque al hacer click en ellos pueden ocurrir dos cosas:
    • Descargar software malicioso en tu dispositivo.
    • Comprar el producto y no recibirlo, es decir, que roben tu dinero e información personal como tu nombre, dirección y tarjeta de crédito.
  3. Analiza cómo se dirigen a ti. Los correos de phishing normalmente se hacen mediante envíos masivos, por lo que no suelen utilizar tu nombre ni son personalizados en cuanto al contenido. Fórmulas genéricas como “Estimado señor o señora” indican que probablemente estés ante una estafa.
  4. Comprueba los enlaces y las direcciones de correo electrónico. Para inspeccionar un enlace, para el ratón por encima de la URL y aparecerá un recuadro que mostrará el sitio al cual se dirige. En cuanto a las direcciones de correo electrónico, fíjate minuciosamente en todo lo que contienen y analiza en el dominio (lo que va a continuación del “@”), búscalo en internet, etc.
  5. Ten cuidado con los errores ortográficos y gramaticales. Puede parecer una tontería, pero normalmente los correos legítimos no contienen ningún error gramatical ni faltas de ortografía, o muy muy pocas. Si encuentras demasiadas, elimínalo.

¿Dónde encontrar información fiable acerca del coronavirus?

Acude siempre a portales del gobierno y de instituciones sanitarias certificadas y sé selectivo en tus búsquedas, contrastando información. El Ministerio de Sanidad ha abierto un portal para proporcionar información sobre el coronavirus: https://www.mscbs.gob.es/profesionales/saludPublica/ccayes/alertasActual/nCov-China/home.htm

También puedes encontrar un apartado en la página web de tu comunidad autónoma donde enterarte de las medidas concretas que se están llevando a cabo en tu región.

Recuerda que si eres cliente de Movistar puedes activar aquí Conexión Segura, un servicio desarrollado por ElevenPaths y Telefónica España junto con McAfee y Allot que bloquea, al instante y de forma preventiva, las amenazas de malware y fraude puedas encontrarte cuando navegues por la red con tus dispositivos.

IoT y blockchain en el transporte de mercancías por carretera

José Luis Núñez Díaz    19 marzo, 2020

Entrevistamos a Luis Sanz, CEO de WanaTruck, la startup pionera en el uso de blockchain en el transporte de mercancías por carretera. Nos explica que “el futuro del transporte pasa por el camión conectado”. Y es que IoT, junto a blockchain, permite ofrecer un servicio mucho más seguro y eficiente.

Blockchain ya es mucho más que la tecnología que nació al abrigo de bitcoin y las criptomonedas. Numerosas empresas utilizan esta tecnología como un argumento diferencial en su propuesta de valor. Este post será el primero de muchos otros en los que explicaremos casos concretos de uso de blockchain. En esta ocasión Luis Sanz, CEO y cofundador de WanaTruck, nos explica cómo están utilizando ellos la tecnología de la cadena de bloques para ofrecer trazabilidad, seguridad y transparencia al proceso de transporte por carretera.

¿Que estáis haciendo exactamente en WanaTruck con blockchain?

WanaTruck es una solución tecnológica que digitaliza todo el proceso de transporte de mercancías: desde la solicitud y asignación de las expediciones al transportista hasta la entrega. Actualmente este proceso se sigue haciendo de forma manual por correo electrónico o por teléfono. Con la digitalización de los procesos ofrecemos una mejora en cuanto al uso de recursos, ahorro de costes y trazabilidad de la mercancía para el cliente. Con la red de blockchain de Telefónica podemos proporcionar una garantía de inmutabilidad de los datos a nuestros clientes sobre determinados eventos, que antes no era posible. Con TrustOS registramos la transferencia de las mercancías según se mueven a lo largo de la cadena de transporte a la vez que hacemos un seguimiento de la misma en tiempo real, así como de las notificaciones asociadas.

Además, estamos trabajando en el contrato de transporte obligatorio entre las partes (futuro smart contract), la cadena de frío de la mercancía transportada o la seguridad de la misma (daño o robo) a lo largo de todo el proceso. 

