#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 24-28 de febrero

ElevenPaths    28 febrero, 2020

Escaneos para una vulnerabilidad RCE en Microsoft Exchange

Investigadores de Zero Day Initiative han publicado los detalles sobre la vulnerabilidad CVE-2020-0688 CVSS 8.8, parcheada hace 14 días en el boletín de febrero. Esta vulnerabilidad permite a un atacante autenticado ejecutar código con privilegios de SYSTEM en una instalación de Microsoft Exchange on premise. Tan solo horas después de publicarse los detalles sobre la vulnerabilidad, investigadores como Kevin Beaumont o el equipo de Bad Packets han reportado la detección de actividad a gran escala de intentos de explotación de la vulnerabilidad. Al exigir acceso autenticado, es de esperar que esta actividad esté relacionada con acciones de robo de credenciales y ataques de fuerza bruta.

Más información: https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

Kr00k: vulnerabilidad que permite a los atacantes descifrar paquetes WiFi

Investigadores de seguridad de ESET han presentado en la conferencia de seguridad RSA 2020 detalles sobre Kr00k (CVE-2019-15126), una vulnerabilidad que afecta a las comunicaciones WiFi y que permitiría a un atacante interceptar y descifrar tráfico de una red WiFi. Según ESET, Kr00k afectaría a todos los dispositivos con capacidad WiFi que ejecutan chips Wi-Fi Broadcom y Cypress en conexiones WiFi que usen los protocolos de seguridad WPA2-Personal o WPA2-Enterprise WiFi, con cifrado AES-CCMP. Sin embargo, esta vulnerabilidad no conduce a un compromiso total de las comunicaciones de un usuario. El error puede ser explotado para romper el cifrado utilizado para proteger el canal WiFi, pero si las comunicaciones originales del usuario también estuvieran cifradas, como en el acceso a sitios web a través de HTTPS, Tor o clientes de MI cifrados, esas comunicaciones seguirían cifradas incluso después de un ataque de Kr00k. Los parches para esta vulnerabilidad ya deberían estar disponibles puesto que ESET ha trabajado durante los últimos meses en una divulgación responsable de la vulnerabilidad.

Todos los detalles: https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

Sodinokibi amenaza con nuevas técnicas de extorsión

Los gestores del ransomware Sodinokibi, también conocido como REvil, han hecho pública la decisión de crear un blog donde compartir archivos robados a sus víctimas que no hayan realizado el pago del rescate exigido. Desde hace dos meses, los operadores de este ransomware venían publicando datos de sus víctimas en un foro ruso. Sin embargo, en su última publicación han anunciado la creación específica de este blog, animando a sus afiliados a copiar los datos de las víctimas de manera previa al cifrado de los equipos. Además, han anunciado su intención de compartir previamente la información en servicios de venta, así como sugieren otras formas de extorsión como el envío automático de correos electrónicos a las bolsas de valores para informar sobre el ataque de una compañía dañando de esta forma sus acciones. Con este anuncio, se espera por tanto que la tendencia iniciada por los operadores de Maze de publicar datos de sus víctimas siga al alza.

Más info aquí: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/

Decathlon España sufre una fuga de información

Investigadores de seguridad de vpnMentor han descubierto una base de datos expuesta en un servidor ElasticSearch perteneciente a Decathlon España con datos de tiendas, empleados y usuarios de la compañía. La filtración contiene más de 123 millones de registros, que ocupan 9 GB, y que pertenecen a Decathlon España, aunque existe una alta posibilidad de que también incluya datos de Decathlon Reino Unido. Entre la información filtrada se encuentran usuarios y contraseñas de empleados sin cifrar, números de la Seguridad Social, teléfonos móviles, direcciones, periodos de contratación y correos de clientes, entre otros. Esta fuga de información podría dar lugar a ataques de phishing o robo de identidad entre otros.

Toda la información: https://www.vpnmentor.com/blog/report-decathlon-leak/

Bretagne Télécom infectada por DoppelPaymer a través de la explotación de servidores Citrix vulnerables

El proveedor de servicios de cloud francés Bretagne Télécom ha confirmado haber sido víctima del ransomware DoppelPaymer, habiéndose conseguido la infección mediante la explotación de la vulnerabilidad CVE-2019-19781 en Citrix ADC. Según ha confirmado el CEO de la empresa, Nicolas Boittin, los servidores eran vulnerables a los ataques ya que en el momento que comenzaron los escaneos de servidores vulnerables el ocho de enero, desde Citrix no se había publicado una solución al problema; dicha solución que se demoró hasta el 24 de enero. Una vez comprometidos los sistemas de Bretagne Télécom, los operadores de DoppelPaymer consiguieron cifrar 148 equipos con datos de cerca de una treintena de pequeños clientes. En cuanto a la afectación real, en este caso la compañía disponía de una copia de seguridad de todos los datos de los clientes por lo que se pudo volver a la normalidad sin necesidad de formalizar los pagos demandados. Como parte de la nueva tendencia observada recientemente, al no realizar el pago, los operadores del ransomware han procedido a publicar algunos documentos como ejemplo de la información que fue secuestrada en su blog durante este fin de semana, junto con información de otras tres empresas también infectadas.

Más info: https://www.bleepingcomputer.com/news/security/doppelpaymer-hacked-bretagne-t-l-com-using-the-citrix-adc-flaw/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Eventos en los que participa ElevenPaths en marzo de 2020

ElevenPaths    28 febrero, 2020

¿Quieres saber más sobre ciberseguridad de la mano de los mejores profesionales? En este post te presentamos las principales conferencias y charlas en las que participan nuestros expertos y embajadores durante el mes de marzo. Saca papel y boli y no te lo pierdas, ¡hacker!

III Foro de Ciberseguridad

Nuestro Director de Operaciones, Alejandro Ramos, participa en este interesante evento que reúne a importantes personalidades dentro del mundo de la ciberseguridad. El tema de esta edición es «Los retos de la migración a la nube» y tendrá lugar el día 4 de marzo en Madrid.

III Foro de Ciberseguridad

I Congreso Mujeres en el Project Management

Llega al Project Management Institute la primera edición de un congreso que busca el empoderamiento de las mujeres para liderar proyectos que construyan nuestra economía. Nuestras expertas Helene Aguirre, Svetlana Miroshnichenko y Begoña del Valle estarán el día 5 de marzo en Madrid hablando sobre Smart Cities y la relación entre sostenibilidad y ciberseguridad.

Más información sobre el evento aquí.

I Congreso Mujeres en el Project Management

Open Day en La Farola

No dejes pasar esta gran oportunidad para aprender a aplicar blockchain en tu empresa. Hemos preparado esta jornada desde el Área de Innovación y Laboratorio de ElevenPaths junto al Parque Tecnológico de Andalucía y a la APTE (Asociación de Parques Tecnológicos de España). Nuestros expertos José Torres y Marcos Arjona estarán en este evento el 5 de marzo en Málaga.

Toda la información en la web del evento.

