Typosquatting: cómo detectarlo y protegerse

Nacho Palou    7 junio, 2023

El typosquatting es un tipo de ciberataque que consiste en crear un nombre de dominio que sea muy similar al de un sitio web conocido y legítimo con la intención de engañar a los usuarios.

Este tipo de nombre de dominio engañoso puede utilizarse también en direcciones de correo electrónico para que parezcan legítimas a simple vista, pero que son falsas.

«Typosquatting» es una combinación de las palabras «typo» (errata o error tipográfico) y «squatting» (ocupación).

Para llevar a cabo el engaño el atacante puede aprovecharse de errores comunes, de ortografía o producidos al teclear. Estos errores pueden omitir o cambiar el orden de las letras. También pueden sustituir caracteres, reemplazando letras visualmente similares. Lo que sea para crear un nombre de dominio que lleve a engaño. Por ejemplo:

  • Cambiar un «l» o una «i», la «o» por un «0» (cero) o utilizar «rn» en lugar de una «m».
  • Registrar el mismo dominio pero con diferente extensión, como «.co» en lugar de «.com».
  • Utilizar un nombre de dominio de similar apariencia, como goggle.com en lugar de google.com
Ejemplo de typosquatting en un SMS

Además, “en este tipo de ataques es muy común el uso de escrituras alternativas o de palabras con doble ortografía y también el uso de caracteres especiales, como guiones», explica Susana Alwasity, Threat Intelligence Team Lead de Telefónica Tech.

En este caso, por ejemplo:

  • Si el dominio legítimo es bancoXonline.com un typosquatting podría ser bancoX-online.com

En cualquier caso, el propósito del atacante es engañar a los usuarios para que visiten el sitio falso creyendo que están en el sitio web legítimo.

Desde ese sitio web (que puede ser igual e incluso un duplicado del sitio original) los atacantes pueden distribuir apps y software malicioso (malware) o robar información como credenciales de inicio de sesión, números de tarjetas bancarias o información personal.

¿Cómo se utiliza el typosquatting en los ciberataques?

El typosquatting es una técnica popular utilizada por los ciberdelincuentes para lanzar diferentes ataques, incluyendo:

  • Ataques de phishing: Los atacantes pueden crear una página de inicio de sesión falsa que se parece a la página de un sitio web legítimo. Cuando los usuarios escriben sus credenciales de inicio de sesión en la página falsa, el atacante se hace con ellas para utilizarlas con fines maliciosos.
  • Distribución de malware: Los atacantes pueden crear un sitio web falso que solicita a los usuarios que descarguen un archivo o un software. Cuando los usuarios descargan e instalan ese archivo en realidad están instalando en su ordenador o dispositivo un programa malicioso, sin saberlo.
  • Fraude publicitario: Los atacantes pueden crear un sitio web falso que genera ingresos publicitarios engañando a los usuarios para que hagan clic en anuncios. El atacante gana dinero por cada clic, aunque los anuncios sean irrelevantes o perjudiciales.

“Además del robo de información personal, que puede derivar en ataques de suplantación de identidad, el typosquatting también puede tener como objetivo redirigir el dominio a otro destino o el chantaje y los ataques reputacionales contra empresas o las personas”, explica Susana.

El caso de la policía nacional de Islandia

Un ejemplo de ataque de phishing basado en typosquatting tuvo lugar en Islandia en 2018. Entonces, los ciberatacantes utilizaron un nombre de dominio similar al dominio oficial de la policía nacional de Islandia (Lögreglan, en islandés) para engañar a los ciudadanos.

En este caso, los atacantes registraron un dominio que sustituía la “l” por una «i» (logregIan.is en lugar de logreglan.is), por lo que a simple vista perecía el dominio legítimo de la policía del país. Pero no lo era.

Igual que sucede en el párrafo anterior, en el email la «i» de la URL estaba escrita en mayúscula («I») para que pareciera una «l». A simple vista, y aprovechando que a veces nuestro cerebro lee palabras que no son, muchos destinatarios no detectaron el engaño.

Al convertir el texto a versalitas se descubre el engaño: lo que parece una «L» minúscula es en realidad una «i» en mayúscula.

Después, utilizaron ese dominio para crear un sitio web falso que era exactamente igual que el sitio web legítimo. Y enviaron correos electrónicos de phishing donde solicitaban al destinatario que accediese a esa URL e introdujese información personal.

La historia completa y el análisis del ataque se puede encontrar en Police Phishing Attack Targets Bank Credentials.

¿Cómo detectar y protegerse del typosquatting?