Blockchain está en boca de todos, pero aún hay muy pocas empresas que hayan dado el paso de los pilotos y pruebas de concepto a hacer de esta tecnología el elemento mollar de su propuesta de valor. ¿Cómo y por qué lo decidisteis vosotros así?

Como startup estábamos familiarizados ya con el valor de blockchain en el transporte de mercancías y la cadena de suministro. Al conocer la iniciativa de Telefónica de crear una red de blockchain como TrustOS nos pareció muy interesante poder colaborar en distintos caso de usos reales aplicados al transporte de mercancías por carretera, que es a lo que nos dedicamos.

Transparencia, inmutabilidad, seguridad y consenso de los datos

¿Cuál es para vosotros el valor diferencial de blockchain que os permite hacer algo que con otras tecnologías sería imposible? 

Al ser una tecnología distribuida y descentralizada, blockchain nos proporciona transparencia, inmutabilidad, seguridad y consenso de los datos en el contrato de transporte. Esto con otras tecnologías sería enormemente costoso.

El uso de una red de blockchain mejora notablemente la propuesta de valor de WanaTruck a nuestros clientes (cargadores, expedidores y transportistas) y aporta una capa de confianza, transparencia y seguridad sobre todos los eventos que ocurren en el transporte de mercancías. 

Las ventajas de blockchain sin su complejidad con TrustOS

En vuestro proyecto, para simplificar el acceso y la utilización de blockchain estáis usando TrustOS, el paquete de acceso simplificado a las capacidades blockchain desarrollado por Telefónica. ¿Cómo ha sido la experiencia de integración con TrustOS? 

Ha sido muy positiva, realmente rápido y sencillo para nuestro equipo de desarrolladores. En 24 horas ya teníamos pruebas de integración y en menos de dos semanas estábamos haciendo transacciones reales con algunos de nuestros clientes.

Creemos que las integraciones entre distintas plataformas y sistemas es el camino correcto. Así las empresas de distintos sectores podrán beneficiarse de las ventajas que aporta el uso de la tecnología blockchain sin tener que enfrentarse a la complejidad de desarrollar su propia red o tener que dedicar recursos técnicos y económicos para adquirir el conocimiento necesario.  

Diferenciación y competitividad

Se habla mucho de la capacidad de blockchain para transformar y redefinir las reglas en sectores completos. En vuestra industria, ¿crees que esta tecnología va a desempeñar un papel disruptivo y diferencial o, por el contrario, se va a convertir en una herramienta de uso común más?

Creo que a corto plazo el uso de redes privadas de blockchain por parte de las empresas será un factor claramente diferencial respecto a su competencia. A medio y a largo plazo, en cuanto la tecnología vaya implantándose globalmente, las transacciones y acuerdos entre redes de blockchain serán mucho más rápidas, “amigables” y seguras para todos. Este cambio de paradigma ya ocurrió en el pasado con otras tecnologías como Internet que, en pocos años, se convirtió en una red global y sin la que hoy en día no podríamos vivir.

El camión conectado

Además, no se trata solo de incorporar blockchain, sino de construir ventajas competitivas mediante su combinación con otras tecnologías emergentes como IoT. Nosotros tenemos claro que el futuro del transporte pasa por el “camión conectado” como paso previo a la conducción autónoma. Y la información que mandan todos los dispositivos (IoT) del vehículo puede ser  inmutable con blockchain, que es también garantía de eventos ocurridos en el transporte (ruta realizada, horas de conducción, paradas, oscilaciones en la cadena de frío, seguridad de la mercancía, horas de recogida y entrega según contrato, etc.). Esto permite ofrecer un servicio de transporte mucho más seguro y eficiente para todos.   

El  interés por esta tecnología crece cada día, ¿qué les dirías a todas aquellas empresas y entidades que aún son escépticas para que se animen a explorar las oportunidades que puede tener para ellos blockchain?