Open Day en La Farola - Blockchain

RootedCON

Vuelve el evento de referencia sobre seguridad informática en España. Este año participan en Madrid dentro de la RootedCON:

  • El 5 de marzo: nuestro Chairman Chema Alonso, con su conferencia «El club de los poetas muertos»; nuestro CSE Amador Aparicio junto a Juan Carlos Fernández presentando «Legalidad de la prueba tecnologíca indiciaria cuando tu papi es un hacker»; y nuestro también CSE Antonio Fernandes junto a José Domingo Carrillo y Roberto Fernández en un workshop sobre bug bounty, «The SpInquisitors Way».
  • El 6 de marzo: Francisco José Ramírez, del equipo de Ideas Locas, junto a Rafael Troncoso presentando «Fortificando contenedores en Kubernetes like a boss«; y nuestra Senior Researcher y CSE, Carmen Torrano, junto a Ruth Sala, con su ponencia «Atacando la debilidad humana», sobre ingeniería social e inteligencia artificial.
  • El 7 de marzo: Pablo González, Responsable del equipo de Ideas Locas, junto a Álvaro Núñez-Romero, con su charla «Hackeando el mundo exterior a través de Bluetooth Low-Energy (BLE)».

Información completa en la web del evento.

RootedCON

Madrid Woman’s Week

Llega la semana de la mujer a Madrid con un montón de ponencias y talleres de distintos ámbitos profesionales. Nuestra Senior Researcher y CSE, Carmen Torrano, estará el 10 de marzo, Jornada de Ciencia y Tecnología, presentando el EmpoWerMeet: «Yo también puedo ser una Reina Techie».

Más información en la página web del evento.

South Tech Week

Vuelve este importante evento sobre tecnología, que en esta edición pone el punto de mira en la inteligencia artificial y que cuenta con la participación de nuestra Senior Researcher y CSE, Carmen Torrano. No te pierdas su conferencia sobre Machine Learning y ciberseguridad IoT el 11 de marzo en Granada.

Toda la información aquí.

Code Talks for Devs

En este Code Talk, nuestro experto del equipo de Ideas Locas, Enrique Blanco, te contará qué es y cómo funciona Rubika, un servicio de prueba de concepto de autenticación de servicio web basado en el análisis de aprendizaje automático de los movimientos de un cubo de Rubik 3x3x3. Además, podrás ver Cube11Paths, el cubo diseñado y fabricado por ElevenPaths.

Disponible en nuestro blog el 18 de marzo a partir de las 15:30.

Rubika: un sistema Anti-Rubber Hose basado en el cubo de Rubik

Ciberseguridad al Descubierto

Vuelve a Gijón una importante jornada de intercambio, divulgación y reflexión. Este evento busca crear una cultura de ciberseguridad en España, abordándola desde distintas ramas (técnica, jurídica, ética, política, militar). En esta ocasión contará con la participación de nuestro CSA Deepak Daswani el día 26 de marzo.

Más información aquí.

Ciberseguridad al Descubierto 2020

Tech Spirit Barcelona: cuando Wayra y Telefónica corren a ritmo de startup

Mateo Rouco Salvado    28 febrero, 2020

La magia del mundo startup es que los problemas, a veces, se convierten en grandes oportunidades. Esta semana hemos sido testigos de ello, con la celebración de Tech Spirit Barcelona. Se trata de un movimiento espontáneo que nació originariamente en un grupo de Whatsapp, con el propósito de responder en positivo a la cancelación del MWC / 4YFN, como ya adelantaba un compañero.

Tech Spirit Barcelona refleja el más puro espíritu emprendedor por su agilidad, rapidez, su fuerza y, por supuesto, por la capacidad de movilizar a toda una comunidad para lograr un objetivo: seguir desarrollando nuevas oportunidades de negocio e inversión entre corporaciones, startups y fondos de venture capital.  

En cinco días lo que necesitaría meses

La idea de este movimiento dio el pistoletazo de salida a una carrera contrarreloj de todo el ecosistema emprendedor -y, por extensión, de todo el equipo de Wayra- para lograr lo que parecía imposible: organizar en cinco días un evento que normalmente necesitaría meses de antelación. Dicho de otra manera, había que correr. Empezar prácticamente de cero. Pensar rápido. Colaborar. Reaccionar. Pivotar. Resolver. Teníamos que sacarlo adelante en condiciones de incertidumbre. ¿Os resulta familiar? ¡Es el día a día de una startup aplicado, en nuestro caso, a Telefónica!

Emprendimiento femenino, coinversión, scaleups

Teníamos que ser ágiles desde distintas áreas de la compañía. Creamos un chat en el que compartíamos las noticias de última hora, las confirmaciones, las dudas, los cambios de agenda… En paralelo hablábamos con la organización del Tech Spirit Barcelona para cerrar un programa atractivo con espacio para el emprendimiento femenino, movilidad, coinversión, scaleups o corporate venturing, entre otros temas. Mientras todo cobraba cuerpo, se vivió una montaña rusa de emociones. Parecía un hackatón.

Al ver que cada vez eran más los que querían apuntarse al Tech Spirit Barcelona, nos propusimos invitar al encuentro a medio centenar de inversores y fundadores de startups de Alemania, Reino Unido, Brasil, Argentina y Colombia, entre otros países. Dicho así parece sencillo pero no lo es… Significó cerrar, en menos de 24 horas, 60 reservas de hotel.

Bajo el título “Female funding, we’ve got a problem» llamamos la atención sobre uno de los grandes problemas del ecosistema emprendedor: la falta de financiación para startups lideradas por mujeres. En este panel, moderado por Marta Antúnez, directora de Wayra Barcelona, y Anindya Saha, partner de NERO Ventures, participaron Laura González-Estéfani, CEO de TheVentureCity con sede en Miami, Itxaso de Palacio, directora de inversiones del fondo británico Notion Capital, María Sansigre, directora de inversiones del fondo francés Demeter Partners, y Ernest Sánchez, director general de Nekko Capital.

Primer TrenLab DemoDay

Ha sido un evento de innovación que hemos vivido como un viaje de alta velocidad y, cómo no, queríamos hablar también sobre movilidad junto a Renfe. Para ello, decidimos organizar el primer TrenLab DemoDay, al que se sumaron los emprendedores de Zeleros, Iomob, Nixi1, Imotion Analytics, Obuu, Ossicles y Showleap.

También quisimos mantener la Barcelona Startup Meetup, un encuentro en el que buscamos reunir a más de 300 líderes del ecosistema emprendedor. Organizar con éxito este evento supuso encontrar localización, proveedores, partners, conferenciantes y, por supuesto, asistentes, en cuestión de 48/72 horas. Lo conseguimos trabajando conjuntamente con nuestros compañeros de Marfeel, Google For Startups, BStartup de Banc Sabadell y Seedrocket. 

La agenda fue muy interesante: organizamos una mesa redonda sobre coinversión con José Manuel Carol, director operativo de BStartup, Marta Antúnez, directora de Wayra Barcelona, e Ignasi Capella, cofundador de Broomx, startup participada por Wayra y BStartup. Además, Miguel Arias, director global de Emprendimiento de Telefónica, y Juan Margenat, cofundador de Marfeel, compartieron la historia de Marfeel y las claves para convertir a una startup en scaleup.  

Y ahora que se ha terminado todo, cuando hablamos del Tech Spirit Barcelona, nos repetimos una y otra vez que si quieres, puedes. Que lo imposible, con ilusión y una sonrisa, se consigue. Nos miramos, agotados y aún con agujetas, pensando que, con energía y trabajo en equipo, ocurre la magia. Hemos corrido un maratón a ritmo de startup.