Muchas veces, como sucedió en el caso de Lögreglan, no es fácil detectar y protegerse del typosquatting. Pero seguir estas recomendaciones de nuestros expertos de Telefónica Tech ayuda a reducir el riesgo:

  • Observa a la URL antes de acceder a un sitio web o la extensión del correo del remitente cuando se trata de un email: busca errores de ortografía u otros elementos sospechosos tanto el nombre de dominio como en su extensión TLD (.com, .es, .co…)
  • Copia y pega manualmente las URL de los enlaces recibidos por email: así se evita que la URL de destino maliciosa quede oculta bajo un texto enlazado o ancla.
  • En caso de duda sobre lo que pone realmente en una URL o dirección de email, cópiala y pégala en un procesador de textos como Word: cambiar la tipografía ayuda a detectar engaños visuales porque algunas tipografías revelan mejor que otras las diferencias entre caracteres. También ayuda convertir el texto a mayúsculas versalitas. Además Word detecta el idioma, muy útil cuando el typosquatting utiliza letras del alfabeto cirílico.
Aunque de igual apariencia, las letras ‘A’ y ‘J’ del alfabeto cirílico son caracteres distintos a la ‘A’ y la ‘J’ del alfabeto latino.
  • Utiliza un gestor de contraseñas: los gestores de contraseñas introducen automáticamente las credenciales de acceso o inicio de sesión solo en los sitios legítimos, aquellos en los que se generó la credencial.
  • Instala un software antivirus: son útiles para detectar y bloquear sitios web maliciosos que podrían utilizarse en ataques de typosquatting.
  • No te fíes del ‘candadito’ 🔒 en la barra del navegador: «Si el servidor suplanta a otra empresa con un certificado falso el ‘candadito’ no aporta seguridad,» explica nuestro experto Sergio de los Santos.
  • Activa la autenticación de dos factores: la autenticación de doble factor agrega una capa adicional de seguridad, dificultando que los atacantes roben las credenciales de inicio de sesión en sitios web o apps.
  • Habilita Google Passkeys: se trata de un método de identificación o de inicio de sesión de Google que combina en el mismo proceso las ventajas de los gestores de contraseñas y de la autenticación de doble factor.

Es importante revisar cualquier mínimo detalle en una URL y desconfiar por pequeño que parezca el error. Conviene invertir tiempo en prevenir, dado que las consecuencias pueden ser dañinas e irremediables.” —Susana Alwasity, Telefónica Tech.

¿Cómo protege Google Passkeys contra el typosquatting?

Google Passkeys genera contraseñas únicas y complejas para cada sitio web que visita el usuario. Cuando el usuario visita un sitio web, Google Passkeys completa automáticamente las credenciales de inicio de sesión, como el nombre de usuario y la contraseña.

Con Google Passkeys no es necesario ni recordar ni escribir la contraseña en apps y sitios web, lo que minimiza el riesgo de que el usuario teclee por error sus credenciales de inicio de sesión en un sitio web falso.

Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas

Siguiendo con el ejemplo anterior, si un usuario que intenta visitar google.com acaba por error en goggle.com Google Passkeys no funcionará porque existe una diferencia en el dominio. De modo que no introducirá automáticamente las credenciales de inicio de sesión. Si sucede esto lo mejor es abandonar el sitio web, sin intentar introducir a mano las credenciales.

Conclusión

El typosquatting es una ciberamenaza que puede resultar en robo de identidad o de cuentas, pérdidas económicas y de reputación o que puede desembocar en el secuestro de datos con petición de rescate (ransomware), entre otras posibles consecuencias.

Por tanto, siempre es importante prestar atención a las URL y a las direcciones de email que puedan resultar sospechosas o de origen desconocido, para minimizar el riesgo y protegerse de este tipo de ciberataque.

Imagen de apertura de Freepik.

Qué es el Esquema Nacional de Seguridad (ENS) y a quiénes afecta

Lluis Serra    6 junio, 2023

En un anterior artículo hablaba de los puntos que debe abordar una auditoría interna para conseguir la Certificación del Esquema Nacional de Seguridad (ENS), para empresas que sean proveedoras del sector público. Pero ¿qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad es un conjunto de políticas y normas que establece las medidas necesarias para garantizar la seguridad de la información en el ámbito de la Administración Pública en España. Con él se trata de «asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos».

Su última modificación, por Real Decreto RD 311/2022 de 3 de mayo de 2022, constituye una de las medidas del paquete de actuaciones urgentes. Su objetivo es reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas del sector público y de las entidades privadas que colaboren con éste en la prestación de servicios o en el suministro de tecnología.

El ENS es de aplicación obligatoria para todas las empresas del sector público estatal, autonómico y local, empresas del sector privado que suministren servicios o provean de soluciones a la Administración Pública y sistemas que traten con información clasificada.

Una de las razones para crear el ENS es la intensificación de las ciberamenazas y ciberincidentes dentro del marco estratégico de ciberseguridad. El avance de las nuevas tecnologías y la evolución de muchas empresas en transformación digital han sido uno de los principales motivos.  

Defensa frente a las ciberamenazas

El objetivo del ENS es crear las condiciones necesarias de confianza y protección en el uso de los sistemas electrónicos y medios de comunicación. Promover la gestión de la seguridad, prevenir, detectar y dar respuesta ante posibles incidentes de seguridad para garantizar la confidencialidad, integridad y protección de la información de los servicios a través de Internet.