En el sector del transporte, que es el que nosotros conocemos, hay muchas empresas pequeñas y medianas para las que el uso o la implantación de nuevas tecnologías no está entre sus prioridades. Les diría que en el entorno actual en el que nos movemos y la velocidad a la que la tecnología se está implantando en nuestras vidas, el uso de blockchain, IoT, etc. es vital para seguir siendo competitivos. En la actualidad a una empresa de transporte ya no le vale solo con tener camiones nuevos y eficientes; si quiere ser competitiva necesita “camiones eficientes y tecnología que aporte valor añadido” que es lo que le van a exigir sus clientes.

Imagen: Equipo WanaTruck. Luis Sanz, el segundo por la izquierda

Coronavirus, pymes y autónomos: Todas las medidas aprobadas por el Gobierno

David Ballester    19 marzo, 2020

El impacto que sobre la actividad de las empresas y los autónomos está teniendo el coronavirus o COVID-19 es enorme.

Al cierre de establecimientos comerciales decretado la semana pasada, con la instauración del estado de alarma, se une la prácticamente completa paralización de la actividad económica en España.

Con el fin de tratar de paliar el brutal impacto que va a tener, el Gobierno de España ha aprobado y publicado en los últimos días varias normas legales con numerosas medidas.

Son:

BAF promoción

En este artículo compartiré aquellas medidas aprobadas y ya en vigor, que están relacionadas y van dirigidas a la actividad económica de empresas y autónomos.

Las medidas se adoptan, según el Gobierno, con la prioridad absoluta en materia económica de proteger y dar soporte al tejido productivo y social para minimizar el impacto y lograr que, una vez finalizada la alarma sanitaria, se produzca lo antes posible un rebote en la actividad, aceptando que la pandemia del COVID-19 supondrá inevitablemente un impacto negativo en la economía española, cuya cuantificación está aún sometida a un elevado nivel de incertidumbre.

Medidas en cinco ámbitos

Las medidas se presentan agrupadas en cinco ámbitos, según su naturaleza: fiscal, laboral, mercantil, financiero, y general y de consumo.

Todas las medidas adoptadas están condicionadas al compromiso de las empresas de la salvaguarda del empleo.

Ámbito fiscal

MUY IMPORTANTE: De acuerdo con lo informado por la AEAT, no se interrumpen los plazos para la presentación de declaraciones y autoliquidaciones tributarias.

La suspensión de los términos y la interrupción de los plazos administrativos que se establecen en el Real Decreto que declara el estado de alarma, no se aplicará a los plazos tributarios, sujetos a normativa especial, ni afectará, en particular, a los plazos para la presentación de declaraciones y autoliquidaciones tributarias.

Asimismo, las Oficinas de la AEAT estarán temporalmente cerradas para la atención presencial.

Por otra parte, son muy relevantes estos dos documentos en el ámbito fiscal:

Telefónica Empresas cerca de ti

Ámbito laboral

  • Medidas de flexibilización de los mecanismos de ajuste temporal de actividad para evitar despidos (ERTES).
  • Derecho de adaptación del horario y reducción de jornada para las personas trabajadoras por cuenta ajena relacionadas con las actuaciones necesarias para evitar la transmisión comunitaria del COVID-19.

Asimismo, en este mismo ámbito, el Ministerio de Trabajo y Economía Social ha publicado una “Guía de actuación en el ámbito laboral en relación al nuevo coronavirus”.

Ámbito mercantil

  • Medidas extraordinarias aplicables a sociedades mercantiles, sociedades civiles, fundaciones, asociaciones y sociedades cooperativas.

Ámbito financiero

Ámbito general y de consumo

Todas las medidas anteriormente descritas ya han entrado en vigor y las últimas publicadas, que han entrado en vigor el 18 de marzo, mantendrán su vigencia durante el plazo de un mes desde su entrada en vigor, sin perjuicio de que se pueda prorrogar su duración por el Gobierno, excepto aquellas medidas aprobadas que tienen plazo determinado de duración, que se sujetarán al mismo.