Truekit: Cómo convertir en un negocio las tarjetas regalo que no se canjean

Raúl Alonso    28 febrero, 2020

“No solo en mi caso, también en mi entorno había gente con tarjetas regalo que no canjeaba, y pensé que ahí había una oportunidad para ayudar a los demás y a la vez iniciar un negocio”.

Como en tantas otras historias de emprendedores, la observación de la realidad llevó a Santiago Rodríguez-Losada a descubrir un nicho de mercado.

Truekit.com ofrece desde 2014 a los usuarios una plataforma para la compra, la venta y el intercambio de tarjetas regalo con descuentos que van del 2% al 50%.

Se trata de una iniciativa que incluye primeras marcas como El Corte Inglés, Ikea o Carrefour. Y solo por citar tres del enorme porfolio de esta empresa, que el pasado 2019 mereció el premio CEAJE al Mejor Joven Empresario Autónomo.

Truekit: olfato emprendedor

Es el reconocimiento al olfato emprendedor de Santiago Rodríguez-Losada y a su empeño para convertir en realidad su idea, que le llevó a investigar en Estados Unidos diversas soluciones “hasta entender el modelo de negocio, que adaptamos al mercado y la picaresca española”, comenta en alusión a la centenaria tradición nacional por saltarse la norma.

La picaresca fue el motivo por el que el negocio no empezó a tomar su forma definitiva hasta encontrar con la forma de verificar la autenticidad de las tarjetas regalo de todas las firmas comerciales.

“En ese momento, empezamos a desarrollar una web, que ya hemos perfeccionado en varias ocasiones, y luego una aplicación móvil con la que los usuarios pueden comprar y vender sus tarjetas regalo de forma cómoda y automatizada”.

Durante un año se probó el modelo en el entorno de confianza de la empresa, y ya en 2015 se sometió a la prueba de fuego del mercado: “Debíamos comprobar que había gente con tarjetas regalo que no quería, que estaba dispuesta a venderlas, y que podíamos atraer a nuestra plataforma”.

Para lograrlo, era imprescindible crear un entorno de confianza. En este empeño ha resultado muy exitosa su política de generación de contenidos, que promocionan con inversiones muy medidas en soportes publicitarios de Google, Facebook e Instagram.

Equivocarse pronto y barato

Durante este proceso de perfeccionamiento y adaptación, Rodríguez-Losada insiste en la importancia de dejar que el modelo pivote: “Quien diga que su negocio no ha dado bandazos, miente”, afirma sonriendo.

“Uno de los mejores consejos que puede oír el emprendedor es el de equivocarse pronto y barato. Y para conseguirlo, es imprescindible estar escuchando continuamente al mercado”, manifiesta.

Rodríguez-Losada –que este año cumplirá 40 años–, ya había cultivado esta habilidad con su experiencia como comercial y más tarde como empresario en el sector de las agencias de marketing digital. Fue así como el negocio encontró en las propias cadenas comerciales un nuevo e inesperado aliado: “Desde su punto de vista somos un canal de venta especializado que ofrece visibilidad, negocio y ventas”.

Desde el momento en que los retailers identificaron en Truekit una oportunidad de negocio, el proyecto pudo asegurar una de sus principales necesidades: la continuidad y regularidad en la oferta de las tarjetas regalo.

Esa ha sido una de las bases en el crecimiento de Truekit, que en 2019 multiplicó por 2,7 el volumen de negocio del año anterior: “Este 2020 esperamos hacerlo por tres”, explica.

Emprender acompañado

“Ya somos un producto rentable, y lo hemos logrado empleando solo recursos propios”. Sin embargo, Truekit aborda ahora un proceso de crecimiento e internacionalización, viaje para el que no descarta contar con aliados: “No es que esté buscando un socio, pero no me importaría tener a alguien con el que compartir opiniones”.

Emprender en solitario nunca es bueno”, afirma Rodríguez-Losada: “Es más fácil hacerlo acompañado, sobre todo si sabes rodearte de perfiles complementarios al tuyo que te aporten. Cuando estás solo te conviertes en un hombre orquesta, a menudo con demasiadas cosas en la cabeza”.

De momento, para este 2020, baraja hacer una ronda de financiación, aprovechando que la compañía después de seis años de trabajo está en el radar de varios inversores: “Hay que aprovechar esa visibilidad”, justifica.

Internacionalización y automatización

Dicha inyección de capital debería servir para el proceso de internacionalización de la compañía, que este año comenzará por Portugal y algún mercado hispanoamericano. Para acelerar esta expansión por América, Truekit ya ha buscado socios locales que impulsarán la compañía desde Miami.  

Pero el crecimiento debe ir acompañado de mejoras estructurales, sobre todo enfocadas a la automatización de procesos.

Truekit desarrolló un algoritmo que, explicado de forma sencilla, permite automatizar las labores de compra y venta de las tarjetas regalo. De este modo, en función de determinadas variables, entre ellas la demanda que la marca de la tarjeta tiene entre los usuarios de la plataforma, valora en segundos su precio, para que su propietario decida si la quiere vender en la plataforma o no o con un determinado descuento.

En segundo lugar, Truekit asumió el reto de buscar soluciones de integración en la estructura de muchas de las principales marcas con las que trabaja. Era una premisa importante para ofrecer inmediatez en el servicio manteniendo la seguridad.

Ahora estos y otros procesos deben ser capaces de perfeccionarse y automatizarse para favorecer su crecimiento internacional.

Otros operadores ya han olfateado este nicho de mercado, por lo que es importante acelerar la expansión, contando con la tecnología como la mejor aliada, “pero siempre haciendo bien las cosas. Estoy totalmente en contra de esas empresas que justifican en las prisas errores o descuidos en el servicio que ofrecen al cliente”.       

Qué es una estrategia empresarial y cuál es su importancia en una organización

Carlos Rebato    27 febrero, 2020

Las estrategias empresariales representan la planeación para mejorar y optimizar los resultados de una empresa. Estas pueden ser medidas a través de indicadores de gestión que permitan ponderar y tomar acciones asertivas (Salgueiro, 2001).

Se trata de qué hacer y cómo hacerlo; gira en torno a la misión y visión de la empresa. Es importante definirlo porque, al momento de establecer una estrategia, es necesario conocer los productos y servicios que se ofrecen. Asimismo, deben conocerse los recursos naturales disponibles, métodos de ventas y distribución, capacidad de producción, tecnología, tipos y necesidades del mercado. Esto es necesario para que la empresa cumpla a tiempo y con eficacia todos sus objetivos.

Tipos de estrategias empresariales

Corporativa

Define el alcance que puede lograr la compañía en lo que respecta a sus competidores. La estrategia empresarial corporativa está íntimamente relacionada con la imagen de la empresa y con la forma en que la sociedad la percibe. Por lo tanto, se recomienda tener patrocinadores que eleven la imagen de la marca para que sea más reconocida. Esta decisión conlleva una serie de diversas inversiones, además de las adquisiciones.

Las estrategias empresariales corporativas tienen como objetivo mostrar los valores propios. Por consiguiente, al enfocarse en la propia organización, se dirigen a mejorar cada aspecto de ella en comparación con sus competidores. Cada empresa elige cómo trabaja, sus valores, las necesidades que debe satisfacer y su público objetivo.