Las guías del Centro Criptológico Nacional (CCN-STIC) comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas. Con ellos se proporciona a las empresas herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y cómo ayudar a mejorar el cumplimiento de sus disposiciones.

Los principios básicos del ENS para garantizar que una empresa pueda cumplir los objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información se basan en la gestión de la seguridad, conservación, prevención, detección y respuesta. También en la existencia de líneas de defensa y de vigilancia continua.

Tres grupos de medidas de seguridad

El ENS estructura las medidas de seguridad en tres grupos:

  • El marco organizativo: está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, tales como la política, la normativa y el procedimiento de seguridad y el proceso de autorización.
  • El marco operacional, formado por las medidas para proteger la operación del sistema. Incluye la planificación, el control de accesos, servicios externos y en la nube y la monitorización.
  • Y, por último, las medidas de protección, que se centran en la salvaguarda de activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad. Se refiere a las instalaciones e infraestructuras, la gestión del personal, la protección de equipos, soportes, aplicaciones, información, servicios y de comunicaciones.

Requisitos para proteger la información

Los requisitos mínimos para permitir una protección adecuada de la información y los servicios son:

Política de seguridad: debe definir los objetivos y principios generales de la seguridad de la información, así como la estrategia para alcanzarlos.

Análisis y gestión de riesgos: se han de identificar los activos y los riesgos asociados a la información que manejan, y establecer medidas para gestionarlos adecuadamente.

Sistemas de gestión de la seguridad de la información: su finalidad es planificar, implementar, revisar y mejorar continuamente las medidas de seguridad.

Medidas de seguridad: se deben aplicar medidas de seguridad técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de la información, tales como controles de acceso, cifrado, copias de seguridad y recuperación de desastres.

Planes de contingencia y continuidad del negocio, que permitan restaurar la normalidad de las operaciones en caso de interrupciones o desastres.

Designación de responsables de seguridad de la información, que se encarguen de garantizar el cumplimiento de las medidas de seguridad establecidas.

¿A quién se aplica el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad (ENS) se aplica a toda la Administración General del Estado (AGE), las comunidades autónomas, las administraciones locales, las entidades de derecho público y a los ciudadanos relacionados con el sector público.

También se aplica a todas las empresas proveedoras de servicios a la Administración Pública, incluyendo las que prestan servicios de tecnología de la información y comunicaciones, servicios en la nube, de gestión de procesos empresariales, etc.

«El ENS es de aplicación obligatoria para todas las entidades y empresas que manejan información clasificada, así como para aquellas que manejan información que, aunque no esté clasificada, es crítica o estratégica para la gestión y el funcionamiento de la Administración Pública».

También se recomienda su aplicación a otras entidades y empresas que manejen información sensible y que deseen mejorar su seguridad de la información.

En resumen, cualquier empresa de servicios que trabaje con la Administración Pública está obligada a pasar una auditoría interna para adaptarse al Esquema Nacional de Seguridad. 

Imagen de creativeart en Freepik

Qué es un invierno-IA y cómo evitarlo

Nacho Palou    6 junio, 2023

A lo largo de su historia el desarrollo de la Inteligencia Artificial (IA) ha experimentado altibajos: momentos en los que ha recibido más atención y recursos y momentos de desilusión y estancamiento.

Estos períodos de pérdida de interés por la Inteligencia Artificial se conocen como invierno-IA («AI-winter»). Hasta ahora se han identificado dos inviernos-IA en los últimos 50 años, y tenemos el reto de evitar un tercero.

Consecuencias de un invierno-IA

Durante los inviernos-IA la desilusión por la Inteligencia Artificial se traduce en un desinterés generalizado. Desinterés que resulta en la reducción de apoyo y financiación para su investigación y desarrollo.

En esos períodos que duran años apenas hay avances significativos. Y los pocos que hay acaban en decepción. Incluso después de un momento de gran entusiasmo, en un invierno-IA la Inteligencia Artificial desaparece de la conversación y de los medios de comunicación.

Actualmente la Inteligencia Artificial vive una explosión ‘cámbrica’ que algunos califican como hype e incluso burbuja. En cualquier caso estamos en un período de altas expectativas. Todo lo opuesto a un invierno-IA. Y precisamente porque es un patrón ya conocido, la pregunta es inevitable: ¿estamos a las puertas de un tercer invierno-IA?

Inviernos-IA a lo largo de la historia

Los expertos identifican dos AI-winters. Los dos después de avances notables y de momentos de euforia por parte de la industria, los medios y el público:

Imagen generada con Bing
  • Primer AI-winter, finales de la década de 1970 y principios de la década de 1980: Durante este período las expectativas respecto a la Inteligencia Artificial también eran altas. Pero los avances no cumplieron con las promesas, exageradas por la ciencia-ficción. Como resultado, hubo una disminución significativa en la financiación y en el interés por la investigación y el desarrollo de la Inteligencia Artificial.
  • Segundo AI-winter, finales de la década de 1980 y primera mitad de la década de 1990: Después del primer AI-winter resurgió el interés por la Inteligencia Artificial. De nuevo, las expectativas fueron mayores que los logros. La falta de avances significativos y esa diferencia entre expectativa y realidad propiciaron un nuevo período de desilusión y desinterés.