La importancia del mantenimiento preventivo para tu coche

Beatriz Sanz Baños    19 marzo, 2020

Reparar y coche son dos palabras que no quisiéramos que estuvieran juntas. Sin embargo, para nuestro infortunio, las escuchamos más veces de lo que nos gustaría. De ahí que surja la necesidad de evitarlas al máximo. ¿Pero cómo? Muy sencillo, gracias al mantenimiento preventivo

Prevenir antes que lamentar

Para que no tengamos dolores de cabeza con alguna avería de nuestro coche, que nos cueste mucho dinero y que, tal vez, nos deje sin nuestro vehículo por algunos días, lo mejor es prevenir.

Así que la solución está en revisar nuestro coche periódicamente para corregir cualquier avería a tiempo y mantenerlo en óptimas condiciones.

Pero esta tarea puede conllevar mucho tiempo y dinero también. Estar llevando el coche al centro de servicio o al mecánico puede ser una tarea agotadora. Afortunadamente, la tecnología cada día avanza más rápido y ha logrado ahorrarnos mucho tiempo en tareas que antes nos llevaban horas o días.

La conectividad y el mantenimiento preventivo

Es la conectividad de tu automóvil la que ahora puede mantenerte al tanto de los ajustes o pequeños arreglos que requiera tu vehículo.

Gracias a un sistema de dispositivo WiFi integrado, que supervisa constantemente el estado de tu coche, te evitarás tener que hacer estas revisiones preventivas de forma manual o tener que llevarlo al taller por un daño mayor. Utilizando dispositivos como Movistar Car,  podrás estar al tanto en todo momento del estado actual de tu coche, para prevenir daños mayores, entre otros beneficios que ofrecen este tipo de tecnologías.

Con este servicio, empezarás a recibir alertas tempranas sobre posibles fallos, así como notificaciones y recordatorios de los ajustes preventivos que necesita tu coche. Además, al conectarse a internet, ayudará a convertir la ciudad en una smart City.

Ahorro

Hacerle un mantenimiento preventivo a tu coche te ahorrará buen dinero.

Imagina que recibes una alarma que te indica que algo no anda del todo bien en el motor. Con esa alerta, llevas el coche a revisión al taller, donde pueden encontrar el problema inmediatamente y no cuando el coche ya tenga un daño mayor.

Estas alertas tempranas prevendrán esas costosas reparaciones. Con una pequeña inversión en tu dispositivo WiFi, te ahorrarás bastante dinero.

Seguridad

Uno de los puntos más importantes del mantenimiento preventivo, más allá de los gastos de reparar una avería, es la seguridad. Lo que puede suceder es que tengas un accidente. No importa qué tipo de accidente sea, cualquiera puede causarte daño a ti o alguien más.

Además, los accidentes de tráfico no solo cuestan dinero para las partes involucradas; la economía en general sufre con estos. Según datos de la Organización Mundial para la Salud (OMS), los accidentes de tráfico cuestan el 3% del PIB de muchos países.

Razones sobran para que siempre que conduzcas lo hagas de manera segura. Con todas las facilidades que brinda la tecnología y los dispositivos como Movistar Car, se convierte casi que en un acto de negligencia no aprovechar este tipo de ayudas.

Cabe resaltar que mantenimiento preventivo del vehículo puede salvar vidas. Por ello la importancia de un sistema que de una alerta oportuna. Por último, es importante recordar que un mantenimiento preventivo debe hacerse a los primeros 5.000 km. Luego a los 10.000 km y posteriormente cada 10 mil kilómetros.

Para mantenerte al día con el área de Internet of Things de Telefónica visita nuestra página web o síguenos en TwitterLinkedIn YouTube.

#CodeTalks4Devs – Rubika: un sistema Anti-Rubber Hose basado en el Cubo de Rubik

ElevenPaths    18 marzo, 2020

Segundo capítulo de la cuarta temporada de los Code Talks for Devs, nuestros webinars de ciberseguridad para desarrolladores. En esta ocasión es Enrique Blanco, experto del equipo de Ideas Locas, quien se ocupa de dirigir este webinar.