Funcional

Se ocupa de cómo deben hacerse las cosas, cómo deben utilizarse y aplicarse los recursos y las capacidades con el fin de aprovecharlos al máximo y aumentar la productividad. Las áreas principales en las que debe enfocarse son Comercialización, Recursos Humanos, Financiación, Compra y Ventas, etc. En esta estrategia se establecen los pasos que deben realizarse en relación al marketing, canales de distribución y tecnología.

La estrategia empresarial funcional debe diseñarse para plazos cortos y debe ser renovada periódicamente. La empresa requiere diseñar una estrategia funcional por cada actividad de negocios relevante y por cada unidad de la organización. En otras palabras, un negocio requiere de tantas estrategias empresariales funcionales como actividades importantes posea. Aun si la estrategia funcional se limita a las acciones que realiza el negocio, puede aportar nuevos pasos, características y hasta replantear el plan general del negocio.

Negocio

Es el conjunto de actividades que permitirán que la empresa alcance una ventaja competitiva. Se diferencia del tipo de estrategia corporativa en que se enfoca en diferenciarse y posicionarse en el mercado. En este análisis se establecen los pasos que deben seguirse y se calcula cuáles serán los beneficios o consecuencias de cada uno.

Esta estrategia se caracteriza por su adaptabilidad. Debe elegir sus movimientos según las acciones de los competidores y las tendencias del mercado. Las estrategias empresariales de negocio se caracterizan por ser de medio plazo. Además, para que su efectividad sea mayor, pueden utilizarse junto a la estrategia empresarial corporativa.

Entre las empresas que se caracterizan por utilizar esta estrategia, se encuentran:

  • Ryanair (bajos costos).
  • BMW (diferenciación).
  • Inditex (últimas tendencias a buen precio).

Empresas exitosas por sus estrategias empresariales

Spotify

Empresa con sede en Estocolmo, ofrece servicios de reproducción y descarga de música online. Utiliza un modelo freemium, ya que ofrece tanto servicios gratuitos como pagos. Alcanzó el éxito al convertirse en un canal oficial de música para los cantantes. Legalmente, posee los permisos y sus derechos de imagen y distribución.

Spotify se ha vuelto el estándar cuando se piensa en música. Esta aplicación ha sido la predilecta de muchos usuarios en todo el mundo cuando se trata de escuchar música. Ha escalado hasta hacerse líder en cuanto al mercado musical se refiere. Esto se debe a que no solo permite la integración de música nueva de forma online: también añadió la capacidad de poder escuchar la radio e incluso interactuar con otros usuarios.

No hay que olvidar su constante rediseño e innovación con la finalidad de mejorar la aplicación: saltar canciones, ofrecer planes de ahorro de datos a los usuarios, entre otras características novedosas.

Coca-Cola

Es la empresa multinacional enfocada en bebidas por excelencia. Es considerada por muchos como una de las marcas a nivel global con mejor planeación estratégica. En sus campañas logra poner al cliente en el centro de todo con sus estrategias de mercado.

A pesar de las múltiples estrategias empresariales que utilizan diversas empresas para la atracción de nuevos clientes, son pocas las que han impulsado tanto una marca como ha pasado con el caso de Coca Cola. Su marca ha ganado posicionamiento alrededor de todo el mundo. Prácticamente, no hay un ningún país que no la conozca. Se calcula que diariamente se consumen millones de unidades de sus productos en el mundo entero.

La mayoría de sus estrategias contienen frases motivadoras que relacionan un sentimiento positivo con el producto. En su estrategia empresarial se observa que evoca recuerdos especiales y memorables de sus clientes: pasar un rato con los amigos con la idea de que nunca falte su producto en esos momentos. Ha logrado implementar varias estrategias con base en los sentimientos de sus clientes.

Amazon

Es una herramienta muy versátil que permite efectuar compras online. Su creador, Jeff Bezos, la fundó en el año 1994. Él trabajaba en Wall Street, pero fue impulsado por su deseo de hacer algo nuevo. Deseaba ser parte del crecimiento que se observaba en Internet. Por lo cual, renuncio y se dedicó a crear Amazon (Riojas Márquez, Tello Carranza, Sandoval y Alberto, 2018).

Posee una excelente sincronía entre marketing y logística para vender productos y servicios y para que al usuario le llegue la compra al sitio donde lo indica. Está adaptado a distintas necesidades. Sus ventas a nivel internacional representan casi la mitad del total de ventas anuales que realiza la compañía.

Inicialmente, su diversificación se concentró en el territorio europeo, ya que era muy similar al mercado americano. Hoy en día, su enfoque está dirigido a los mercados que surgen en el Medio Oriente y Asia en general. La globalización toma un papel muy importante en la estrategia empresarial de Amazon. Las inversiones que ha realizado en años recientes se calculan en millones y millones de dolores para lograr ese objetivo. Por esta razón, ha podido mantener un modelo económico, una gran variedad de productos y un servicio de entrega veloz. Actualmente, los mercados donde Amazon está ganando más posición son Australia, Singapur y la India.

En conclusión

La improvisación es uno de los grandes enemigos de las empresas, por ello la importancia de definir las estrategias empresariales. Es fundamental para cualquier tipo de empresa poseer una estrategia empresarial coherente con su estrategia corporativa, de negocio y funcional. Ayuda a descubrir oportunidades y aspectos que agregan un valor importantísimo y único en el mercado. También puede detectar fallas y ayudar a fortalecerse para enfrentar una posible crisis. Además, posibilita una mayor capacidad de control y asertividad al momento de tomar decisiones importantes para la empresa. Aplicando la matriz DOFA, permite aprovechar las oportunidades, hacer frente a las amenazas, mejorar las fortalezas y disminuir las debilidades.

Foto de Dylan Gillis en Unsplash

El coronavirus y la importancia de una estrategia nacional de datos

Víctor Deutsch    27 febrero, 2020

Desde que se desarrolló el método científico en la Antigua Grecia, uno de los grandes motores de los descubrimientos humanos ha sido la correlación. Es decir, la capacidad de relacionar dos hechos, aparentemente inconexos, que ocurren generalmente al mismo tiempo o con la misma frecuencia. En este post me voy a referir a la importancia de una estrategia nacional de datos sanitarios.

Fue la correlación lo que llevó a Edward Jenner, en una época tan temprana como el siglo XVIII, a postular que el contacto de las lecheras durante el ordeño con el pus de las ampollas de las vacas infectadas con la viruela bovina las protegía de la viruela. Relacionó, así, la baja incidencia de la viruela humana en las lecheras con el contacto con una enfermedad atenuada en el ganado.

Correlación de hechos e identificación de patrones

Muchas veces utilizamos la correlación como una regla que funciona de una forma exacta mucho antes de que podamos explicar o comprender el fenómeno que la produce. Todavía hoy, dos siglos después de la tesis de Darwin, no sabemos muy bien cómo funciona el mecanismo de la evolución de las especies pero somos capaces de documentar perfectamente sus efectos. La medicina es una de las ciencias que se sirve fundamentalmente de la correlación para aplicar un tratamiento o determinar los efectos adversos de un medicamento.