En 1996 Deep Blue, el superordenador de IBM, venció por primera vez al entonces campeón del mundo en ajedrez, Gary Kaspárov.

Factores que podrían propiciar un ‘Tercer Invierno-IA’

Algunos escépticos no descartan la posibilidad de que, tras el actual periodo de altas expectativas, se produzca un tercer invierno-IA. Sobre todo porque en esta oleada entran en juego nuevas variables. Incluyendo las relativas a la privacidad, la seguridad o a la ética.

Esto es debido a que esta vez la Inteligencia Artificial no solo está encontrando aplicabilidad en las empresas, también para el público general. Es el caso de los asistentes digitales o de la Inteligencia Artificial Generativa, formas de IA muy accesibles para el usuario final.


Esta aplicabilidad generalizada de la Inteligencia Artificial debería descartar un nuevo invierno-IA, pero hay factores que podrían propiciarlo. Y el primero es el miedo.

  • Miedo: a medida que la Inteligencia Artificial se vuelve más avanzada y capaz surgen temores y se propagan noticias en torno a las preocupaciones y miedos sobre su impacto en la sociedad: miedo a una IA descontrolada, a la pérdida de empleos, a la invasión de la privacidad, a la falta de transparencia… y al siempre presente escenario distópico.

Estos temores pueden generar desconfianza y escepticismo en torno a la tecnología. Pero hay más factores que pueden propiciar un tercer invierno-IA:

  • Legislación restrictiva en torno a la Inteligencia Artificial: Si se implementan regulaciones excesivamente restrictivas o mal concebidas se podría dificultar la investigación y el desarrollo de la Inteligencia Artificial, limitando la innovación y el progreso.
  • Escasez de datos de calidad: La Inteligencia Artificial se basa en grandes cantidades de datos, que se utilizan para entrenar y “enseñar” a los algoritmos. Si hay una falta de datos relevantes y de calidad en ciertos dominios, o si los datos no tienen en cuenta las diferencias demográficas y sociales, podría obstaculizar el desarrollo de modelos de Inteligencia Artificial de confianza.
  • Limitaciones técnicas: Una potencia computacional limitada, una escasa eficiencia energética, la falta de escalabilidad de los algoritmos o fenómenos técnicos como las alucinaciones de la Inteligencia Artificial podrían ralentizar su avance.
Empieza ya a programar Inteligencia Artificial: lenguajes, herramientas y recomendaciones

Claves para evitar un invierno-AI

  • Legislación equilibrada. Las regulaciones deben abordar las preocupaciones legítimas en torno a la Inteligencia Artificial (incluyendo las referentes a privacidad, seguridad o no-discriminación) pero sin obstaculizar su desarrollo y beneficios potenciales. La colaboración entre legisladores, expertos en Inteligencia Artificial y la industria es imprescindible para lograr ese equilibrio.
  • Apoyar la formación y los avances tecnológicos. Invertir en investigación y desarrollo para impulsar avances tecnológicos significativos requiere fomentar la investigación académica y la colaboración entre industria e instituciones. También acercar esta formación también a niños y estudiantes jóvenes.
  • Fomentar una Inteligencia Artificial de confianza. Es esencial abordar las preocupaciones en torno a la privacidad y la seguridad y su impacto social. Además la ética, la transparencia, la explicabilidad, junto con la responsabilidad y la gobernanza adecuada, son principios imprescindibles para evitar un AI-winter.

Aunque es difícil predecir un nuevo AI-winter, es necesario aprender del pasado y tomar medidas para mantener el progreso sostenible de la Inteligencia Artificial.

Solo de este modo podemos evitar un tercer AI-winter y aprovechar todo el potencial de progreso que nos ofrece esta tecnología.

Imagen de apertura generada con Bing.

Iníciate en Inteligencia Artificial generativa (y responsable) con estos cursos gratuitos de Google

Construyendo resiliencia con tecnología

Jorge A. Hernández    5 junio, 2023

La resiliencia no es un concepto tecnológico, pero su importancia se ha vuelto transversal, como un elemento cultural en la formación de las empresas y como una filosofía para soportar los momentos difíciles. Y como casi todo, existe una tecnología para ayudar en eso.

Definida por la Real Academia Española de la Lengua como la «capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos», su significado en términos empresariales no es tan diferente y, sobre todo, es el resultado de un esfuerzo permanente.

Para ser más exactos, la resiliencia empresarial se refiere a la capacidad de una empresa para enfrentarse al riesgo, garantizando su supervivencia a largo plazo. Esto incluye sucesos desfavorables donde debe adaptarse a la nueva situación. Y si quiere un ejemplo más concreto, basta recordar la Transformación Digital originada por la pandemia.