En este talk te mostramos un servicio de prueba de concepto de autenticación de servicio web basado en el análisis de aprendizaje automático de los movimientos de un cubo de Rubik 3x3x3 utilizando las secuencias de resolución de cubos que pueden enviar sus secuencias de rotación y posicionamiento a través del protocolo BLE. Para hacer esto posible, se han realizado tanto un desarrollo de hardware del dispositivo de autenticación como una implementación de software de la plataforma, interfaz y motor de autenticación en el servicio web.

Además, te enseñamos el cubo de 3x3x3 diseñado y fabricado por ElevenPaths, llamado Cube11Paths. Webinar ya disponible:

Más capítulos de #CodeTalks4Devs

#CodeTalks4Devs – SIEMs Attack Framework, cuando el punto vulnerable de la red no es el que esperabas
#CodeTalks4Devs – Integrando DIARIO en tu rutina de análisis de documentos
#CodeTalks4Devs – Fear the FOCA: más eficiente, más funcional y más temible

Más información sobre la cuarta temporada de nuestros webinars para desarrolladores.

Nueva temporada de webinars de ciberseguridad para desarrolladores: Code Talks for Devs

10 tips para un teletrabajo seguro en tu empresa

CSAs de ElevenPaths    18 marzo, 2020

En situaciones en las que el teletrabajo sea posible o incluso necesario, como en el caso de la pandemia del coronavirus, hemos de tener en cuenta que los sistemas de seguridad que se utilizan en los centros de trabajo de las empresas pasan a depender en gran parte de las redes de las que disponen los trabajadores y trabajadoras en sus casas. Por ello, te contamos las medidas que debes llevar a cabo para que el teletrabajo sea seguro tanto para tu empresa como para tus empleados y clientes:

  1. Implementa una solución de VPN confiable, tanto desde el lado del Servidor como del lado del Cliente. Evita en lo posible, utilizar servicios de acceso remoto que dependan de un tercero o un proveedor para conectarte entre tus clientes y tus servidores.
  2. Controla los accesos remotos a través de la VPN a tu empresa mediante la detección de equipos que no cumplan con las políticas de seguridad que hayas definido y, mediante algún tipo de tecnología, aísla los dispositivos que no cumplan con ellas hasta que solucionen los puntos de mejora.
  3. Durante esta pandemia a la que nos enfrentamos en el mundo entero, muchas empresas tienen a gran parte de su personal con trabajo remoto, por lo cual, la disponibilidad de los servicios se hace vital para el desarrollo de nuestro trabajo. Los cibercriminales también lo saben y son conscientes de que un ataque de Denegación de Servicios en estos momentos puede tener efectos mucho más caóticos que los de costumbre. Habilita los servicios de Anti-DDoS tanto en tus webservers como en tu red.
  4. Valida la capacidad de los canales y las configuraciones de los servidores para que tus empleados puedan conectarse de forma estable a los servicios de la empresa. Asegúrate de que, dentro de lo posible, no tengan una mala experiencia, pero por sobre todo, de que no les muestres mensajes contradictorios con tus consejos de seguridad. Por ejemplo, si le dices que no ingresen a portales sin certificados digitales válidos, asegúrate de que las plataformas que pones a disposición para ellos, los tengan.
  5. Si nunca has realizado pruebas de seguridad a tus portales, quizás sea un buen momento para hacerlo con soluciones como VAMPS.  Los cibercriminales están trabajando arduamente para perjudicar a las empresas sabiendo que no tienen la capacidad de monitorear todo lo que sucede en sus portales.
  6. Si aún no tienes contratado servicios de SOC, quizás sea un buen momento para hacerlo. Tener profesionales brindando soporte y monitorización 24/7 en una época como ésta es una gran ventaja cuando de repente tienes tantos usuarios remotos conectados a tu infraestructura.
  7. Recuerda asegurar las plataformas de teletrabajo y videoconferencia, porque son otro vector que buscan los atacantes para realizar intrusiones a tu empresa. Nosotros tenemos investigaciones y herramientas que lo demuestran, te invitamos a revisar nuestro blog donde las analizamos.
  8. Si los empleados tienen teléfonos de la empresa, intenta implementar un MDM para ayudarlos a mantener seguros y confiables sus dispositivos.
  9. En tareas remotas, el tiempo es valioso, con lo cual, intenta utilizar herramientas de planificación y seguimiento de tareas en los equipos de trabajo, como Teams, Slack, entre otros. Puedes revisar los recursos que estaremos publicando en nuestra cuenta de Twitter.
  10. Recuerda que para mantener las reuniones y la productividad con tu organización es fundamental tener y usar las herramientas de ofimática que te permiten hacer videoconferencias o llamadas grupales o poder trabajar en grupo. La mayoría de Suite ofimáticas como Microsoft OneDrive tienen éstas inmersas dentro de sus servicios. 