Big data realmente siempre estuvo ahí

Actualmente, el auge del grupo de tecnologías que agrupamos bajo el término de moda “big data” hace que mucha gente abuse y crea que es una “ciencia nueva”. Realmente siempre estuvo ahí. Por ejemplo, Tycho Brahe en el siglo XVII documentó la posición diaria de cada planeta respecto a la Tierra y Johannes Kepler, tras analizar los datos durante cinco años, formuló la teoría de las órbitas elípticas de los planetas (con el Sol en el centro, por cierto). ¿Era Kepler un data scientist? Yo diría que no.

La correlación estuvo en el origen de la tecnología de la información. Los ordenadores no son muy buenos para reproducir las formas de comportamiento y representación del conocimiento humano (todavía no sabemos bien cómo funciona), pero son excelentes para correlacionar hechos e identificar patrones. El primer ordenador, la máquina Ultra de Alan Turing, no hacía más que detectar un patrón criptográfico (la relación de un símbolo con otro) en la máquina Enigma alemana.

Claves para una correcta estrategia de datos

Por eso, lo que hoy llamamos big data se basa sobre todo en dos cosas: en el registro y conservación de infinidad de “lecturas” de datos y en la capacidad de procesarlos muy rápidamente, gracias a los avances en tecnología de microprocesadores. Las técnicas para correlacionarlos y detectar patrones son muy conocidas y antiguas, y requieren un gran dominio del campo de aplicación.

Quiero enfatizar el tema del dominio en el campo de aplicación puesto que a veces se da a entender que existe una “ciencia de datos” capaz de obtener patrones e interpretar resultados en los más amplios dominios. Eso, definitivamente, no es así. Se requiere un entrenamiento intensivo en el campo o la asistencia de un experto. Y, muchas veces, según el tipo de aplicación, los resultados deberían estar avalados con una “firma responsable”, como se hace con un informe médico, un dictamen pericial, etc. Confiar solo en la correlación nos puede llevar a errores dramáticos como el del Doctor Sandler.

Por tanto, una estrategia de datos en cualquier organización (sea una empresa o una administración pública) se basa en la recolección y conservación de los datos y la disponibilidad de los recursos para procesarlos y entenderlos.

La clave en el caso de la listeriosis

Un buen ejemplo son las Enfermedades de Declaración Obligatoria (EDO) en España. Desde 1969, la Organización Mundial de la Salud (OMS) encomienda a sus miembros su vigilancia. Desde la década de los setenta, la Escuela de Sanidad y luego la Sociedad Española de Epidemiología dieron sustento local a este sistema de control, implementado actualmente por cada Comunidad Autónoma.

El verano pasado una de las noticias más impactantes en España fue el brote de listeriosis originado en Andalucía que se cobró la vida de ocho personas y enfermó a 215 (según datos oficiales hasta el 16/9). Este tipo de intoxicaciones alimentarias en mayor o menor grado son relativamente frecuentes en Europa y EE. UU. De hecho, todos los años se produce una cantidad de casos en eventos aislados.

Los medios de comunicación pusieron mucho énfasis en los posibles errores cometidos por las autoridades, los fallos de coordinación entre diferentes administraciones o la insuficiente inspección para la seguridad alimentaria. Y está bien: la función de la prensa es ventilar estos temas para mantener y mejorar la vigilancia de los poderes públicos.

Métodos de correlación comunes con un gran conocimiento del campo

Sin embargo, se suele pasar por alto un aspecto clave que ayudó a que la crisis en España se resolviera con mucho menor impacto del que cabía esperar: el análisis continuo de la enorme cantidad de datos sanitarios que recoge la Junta de Andalucía.

Basta con acceder a la página del Banco de Datos Estadístico de Andalucía (BADEA) para hacerse una idea. Muchos de ellos son públicos, especialmente aquéllos que capturan los 49 hospitales y más de 1.500 centros de atención primaria del Servicio Andaluz de Salud. Por ejemplo, esta consulta muestra los casos de listeriosis en 2018.

La listeriosis se incorporó en 2015 al listado de EDO, por lo que cada caso identificado debe declararse ante las autoridades sanitarias. Esto hizo que se dispusiera de una «huella» identificable de la enfermedad y su incidencia habitual en la región. En este caso, solo una pequeña variación en el porcentaje de la incidencia de la enfermedad en una región concreta disparó una investigación, la cual, al cruzar otros conjuntos de datos, derivó en el conocimiento del foco infeccioso apenas doce días después del primer indicio.

Para entender la importancia de esto, en EE.UU. en 2011 durante la “listeriosis de los melones”, su prestigioso CDC (Centre of Disease Control), el organismo dotado de mayores recursos y presupuesto de todo el planeta para acometer la vigilancia epidemiológica, apenas tardó dos o tres días menos en lograr el mismo resultado, originado en las malas condiciones de higiene de un depósito de mercancía.

En definitiva, es la recogida sistemática de datos, analizados con métodos de correlación comunes pero con un gran conocimiento del campo, lo que garantiza el resultado.

Actualmente nos enfrentamos a la epidemia del coronavirus que, como todas las variantes de la gripe, tiene una vigilancia especial internacionalmente, dada su potencial peligrosidad. Nadie quiere que se repitan los resultados de la epidemia de 1918/19, que acabó con la vida de unos 20 millones de personas en todo el planeta.

La solución al coronavirus no está en algoritmos de detección de patrones

Las autoridades chinas han puesto todos sus esfuerzos en utilizar técnicas de big data para “rastrear” e identificar a los sujetos enfermos. Para ello el Ministerio de Industria chino envió un mensaje a las empresas e institutos de investigación de inteligencia artificial del país para que ayuden a luchar contra la epidemia.

Las empresas respondieron con rimbombantes anuncios en los que proclaman las virtudes de esa tecnología, Por ejemplo, la empresa Megvii declaró que había desarrollado una nueva forma de encontrar e identificar personas con fiebre. SenseTime asegura haber construido un sistema similar para usar en la entrada de los edificios, que puede identificar incluso a las personas que lleven mascarilla. En tanto, Zhejiang Dahua afirma contar con cámaras infrarrojas capaces de detectar la fiebre en humanos con un rango de exactitud de 0,3°C.

La inteligencia artificial como ayuda auxiliar

De ser así (conocemos poco de lo que sucede en Wuhan), éste sería un buen ejemplo de un enfoque que, por espectacular, no deja de ser equivocado porque confía la solución del problema a simples algoritmos de detección de patrones. El origen del brote podría rastrearse y controlarse mucho mejor mediante el acceso a los registros digitales de los pacientes (si existen) y con la asistencia de médicos expertos en estadística sanitaria, que son los que tienen conocimiento del dominio. En este caso, los expertos en “inteligencia artificial” (en realidad programadores que conozcan algoritmos de regresión estadística), solo deberían cumplir una función auxiliar.

Importancia de una estrategia nacional de datos sanitarios

Quizá ya sea demasiado tarde para mejorar la vigilancia epidemiológica en el norte de China y ahora hay que enfrentar el problema con medidas de contención. Pero es un recordatorio de lo mucho que los países pueden y deben invertir en una estrategia adecuada de registro, conservación y explotación de datos sanitarios, dado que finalmente nos afecta a todos. Se trata de una estrategia que España tiene muy desarrollada  en sanidad y que podría extrapolarse a otros campos y servir de ejemplo a muchas empresas con esta trilogía: registro, capacidad de proceso y conocimiento del dominio.