Pero la resiliencia no es algo que surge de la noche a la mañana. En 2005, la editorial del MIT (Instituto Tecnológico de Massachusetts) publicó un texto de Yossi Sheffi titulado «The Resilient Enterprise«, donde este investigador encontró que la suerte de las empresas ante las crisis depende más de las decisiones tomadas antes de la perturbación que de las medidas adoptadas en medio de ella.

¿Cómo entra la tecnología?

La tecnología por sí sola no resuelve nada, es una herramienta destinada a un fin práctico y en los procesos empresariales esta tendencia se mantiene. Por ello, el punto de partida para una organización, frente a las adversidades, es construir una estructura redundante, dividida en capas que permita detectar las anomalías para responder a tiempo frente a ellas.

El trabajo de Yossi Sheffi resalta además la importancia de tener procesos estandarizados y modulares que permitan fortalecer las relaciones con las cadenas de suministro. Las soluciones tecnológicas deben seguir los mismos principios, deben ser productos probados, certificados que hayan demostrado flexibilidad y capacidad para responder ante entornos desafiantes.

Lo segundo es priorizar. ¿Qué soluciones son las más críticas en su empresa? ¿Cuáles deben regresar primero en operación en caso de un desastre? ¿En cuánto tiempo está definido su RTO (Recovery Time Objective)? No son respuestas fáciles, pero cuanto más claras las tenga, más fácil será elaborar un plan para prevenir y responder ante crisis.

Un viaje y sus componentes

La firma analista McKinsey define la resiliencia como un viaje con etapas: una resiliencia ad hoc, una resiliencia pasiva, una resiliencia activa y una resiliencia inherente por diseño. Donde la primera es dejada a individuos, la segunda corresponde a procesos manuales de respaldo, la tercera presenta una sincronización automática y la última corresponde a una arquitectura con un monitoreo activo permanente.

En esencia, las soluciones tecnológicas deben reforzar las cualidades de las organizaciones para hacerlas más fuertes, incluyendo variables como visibilidad, colaboración y predicción de escenarios.

Para lograrlo, hay varios métodos. Por ejemplo, es posible usar tecnologías de blockchain, IoT y analítica para hacer los procesos más transparentes. Es posible contar con soluciones de comunicaciones en la nube que garanticen una operación y colaboración permanente. Por último, la Inteligencia Artificial y la analítica se destacan por sus capacidades para revisar y detectar patrones y anomalías adelantándose a los problemas.

Pero los retos no terminan allí, ninguna empresa funciona sola, aislada en el universo. Si los proveedores fallan, también lo hará la cadena de producción. En otras palabras, la resiliencia es una filosofía colectiva que no solo debe estar presente en toda la organización, sino también en el ecosistema de los socios de negocios.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a impulsar la transformación de tu negocio ingresa aquí.

Foto de freepik

El poder de la digitalización sostenible en la lucha contra el cambio climático

Nacho Palou    5 junio, 2023

El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de sus consecuencias más visibles son las catástrofes naturales, las alteraciones en la producción de alimentos y su impacto en los mercados energéticos.

Sin embargo, en este escenario, las tecnologías digitales de nueva generación ofrecen soluciones para combatir el cambio climático y mitigar sus consecuencias: Inteligencia Artificial, Cloud, Big Data, Internet de las Cosas (IoT) o conectividad 5G ultraeficiente son algunas de las innovaciones habilitadoras de una digitalización sostenible. Pueden ayudarnos a descarbonizar la economía, a optimizar el uso de energías renovables y a proteger los recursos naturales.

Digitalización sostenible para una transformación verde

En Telefónica Tech tenemos el compromiso de desarrollar soluciones digitales que protejan, optimicen y reutilicen recursos naturales con el menor impacto medioambiental: casi dos de cada tres soluciones de nuestro porfolio cuentan con el sello Eco Smart, verificado por AENOR.

Sello Eco Smart identifica a aquellos productos y servicios diseñados para impulsar una digitalización verde, generando un menor consumo de agua y energía, fomentando la economía circular y reduciendo las emisiones causantes del ‘efecto invernadero’.

Además, con nuestras soluciones promovemos la eficiencia energética, la agricultura sostenible o el transporte eficiente.

Las tecnologías digitales de nueva generación pueden contribuir a reducir en un 20% las emisiones de CO2 para 2050.

Fuente: Accenture & World Economic Forum.
Repensar el consenso para un Blockchain más sostenible: de PoW a PoS

El impacto de las tecnologías de nueva generación

La aplicación de tecnologías digitales de nueva generación tiene el potencial de reducir las emisiones mundiales entre un 15% y un 35% en los próximos años.

Estas tecnologías permiten mejorar la gestión, control y actuación en tiempo real en diversos sectores, como el industrial, energético y de servicios públicos.