La Plataforma de gestión inteligente de servicios públicos de la Diputación de Badajoz

Roberto Gallego Delgado    18 marzo, 2020

La tecnología avanza cada vez más rápido y propicia cambios exponenciales. Nuestros hábitos, la forma de relacionarnos y de trabajar están cambiando. Ya es posible pedirle a la smart TV la serie que queremos ver, el smart watch muestra nuestros parámetros de salud en tiempo real, la domótica permite controlar a distancia el hogar, con el smartphone se puede calcular la ruta más rápida a nuestro destino… La interacción con la tecnología en cada momento y ámbito de nuestra vida diaria se extiende de manera natural. También se abre paso la gestión inteligente de servicios públicos.

Es una realidad creciente en el ámbito personal, pero también cada vez más empresas, entidades públicas y organizaciones utilizan estos avances tecnológicos para mejorar sus procesos, la gestión de sus recursos, los sistemas de información o la propia experiencia de cliente. Así, una empresa del sector agroalimentario puede monitorizar sus cultivos, un Ayuntamiento tomar decisiones en base a la votación ciudadana online acerca de una propuesta en concreto o la medición de los distintos parámetros de calidad de una playa determina la obtención de una distinción tan importante para el turismo como la “bandera azul”.

Datos para una toma de decisiones eficiente, ágil y transparente

Y toda esta revolución tecnológica se basa, como ya hemos visto en este blog, en el dato. Cada día generamos una cantidad ingente de datos y las predicciones indican que la tendencia irá en aumento. Con este escenario, se nos presenta la oportunidad única de aprovechar todos esos datos para buscar sinergias y modelos de funcionamiento sostenibles, hacer más eficientes los procesos de las empresas y las administraciones, mejorar los servicios públicos y, en definitiva, paulatinamente cambiar la forma en la que se mueve el mundo para conseguir una toma de decisiones eficiente, ágil y transparente.

La Diputación de Badajoz se halla inmersa en esta transformación digital desde hace tiempo. Para mejorar su gestión interna y los servicios a los ciudadanos, ha puesto en marcha el proyecto “Badajoz Es Más-Smart Provincia”, con el despliegue de la Plataforma provincial de gestión inteligente de servicios públicos.

Thinking cities: la plataforma abierta IoT de Telefónica

Dicha plataforma está basada en la plataforma abierta IoT de Telefónica Thinking cities, que permite integrar la información de cualquier dispositivo, sistema de información o fuente de datos en un único lugar para su almacenamiento, visualización y análisis posterior.

La principal ventaja de esta plataforma es la capacidad de homogeneizar los datos, definir un estándar para la publicación y compartición de los mismos a partir de FIWARE. Éste es el estándar definido por la Unión Europea para el desarrollo de plataformas de industria y administración pública para la gestión inteligente.

Repositorio único de información y big data de los servicios públicos

El valor fundamental que aporta la Plataforma provincial de gestión inteligente de servicios públicos es la capacidad de aunar toda esa información en un único lugar. Se trata de una única plataforma de consulta en la que poder visualizar y estudiar los datos de todos los servicios que proporciona la Diputación de Badajoz a sus ciudadanos.