Es importante no dejarnos llevar por los cantos de sirena de los nombres que ponemos a las tecnologías, que pueden sonar muy bonitos y sofisticados. A la hora de utilizarlas, tenemos que ser muy conscientes de sus posibilidades reales para no  cometer errores fatales.

La designación de Carme Artigas, como Secretaria de Estado de Digitalización e Inteligencia Artificial, una persona con experiencia concreta en la materia, abre una buena oportunidad para definir una política de estado en el registro, explotación y análisis de datos. Incluso España tiene el suficiente know how como para asesorar a otros estados y ayudarlos a alcanzar mejores estándares en el campo.

Imagen: World Bank Photo Collection

¿Preparados para un incidente de ciberseguridad? (parte 2)

Gabriel Bergel    27 febrero, 2020

Con el objetivo de continuar con el anterior post en el que hablábamos sobre estar preparados para incidentes de ciberseguridad, seguimos en esta segunda parte con el proceso de Business Continuity Plan (BCP) o continuidad de negocios. El BCP sirve para cuando un incidente genera una catástrofe o una interrupción grave del negocio.

¿Cómo se implementa el BCP?

Lo primero que debemos determinar es el alcance del BCP. En teoría debería ser único para abordar todos los procesos críticos de la organización y ser capaz de definir todas las estrategias de recuperación necesarias que permitan salvar vidas y mantener el negocio tras una crisis. Sin embargo, es común encontrar BCP más acotados, orientados a satisfacer las necesidades de continuidad de uno o más procesos críticos.

Es fundamental definir un comité directivo para este propósito (C level). Si no se pudiera conformar, solicitar tiempo y atención de otro comité directivo ya existente. También debemos armar un equipo de trabajo multidisciplinar, que será el responsable de la parte operativa. Es fundamental que exista un representante de cada área de la compañía. Este equipo de trabajo es el que desarrolla, implementa y ejecuta el plan, mientras que el comité autoriza, supervisa, define roles, dota del presupuesto y toma las decisiones estratégicas.

Business Continuity Plan (BCP)

A continuación, debemos identificar todos los procesos de la organización. En el mejor de los casos esto ya estará realizado; de lo contrario tendremos que hablar con los jefes de procesos para identificarlos y «diagramarlos». Una vez realizado esto y con apoyo de los jefes de procesos, se identificará la criticidad de éstos para el negocio. Ésto depende exclusivamente del core del negocio y el BCP, en este sentido, es un “traje a medida”.

Una vez identificados los procesos críticos, realizaremos evaluaciones de riesgos a éstos. En esta fase identificamos los potenciales riesgos a los que se encuentran expuestos y la probabilidad de que una vulnerabilidad sea explotada por una amenaza. Asimismo, medimos el impacto que causaría dicha explotación sobre los activos. El objetivo de esta etapa es gestionar los riesgos asociados a los procesos críticos.

Business Impact Analysis (BIA)

Continuando con nuestro plan, debemos realizar un BIA (Business Impact Analysis). Independientemente de que se hayan mitigado en su totalidad los riesgos de los procesos críticos, siempre existirá un riesgo residual (riesgo resultante después de la aplicación de controles) y siempre tendremos que estar preparados para enfrentar una crisis o desastre, por lo cual debemos identificar cómo una interrupción de estos procesos críticos impactaría en el negocio. La evaluación de riesgos es preventiva, el BIA es reactivo.

El principal objetivo del BIA es identificar el Objetivo de Tiempo de Recuperación o RTO (Recovery Time Objective), y el Objetivo de Punto de Recuperación o RPO (Recovery Point Objective). El RTO es el tiempo que el negocio soporta la interrupción del proceso crítico. Por ejemplo, un RTO de 2 horas quiere decir que puede estar 2 horas sin el servicio. Si se sobrepasa ese tiempo, existe un impacto en el negocio, por lo tanto la estrategia de recuperación estará basada en el RTO.

Por su parte el RPO está relacionado con el punto en el tiempo desde el cual se debe recuperar el proceso crítico. Un RPO de 2 días quiere decir que se necesitan por lo menos 2 días de información para que el proceso se vuelva a ejecutar de manera normal. Este punto está asociado a la cantidad de datos que la empresa se puede permitir perder, por lo cual nuestras estrategias de recuperación deben considerar los RPO en las estrategias de respaldo.

Con la información recopilada podremos desarrollar nuestras estrategias de recuperación para las posibles causas o escenarios de contingencia. Se recomienda utilizar las peores condiciones posibles, ya que en ellas estarán contenidos los demás escenarios. Las estrategias deben considerar, además de los procesos tecnológicos necesarios para la contingencia (DRP), las personas necesarias que cumplen roles dentro de los procesos críticos y su reubicación en caso necesario. Estas estrategias serán el corazón de nuestro BCP, ya que nos permitirán salvar vidas y minimizar o evitar un impacto negativo en el negocio a causa de una crisis o desastre.

Respondiendo algunos interrogantes

Tenemos que definir los procedimientos, grupos y roles (pueden ser distintos a los roles en operación normal) para responder y operar en emergencia o contingencia. Con esto debemos poder responder a las siguientes preguntas: ¿qué hacer en caso de emergencia?, ¿qué le digo a mis clientes?, ¿cómo contacto con mis empleados?, ¿dónde reubicaremos las dependencias?, ¿qué le respondo a los medios o a la prensa?

Para ello tenemos que definir nuestro plan de manejo y comunicación de crisis. Se deben generar instancias de presentación y coordinación con autoridades públicas (policía, bomberos, clínicas y hospitales). Debemos poder responder: ¿quiénes necesitan saber?, ¿qué necesitan saber? y ¿cuándo lo necesitan saber?

También es necesario realizar campañas, talleres y charlas de concienciación y formación para los equipos de trabajo, comité directivo y en general para todos los empleados. En lo posible, debemos generar un logo y eslogan, tratar de ser lúdicos para atraer al público objetivo y dar incentivos y premios a la participación.

Siempre digo que en ciberseguridad no debe existir la fe, sino que todo debe tener pruebas empíricas. Este plan no se eximirá de ello, por lo tanto debemos definir un plan de pruebas para las estrategias de recuperación y BCP en su totalidad. Existen varios tipos de pruebas, desde las más básicas y pasivas hasta las totales, entre las que destacan los ejercicios de escritorio, el simulacro detallado, los simulacros funcionales, los simulacros de evacuación y los ejercicios a gran escala. El BCP no será válido si no se ha probado, así que esta etapa es esencial.

Y ahora, ¿qué?

Una vez concretadas todas las fases, planes, procedimientos, pruebas, etc., estaremos en condiciones de armar nuestro BCP, que será la integración de toda la documentación generada. Una decisión muy importante que debemos tener la capacidad de responder con nuestro BCP es: ¿cuándo activarlo y entrar en contingencia y cuándo y cómo volver a la normalidad?

Para finalizar debemos definir un plan de mantención y actualización del BCP. En general, el BCP nos debe permitir contestar al quién, qué, dónde, cuándo y cómo. El BCP no es un proyecto, no es una tarea de una sola vez, no es por un período fijo de tiempo. Debe ser un plan permanente, dinámico, consistente en varios proyectos, interdependientes y reiterativos, al igual que la ciberseguridad.