Imagen de Freepik

Por ejemplo, cuando nuestras tecnologías digitales se aplican a:

  • Suministro de agua: pueden optimizar la distribución y reducir las pérdidas, lo que es especialmente relevante en un contexto de escasez de agua potable debido al cambio climático.
  • Infraestructuras, como las de de gas natural para reducir las fugas y la liberación de gases de efecto invernadero, optimizar distribución de energía, incluyendo las de origen renovable, o el alumbrado público, entra otras.
  • Sector agrícola, muy expuesto al impacto creciente del cambio climático. Habilitan la agricultura inteligente y de precisión, que optimiza el uso de recursos como el agua y los químicos reduciendo los costes.
  • Espacios de trabajo, transforman la forma en que trabajamos: reducen los desplazamientos diarios, los consumos energéticos y las emisiones de CO2 asociadas. Además, la digitalización de documentos y la reducción del uso de papel tienen un impacto positivo en el medio ambiente.
Ingredientes para las Ciudades Inteligentes del presente

Hacia un futuro sostenible y resiliente frente al cambio climático

La digitalización sostenible se presenta como una poderosa herramienta para combatir el cambio climático y sus consecuencias.

Con la aplicación de estas soluciones, podemos

  • Proteger nuestros recursos naturales, como el agua.
  • Optimizar las operaciones, las rutas logísticas y los procesos industriales y productivos.
  • Reducir las emisiones contaminantes y de efecto invernadero.
  • Generar oportunidades de progreso para todos.

Por tanto, es fundamental seguir impulsando la innovación tecnológica y fomentar la colaboración entre los sectores público y privado, para lograr una transición exitosa hacia un futuro más sostenible y resiliente frente al cambio climático.

Cloud Computing como factor clave para un futuro más sostenible

Foto de apertura: Nikola Jovanovic / Unsplash

¿Qué es el shadow data y por qué debemos tenerlo en cuenta?

Jorge A. Hernández    2 junio, 2023

Aunque se habla mucho de los riesgos del Shadow IT, existe una variable que puede ser aún más peligrosa y que tiene que ver con la información. Bienvenidos al mundo del Shadow Data.

Recordemos que el Shadow IT se refiere al uso de equipos tecnológicos, hardware y software, por parte de los empleados de una empresa sin autorización o aval del departamento de sistemas. Piense, por ejemplo, en el teléfono inteligente, Dropbox, etc.

El Shadow Data va más allá y se refiere a los datos que son creados, almacenados o utilizados sin autorización o ni siquiera consideración por parte de una organización. En otras palabras, información que no está cubierta por la política de datos de una empresa.

Y no es un problema aislado. Estudios han encontrado que el Shadow Data es la principal preocupación del 68% de los profesionales de seguridad en la nube. Esto se debe a que la diversificación de tecnologías en este campo ha hecho que, a veces, se pierda visibilidad sobre estos recursos.

Algunos ejemplos

A diferencia del Shadow IT, donde puede ocurrir por descuidos individuales, el Shadow Data puede generarse desde arriba. Incluso existe una denominación, los Data Shadow Systems, que son equipos donde un miembro, con más habilidades técnicas que sus compañeros, tiende a crear documentos o herramientas para ayudar a los demás.

Las consecuencias que estos equipos suelen dejar, a pesar de sus buenas intenciones, son silos de datos aislados, muchas veces con información estratégica y confidencial de la compañía. Otras fuentes habituales de Shadow Data son el exceso en el intercambio de documentos.

Como ejemplo, expertos en seguridad de la firma Elástica, una empresa adquirida posteriormente por Symantec, encontraron que el 25% de los documentos de un usuario se compartían ampliamente dentro de la empresa e incluso con contratistas externos.

Otros casos comunes son los programas piloto, donde la información, si no se elimina cuidadosamente, puede convertirse en Shadow Data, o las migraciones de plataformas tecnológicas, que suelen dejar información desprotegida. O puede ser simplemente la ausencia de una cultura de seguridad y datos.

La diferencia con la Data Shadow

Aunque sus nombres son casi idénticos, la Data Shadow es un asunto diferente. Hablamos en este caso de los pequeños rastros de información que deja el usuario en su vida diaria. Se parece a la Digital Shadow en el sentido de que es la información que circula por Internet sobre un usuario en particular.

Y no solo se trata de sus datos estatales, también de la actualización de su perfil en redes sociales, los newsletters que consulta con frecuencia, sus pagos con tarjeta de crédito, etc. En resumen, tiene que ver con los datos que conforman la huella digital de las personas.

Ambas sombras demuestran que es más importante que nunca valorar nuestros datos, nuestra interacción con ellos y a quién se los confiamos. Después de todo, el mundo ya es digital.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a proteger la integridad de tus proyectos ingresa aquí.

Foto de rawpixel-com

Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio

Telefónica Tech    2 junio, 2023

Descubierta puerta trasera en cientos de placas base Gigabyte

Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte, un reconocido fabricante taiwanés.

Cada vez que se reinicia una máquina con una de estas placas base, se activa silenciosamente una aplicación de actualización descargada y ejecutada por el firmware de la placa, lo que permite la instalación de otro software, posiblemente malicioso.