Dicha información se consulta a través de diversos cuadros de mando que permiten a los diferentes responsables del organismo comprobar el estado de los servicios. Se han definido, además, una serie de indicadores clave para poder establecer baremos de calidad y la toma de decisiones asociadas cuando dichos indicadores no muestren los valores adecuados.

Pero este proyecto no solo aporta un valor diferencial al estandarizar, unificar y analizar los datos de los diferentes servicios públicos de la provincia de Badajoz. Además, permite a la Diputación de Badajoz cruzar los datos para conseguir nuevas eficiencias en dichos servicios. Así, por ejemplo, es posible optimizar las rutas de recogida de residuos al conocer el recorrido diario de los camiones y el llenado de los contenedores, mediante la modificación en tiempo real del recorrido si no fuese necesaria la recogida en un determinado barrio o municipio. También se puede constatar si la calidad del aire en Badajoz empeora debido a la aglomeración de vehículos a determinadas horas, desactivar el riego de los parques de Villafranca de los Barros si las condiciones meteorológicas indican que va a llover o discernir si la afluencia de público en determinadas fechas del año afecta a la calidad de las aguas de las playas de agua dulce de Orellana La Vieja y Cheles.

En este punto, la Plataforma provincial de gestión inteligente de servicios públicos de la Diputación de Badajoz también cuenta con capacidades de big data. Éstas permiten analizar los datos de cada uno de estos servicios y obtener análisis predictivos sobre su evolución para tomar decisiones en consecuencia.

Doble objetivo del portal de datos abiertos

Por último, a través del portal de datos abiertos, la Diputación de Badajoz pondrá a disposición de los ciudadanos toda la información integrada en la Plataforma provincial de gestión inteligente de servicios públicos. Estos portales permiten publicar toda la información adquirida en diferentes formatos para conseguir dos objetivos: por un lado, transparencia para que el ciudadano pueda conocer en todo momento qué sucede en su municipio y en su provincia y, por otro, servir de motor de innovación, emprendimiento y empleo.

Este portal de datos abiertos resulta una valiosa ayuda para los emprendedores de la provincia, al dotarlos de información para que puedan desarrollar nuevas ideas de negocio en base a los datos. Para este último propósito, como ya contábamos, la Diputación de Badajoz también ha puesto en marcha el centro de innovación FIWARE Space como motor para impulsar el emprendimiento y la innovación en la región.

Consejos financieros para que las pymes afronten la crisis económica del coronavirus

Mario Cantalapiedra    18 marzo, 2020

Las excepcionales circunstancias que vivimos con la crisis del coronavirus pueden afectar de forma especialmente dañina a pequeñas y medianas empresas y autónomos, que atraviesan una situación de gran incertidumbre en lo que a su futuro se refiere.

Los responsables al frente de los pequeños negocios deben tratar de tener la mente fría y evitar la parálisis por análisis que los lleve, ante la sucesión de noticias negativas, a quedarse bloqueados en el estudio de la situación, sin realizar acciones concretas.

Aunque no es fácil, es momento de tomar decisiones que sean lo menos traumáticas posibles, pero que traten de garantizar la viabilidad de la mayor parte de las compañías.

Evidentemente las grandes empresas también van a sufrir la situación negativa, pero gracias a su mayor dimensión lo normal es que la afronten de una forma distinta.

Pymes más afectadas que otras por el coronavirus

Incluso dentro de las pymes y dependiendo de los sectores y negocios en los que estas compitan, la situación afectará en diferente grado.

Lo explico con un par de ejemplos:

En mi caso, que entre las actividades profesionales que realizo se encuentra la formación, parte de mis cursos los puedo seguir impartiendo de forma online, mientras que otros ya los he tenido que cancelar. No obstante, tengo la esperanza de poder programarlos más adelante.

Sin embargo, un hotel o un restaurante no pueden recuperar el día que el cliente no se hospeda o come en sus instalaciones. El lucro cesante, es decir, la pérdida de beneficios como consecuencia del dichoso coronavirus, es mucho más evidente en estos casos.