Si aún no lo has hecho, a continuación puedes leer la primera parte de este post. Descubre también la 5ª temporada de nuestros #11PathsTalks.

¿Preparados para un incidente de ciberseguridad? (parte 1)

El marketing conversacional y los chatbots

Edith Gómez    27 febrero, 2020

En los últimos tiempos, un factor que ha marcado tendencia dentro de las estrategias de marketing ha sido la conversación. Y es que hoy, más que nunca, las marcas creen necesaria la comunicación bidireccional para acompañar al usuario en todo su proceso de compra.

Los usuarios quieren que se los escuche y recibir consejos para después proceder a la compra. De ahí que el marketing conversacional sea una pieza clave para la venta.

Probablemente uno de los medios en los que primero pienses sea el chat. Pero en este post veremos que existen otros canales , qué beneficios tiene este tipo de estrategia y cómo aplicarla a tu negocio para que tus ventas mejoren.

¿Qué es el marketing conversacional?

Se trata de un tipo de marketing que pone en alza el valor que las conversaciones añaden a una experiencia de venta. Y para optimizar esta experiencia, el marketing conversacional trabaja en automatizaciones (mediante una interfaz auditiva o visual), que hacen que el servicio de atención al cliente sea más eficiente y cercano.

El marketing conversacional pretende evitar que el usuario pierda tiempo en resolver su problema en un sitio web mediante complejos formularios, cuya respuesta tarda y a veces no llega.

Su objetivo es iniciar un diálogo con el usuario cuando este lo necesite. Es muy frustrante que un usuario entre en una web y no pueda resolver su duda al momento, porque no hay nadie que le pueda atender. Justo eso puede hacerte perder una venta. ¿Por qué no evitarlo cuanto antes?

Canales para utilizar el marketing conversacional

Entre los canales de conversación actuales que más se utilizan para potenciar este tipo de marketing destacan:

  • Whatsapp.
  • Chats en vivo.
  • Mensajes directos de Facebook o Instagram.
  • Portales cognitivos de voz (asistente virtual en llamadas telefónicas).

Pero es importante que si estableces alguno de estos canales, dispongas de agentes especializados para entablar un diálogo y no dejar a los usuarios sin respuesta.

Una opción aconsejable son los chatbots o bots automáticos, que pueden responder las dudas más frecuentes. Pero para las preguntas más complejas, será necesaria la ayuda de un humano que las resuelva.

Seguro que alguna vez te has encontrado con uno de ellos. Por ejemplo, cuando entras a la fanpage de una marca en Facebook, porque te interesa un producto. Seguramente habrás visto que la marca tiene activado un bot que te dice “hola” y quiere seguir conversando contigo. ¿Te suena, verdad?

Beneficios del marketing conversacional

Estas son algunas ventajas de este tipo de marketing:

  • Una conversación genera confianza.
  • Ahorra tiempo al usuario buscando respuestas y, por tanto, mejora su experiencia.
  • Un bot instalado en tu sitio puede acelerar el proceso de compra de un usuario y generar conversiones.
  • Conocerás mejor al cliente a través de preguntas filtros para aplicar futuras estrategias y detectar mejoras.
  • Los usuarios podrán acceder desde las redes sociales a tus contenidos web.

Cómo aplicar el marketing conversacional a tu negocio

El marketing conversacional sirve para que el equipo de venta de una empresa preste más atención a los detalles: la forma en que se desenvuelven los leads más calientes en una conversación o cuánto saben sobre otros productos que también vendes.

En definitiva, se trata de dar a los usuarios un valor extra, ya sea en una venta o con un soporte técnico.

A continuación, te dejo algunas recomendaciones para aplicar el marketing conversacional.

Integra los canales de mensajería instantánea en tu estrategia de marketing

Por ejemplo, si instalas un bot en tu chat de Facebook, la información que obtengas de estos clientes potenciales te servirá para ofrecer un servicio personalizado.

Pongo el siguiente caso: cuando conoces a un cliente que está interesado en comprar uno de tus productos, gracias al bot sabrás qué le interesa desde un principio, por lo que el proceso de compra será más ágil.

Utiliza menos formularios

Los formularios son fríos y pasivos, porque los usuarios no reciben respuestas al momento. Así que opta por los bots en tu sitio web como soporte técnico o para ofrecer información de interés.

Por ejemplo, si alguien muestra interés en una revista de emprendedores, el chatbot puede recomendarle un ebook sobre “cómo montar una empresa en diez pasos”.

Integra técnicas como el «crosselling» y el «upselling«

Dependiendo de las respuestas del usuario y del grado de interacción, puede ser el momento perfecto para recomendar contenidos o productos complementarios o relacionados, basándote en su última compra.

Piensa que si alguien acaba de comprar en tu tienda unos pendientes, tu bot puede recomendarle un colgante a juego para incrementar tus ventas.

Utiliza chatbots para notificar al responsable de ventas que hay leads calientes

En el momento que un cliente potencial solicita más información y el chatbot lo detecta, este enviará al responsable de ventas una alerta para que se comunique directamente con el lead o prospecto.

Con esta inmediatez ofrecerás una experiencia de cercanía al cliente..

Crea filtros con preguntas frecuentes

Estudia cuáles son las preguntas más frecuentes que hacen tus usuarios, esas que quieres que un bot responda por ti. Y solo cuando las preguntas sean más complejas, entonces deja que un humano se encargue de responderlas e iniciar una conversación que genere un valor añadido.

Sin duda, los bots y chatbots supondrán un gran ahorro para tu empresa.

Aprende a protegerte de un ataque ransomware con estos 5 consejos

Carlos Rebato    26 febrero, 2020

Los ataques de ransomware suelen ser perjudiciales y costosos para los negocios. La buena noticia es que las personas y las organizaciones en general ya son conscientes de la escala de los daños que pueden ocasionar estos ciberataques, por lo que han tomado medidas al respecto.

De hecho, esta puede ser la razón por la que la tasa de éxito de este tipo de malware haya disminuido en un 30% entre abril de 2017 y marzo de 2018. Sin embargo, a pesar de la reducción de efectividad, la cantidad de ataques de ransomware están aumentando todos los años.

¿En qué consiste y cómo actúa el ransomware?

El ransomware es un software malicioso que introduce el atacante en tu dispositivo. Una vez en él, el cibercriminal puede bloquearlo desde una ubicación remota y encriptar tus archivos para quitarte el control de todos los datos almacenados.

Este virus se camufla dentro de un archivo de correo electrónico, en vídeos de algunos sitios web, en sistemas operativos, programas y aplicaciones móviles. Una vez dentro del dispositivo, el virus se activa y bloquea todo el sistema operativo. Al mismo tiempo, lanza un mensaje solicitando un rescate para recuperar la información.

¿Cuáles son los tipos de ransomware?