El firmware de estos sistemas elimina un binario de Windows al iniciar el sistema operativo y descarga y ejecuta otra carga útil desde los servidores de Gigabyte a través de una conexión insegura sin verificar la legitimidad del archivo.

Se identificaron 271 versiones diferentes de placas base como vulnerables. Aunque la función parece estar relacionada con el Gigabyte App Center, es difícil descartar la posibilidad de una puerta trasera maliciosa debido a la falta de autenticación adecuada y el uso de conexiones HTTP inseguras en lugar de HTTPS, lo que podría permitir ataques man-in-the-middle.

Incluso si Gigabyte soluciona el problema, las actualizaciones de firmware pueden fallar en las máquinas de los usuarios debido a su complejidad y dificultad para emparejarse con el hardware. Además, el actualizador podría ser utilizado maliciosamente por actores en la misma red para instalar su propio malware.

Más info

Inteligencia Artificial, ChatGPT y Ciberseguridad

Campaña de SharpPanda contra el G20

Cyble ha publicado una investigación en la que comparte sus hallazgos sobre la campaña que está desarrollando actualmente el grupo de espionaje SharpPanda, supuestamente respaldado por el gobierno chino, contra los países miembros del G20 (el foro internacional que reúne a los países más industrializados del mundo junto con organizaciones como la ONU o el Banco Mundial).

Según explica Cyble, la campaña empieza con la distribución de emails a altos funcionarios de los países objetivo en los que se incluye un archivo .docx supuestamente generado por el G7 (grupo de países dentro del G20). Este archivo descarga un documento RTF que incluye el kit de malware RoyalRoad.

El exploit crea una tarea programada y ejecuta un downloader de malware DLL, que ejecuta otra DLL del Command & Control (C2). RoyalRoad aprovecha un conjunto específico de vulnerabilidades, incluidas CVE-2018-0802 , CVE-2018-0798 y CVE-2017-11882 , dentro de Microsoft Office. 

Más info

Vulnerabilidad 0-day explotada activamente en Email Security Gateway durante meses

Recientemente Barracuda emitió un comunicado en el que advertía a sus clientes sobre una vulnerabilidad 0-day activamente explotada en su activo Email Security Gateway. En concreto, dicho fallo de seguridad fue identificado como CVE-2023-2868 y se señala que su aprovechamiento podría permitir a un atacante remoto realizar ejecución de código en sistemas vulnerables.

Sin embargo, han surgido nuevas informaciones que han identificado que la explotación de esta vulnerabilidad llevaría produciéndose desde el pasado mes de octubre de 2022 empleando hasta un total de tres cepas diferentes de malware, los cuales son Saltwater, Seaspy y Seaside.

Desde Barracuda no han dado información sobre las víctimas de forma pública, pero identificaron evidencias en donde se habrían producido exfiltración de información en algunas víctimas a las cuales se ha reportado toda la información.

En último lugar, cabe destacar que dicha vulnerabilidad afecta las versiones 5.1.3.001 a 9.2.0.006 y que fue corregida el pasado 20 y 21 de mayo.

Más info

Consecuencias de un ciberataque en entornos industriales

Nuevo análisis del ransomware BlackCat

El equipo de investigadores de IBM ha publicado un análisis en el que menciona nuevas variantes de ransomware que permiten una mejor exfiltración de datos y evasión de soluciones de seguridad.

En concreto, los expertos señalan que los operadores del ransomware BlackCat/ALPHV continúan evolucionando la herramienta, especialmente desde dos perspectivas. Por una parte, los operadores de este software malicioso utilizarían en sus operaciones el malware ExMatter, cuya función consiste en optimizar los procesos de exfiltración de archivos.

Por otra parte, desde IBM señalan que ha analizado una nueva cepa de BlackCat, a la que han denominado Sphynx, la cual destaca por disponer de una serie de capacidades que le permiten evadir más eficazmente soluciones de seguridad.

Desde IBM señalan que estas evoluciones de ransomware evidencian que los operadores detrás de estas amenazas cada vez conocen más las infraestructuras de los sistemas y tratan de mejorar su eficiencia en las operaciones.

Más info 

La CISA ha alertado acerca de dos vulnerabilidades en sistemas de control industrial

La CISA ha publicado un aviso acerca de dos vulnerabilidades que afectan a sistemas de control industrial, específicamente al producto MXsecurity de Moxa.

En primer lugar, la vulnerabilidad identificada como CVE-2023-33235, con CVSS de 7.2, es de inyección de comandos y puede ser aprovechada por atacantes que hayan obtenido privilegios de autorización, pudiendo salir del shell restringido y ejecutar código arbitrario.

Por otro lado, la CVE-2023-33236, con CVSS 9.8, puede ser explotada para crear tokens JWT arbitrarios y omitir la autenticación de las API basadas en la web. Cabe destacar que Moxa ha abordado estos fallos con la actualización a la versión v1.0.1.

Por su parte, la CISA recomienda a los usuarios implantar medidas defensivas para minimizar el riesgo de explotación, como minimizar la exposición de la red para los dispositivos, utilizar firewalls y VPN.