Telefónica Empresas cerca de ti

Consejos desde el ámbito financiero

Pensando precisamente en las empresas que pueden verse más afectadas por esta crisis, se me ocurren una serie de consejos que se pueden tener en cuenta desde la órbita financiera, que lógicamente deben contemplar las medidas que se emprendan desde el resto de áreas de la empresa, como por ejemplo, las de regulaciones temporales de empleo.

En el escenario actual, si la situación de inactividad se prolonga en el tiempo, el flujo de caja (cobros menos pagos) de muchos negocios puede verse comprometido y llegar a ser negativo con facilidad, lo que en el peor de los casos puede desembocar en el cierre de las empresas.

Se pueden ejecutar las siguientes acciones:

1. Reducir gastos (y pagos aparejados) innecesarios

Dependerá de cada empresa, pero estoy pensando en gastos de limpieza, de publicidad, etcétera. Esta medida puede llevar a tener que cancelar contratos con suministradores que en el nuevo escenario no se consideren imprescindibles.

2. Renegociar con los proveedores

Esta renegociación, que incluya un aplazamiento en los plazos de pago, se podrá hacer especialmente con los de mayor confianza. Hay que intentar que nuestros proveedores entiendan que vamos a seguir atendiendo sus facturas, aunque sea un poco más tarde.

3. Gestionar con cuidado el riesgo de crédito comercial

Es decir, analizar mejor que nunca a quién se vende y las posibilidades reales de cobrar las facturas.

4. Ampliar pólizas de crédito y financiación a corto plazo

Esto se hará con las entidades financieras con las que ya trabajemos. Al enfrentarnos a una situación que puede conllevar tensiones de liquidez de carácter temporal, se puede tratar de negociar una especie de créditos de campaña, como los que se dirigen a financiar los desfases en actividades que poseen gran estacionalidad, como es el caso de las agrícolas.

Habrá que ver la voluntad de las entidades de crédito para esta propuesta, en un momento especialmente complicado para todos. En cualquier caso, se deben intentar renegociar los tipos de descubierto y las comisiones en cuentas corrientes y de crédito, por si llegada la situación hay que entrar en números rojos de forma puntual.

5. Solicitar aplazamientos de impuestos y cotizaciones a la Seguridad Social

Esta acción se realizará en función de las medidas que vaya implantando el Gobierno, especialmente cuando no conlleven el abono de intereses de demora.

6. Estar muy atentos a las ayudas financieras

Informarse sobre ayudas directas a pymes y autónomos que se habiliten desde los poderes públicos, para apoyar su liquidez (líneas ICO, etcétera). En este sentido, pueden abrirse programas limitados en cuantía o en el tiempo, en los que hay que intentar ser de los primeros solicitantes para no quedarse fuera.

DGIPYME, el buscador más completo de ayudas para pymes y emprendedores

7. Dar una importancia fundamental al presupuesto de tesorería

El presupuesto de tesorería debe estar permanentemente actualizado. Se trata de intentar ir por delante de los problemas de liquidez, para tratar de atajarlos. Si en tu empresa no llevas un presupuesto detallado de este tipo, es el momento de hacerlo.

Asimismo, es muy útil leer el artículo de David Ballester con TODAS las medidas aprobadas por el Gobierno, que son aplicables al ámbito fiscal, laboral, financiero, mercantil, y general y de consumo.

Fuerza y solidaridad con las pequeñas y medianas empresas de este país, nos va a hacer mucha falta…

Video Post #17: Database, data warehouse y data lake ¿en qué se diferencian?

Paloma Recuero de los Santos    18 marzo, 2020

¿Conoces la diferencia entre una base de datos, un data lake y un data warehouse? En este vídeo te daremos unas sencillas nociones para no expertos que nos ayuden a distinguir estos conceptos.

Si eres de los que prefieren leer, puedes encontrar el contenido del vídeo en este post.

Base de Datos vs Data Lake vs Data Warehouse

¡Sigue nuestra Playlist!
Vídeo Posts Big Data + IA