Existen decenas de tipos de ataques de ransomware, pero ESET (2019) establece que los siguientes son los más comunes:

  • Filecoder: cifra los archivos del equipo y pide un rescate en criptomonedas para dar acceso a los archivos. El virus Ryuk que atacó la Cadena Ser es un ejemplo de Filecoder. Según Rojas E. (2019), este virus bloqueo la red informática de la empresa y pidió un rescate de 1.5 millones de euros en Bitcoin.
  • Lockscreen: en lugar de bloquear los archivos, Lockscreen bloquea todo el equipo.
  • Wiper: es uno de los ataques más peligrosos ya que nunca devuelve el acceso a los archivos. Al contrario, los elimina, los corrompe o impide el acceso a la información.
  • Hoax Raomsware: combina el secuestro con un engaño. En realidad, no cifra ningún archivo, sino que utiliza técnicas psicológicas para asustar a la víctima y provocar el pago del rescate. Un ejemplo de este tipo de ataque es el famoso “virus de la policía”. Panda Security (2018) explica que este virus envía un mensaje en la pantalla simulando ser la Policía Nacional. El atacante notifica a la víctima que, desde su equipo, se ha detectado algún tipo de actividad ilegal. Luego, exige el pago de un rescate por concepto de multa.

5 consejos para protegerse de un ataque ransomware

No existe un grupo de reglas infalibles para evitar un ataque de ransomware. Sin embargo, los siguientes consejos te ayudarán a proteger tus equipos de este malware:

1. Actualiza el sistema operativo y las aplicaciones

La mayoría de los proveedores, de las aplicaciones y sistemas operativos, incluyen parches de seguridad en sus actualizaciones. Si ignoras las actualizaciones, estarás poniendo en riesgo tu equipo.

2. Capacita a tu personal sobre el peligro de un ataque ransomware

Un estudio de Verizon (2019) revela que la tasa de clic en simulaciones de phishing cayó de un 24% al 3% en los últimos siete años. Desafortunadamente, el cibercriminal solo necesitará que uno de los usuarios descargue el archivo para infectar a toda la red. Por esta razón, es vital que tu empresa cuente con un programa de capacitación en ciberseguridad.

3. ¿Cómo evitar pagar el rescate en un ataque ransomware? Realiza una copia de seguridad

Hacer una copia de seguridad o back up puede evitarte pagar un rescate. Puedes hacer copias de seguridad periódicas en un disco duro o en una unidad NSA. También puedes aprovechar las ventajas de un servicio de almacenamiento en la nube como Azure de Microsoft o el Amazon Web Service.

4. Implementa un software de seguridad

Un software de seguridad o firewall te ayuda a rastrear, bloquear y tratar el ransomware y otras formas de malware. Sin embargo, Drolet (2019) dice que este software también debe configurarse correctamente y mantenerse actualizado.

5. ¿Cómo evitar un ataque de ransomware? Mantente alerta ante las técnicas de manipulación social

Si recibes un correo electrónico de un sitio web de origen dudoso, bórralo sin abrir el archivo adjunto. Asimismo, evita los mensajes que te inviten a hacer clic en vínculos que llevan a sitios web maliciosos. Además, Empey (2018) recomienda que cuando vayas a facilitar datos personales, debes asegurarte que la página tiene habilitado el protocolo HTTPS. Las actualizaciones de sistemas, la capacitación del personal, realizar back up’s y los software’s de seguridad no siempre te ayudarán. Por lo tanto, tu equipo de TI debe vigilar las brechas de seguridad de todo el sistema, en todo momento. Por último, ten en cuenta que proteger tus activos tecnológicos debe ser un trabajo constante.

Foto de Michael Geiger en Unsplash

Scratch, programación al alcance de todos (parte 1)

Sergio Sancho Azcoitia    26 febrero, 2020

Scratch es un lenguaje y plataforma para la introducción a la programación que ha adquirido bastante popularidad durante los últimos años. Es un proyecto desarrollado por el MIT con la idea de acercar el mundo de la programación hasta los más jóvenes. De hecho, se desarrolló pensando en los jóvenes de entre 8 y 16 años que tienen curiosidad por el mundo de la programación. Tras su éxito entre el público joven, se desarrolló una versión junior para que hasta los más pequeños (a partir de 5 años) pudiesen comenzar a hacer sus pinitos y a explorar este interesante mundo.

El éxito de Scratch proviene de su sencillez, ya que cuenta con una estructura de bloques con aspecto de puzle que hace que sea sencillo asociar qué bloques se pueden poner juntos y cuáles no. Este método de programación por bloques también reduce bastante la posibilidad de que los programas no compilen por fallos de sintaxis, sin duda uno de los mayores quebraderos de cabeza en el mundo de la programación. 

Editor de Scratch
Figura 1: editor de Scratch

Otra de las ventajas que ofrece su estructura de bloques es que, al contrario que con lenguajes de programación como Python o Java, se puede escoger el idioma en el que se programa, ya que los bloques ya están preestablecidos. Actualmente Scratch está disponible en más de 40 idiomas y cuenta con una aplicación que te permite trabajar en tus proyectos cuando no tienes conexión a internet.

Scratch cuenta con una gran comunidad en línea que permite a los usuarios compartir sus proyectos y dejar que la gente inspeccione su código. Esta función permite realizar una gran curva de aprendizaje, además de la posibilidad de dar y recibir consejos o críticas constructivas de otros programadores experimentados. Esto ha convertido Scratch en una de las herramientas escogidas por varios colegios e institutos para enseñar a programar a sus alumnos.

Comunidad en Scratch
Figura 2: Comunidad en Scratch

Al igual que en otros softwares de programación, Scratch permite añadir algunas extensiones con las que aumentar todavía más su potencial. Algunas de las extensiones más populares están orientadas a la programación de dispositivos físicos como las placas de MicroBit o los kits de robótica fabricados por LEGO. Además de las extensiones que ya existen, Scratch irá añadiendo extensiones nuevas con sus respectivas guías de uso, ofreciendo cada vez más posibilidades de desarrollo a la comunidad.

Scratch es de software libre y es Open Source, podrás encontrar el código fuente de su versión actual y el de las versiones 1.4 y 2.0 en su GitHub. Al utilizar esta plataforma también podrás reinventar o remezclar proyectos de otros autores: si encontramos un proyecto que nos guste de otro editor, podremos modificarlo a nuestro gusto, adaptándolo a nuestras necesidades. La única condición para ello es dar crédito al creador del proyecto original. Como Scratch es gratuito y no requiere de licencias para su uso, se financia a través de donaciones y becas.

Scratch Chess - Game of Kings
Figura 3: Es posible investigar y reinventar proyectos

El software libre no es siempre gratis. Por suerte, en el caso de Scratch sí que lo es y además está permitido utilizarlo para impartir cursos de programación (gratuitos o de pago) y utilizar imágenes o capturas del programa en guías de aprendizaje o libros de texto. La única condición para hacerlo es dar crédito a los desarrolladores del programa, añadiendo la frase: “Scratch es un proyecto de Scratch Foundation, en colaboración con el Lifelong Kindergarten Group del MIT Media Lab. Está disponible gratis en https://scratch.mit.edu

Scratch es sin duda una potente herramienta y una de las mejores opciones de introducción a la programación. Ahora que sabes qué es Scratch, en la segunda parte de este post te enseñaremos cómo funciona su estructura de bloques, y en la tercera parte, aprenderás a crear un juego de preguntas y respuestas enfocado a la ciberseguridad:

Scratch, programación al alcance de todos (parte 2)