Más info

Foto principal: DCStudio en Freepik.

Cómo trabajar en equipo como un animal

Alfonso Alcántara    2 junio, 2023

Este artículo es, sin duda, uno de los mejores contenidos que he elaborado nunca.

Si no eres capaz de apreciar la buena pluma y la inteligencia que esconden estas líneas, es un problema tuyo, no mío.

Sí. He comenzado esta publicación de forma agresiva.

Y si todavía continuas leyendo, te explicaré el porqué de tan provocadora introducción.

Los animales más agresivos tienen más probabilidad de liderar

El motivo no es otro que mi intención de parecer un profesional con una gran capacidad de liderazgo, que me han dicho que se vende muy bien.

Digo esto porque una investigación (1) realizada en el Parque Nacional de Gombe, en Tanzania, y publicada este año, muestra que los chimpancés machos con personalidades más agresivas, codiciosas e irritables alcanzan los peldaños más altos en su escala social.

Por ejemplo, es un hecho que los animales más dominantes tienen más éxito en engendrar respecto al resto de machos de su grupo.

La ciencia vuelve a confirmar que los comportamientos brutales pueden abrir caminos efectivos hacia el poder.

Y digo brutales, porque hablamos de conductas tales como amenazar, intimidar, robar a sus compañeros y mostrar rabietas o momentos de agresividad.

En síntesis, los comportamientos de alta dominancia y de baja consciencia, como los describen los autores del estudio, parecen facilitar la consecución de rangos sociales más altos.

¿Los humanos más agresivos también tienen más probabilidad de liderar?

Tal vez dudas sobre la validez de la extrapolación de las conclusiones de este tipo de estudios al ámbito humano.

Pero a la vez también habrás observado o experimentado, como ciudadano o como empleado, este tipo de situaciones en las que al liderazgo se accede mediante procesos darwinianos.

En este sentido, el antropólogo Richard Wrangham se mostró escéptico respecto al alcance de este tipo de comparaciones:

«Si metiéramos a 300 chimpancés que no se conocen durante ocho horas en un avión, muchos no llegarían vivos al destino. En cambio, los humanos logran convivir pacíficamente en un vuelo de larga distancia». (2)

Sin embargo, también declaró que el Homo sapiens es una de las especies más pacíficas del reino animal y más crueles al mismo tiempo.

¿Tienen más éxito en sus empresas los profesionales que se comportan de manera más cruel o menos ética?

NO, para ser buen profesional NO hay que ser «buena persona»

Sé buena persona cuando subas, porque los encontrarás a todos cuando bajes.

Este tipo de frases bienintencionadas que resaltan el valor de la «bondad profesional» nos gusta, porque nos hace creer que el karma funciona.

Pero hay mucha gente que nunca bajará, precisamente porque no tiene muchos escrúpulos o simplemente porque el sistema funciona así: tiende a dar más poder al que ya tiene poder y no castiga la falta de ética, al contrario.

Eso de que «a cada cerdo le llega su San Martín» es una mentira consoladora que quieren creer los que fueron pisoteados por algún cerdo, es decir, un profesional con influencia que los trató de forma injusta limitando sus oportunidades.

De hecho, hay muchos cerdos que tienen una vida cómoda hasta el final.

En todo caso, las personas que subieron con malas artes y que tengan que bajar (algo poco frecuente), no tendrán que preocuparse mucho por los que sigan estando abajo, por muy mal que los miren, porque generalmente seguirán empleando las mismas técnicas poco éticas y no se quedarán mucho tiempo allí.

Por supuesto que hay que promover y recompensar la bonhomía en todos los ámbitos de la vida y en todas las relaciones, por convicción personal y también para «no crearse enemigos en la subida», por qué no.

Pero hay que recordar que si a un profesional poco ético le toca enfilar el camino de bajada, éste no pasará necesariamente por la misma ruta que siguió para subir, por lo que no se encontrará a aquellos que pisaron en el ascenso.

Y aunque las víctimas de las carreras de individuos a las que hicieron sufrir para ascender seguramente no querrán «venganza» porque, precisamente, son mejores que ellos. Y seguirán impunes su camino.

Las personas no tienen lo que «se merecen», sino lo que pueden conseguir

No seamos ingenuos. Seamos conscientes de que ser buena persona y un profesional ético cuesta mucho más esfuerzo: sabes cuáles son tus principios cuando te cuestan dinero. Y disgustos.

Hay que prepararse para aceptar que profesionales con malos comportamientos es probable que acaben teniendo poder o influencia sobre el resto de profesionales que se esfuerzan por trabajar en equipo, en el sentido amplio de la expresión.

Por supuesto, no justifico estas malas artes, pero sí advierto que en contextos profesionales hay que estar preparados para trabajar con personas que no cumplen las reglas.

Si quieres ser de los buenos, te costará más esfuerzo, tendrás que enfrentarte a personas y comportamientos injustos y, en ocasiones, tendrás que aceptar que la vida es dura para no estresarte demasiado.

No existen profesionales absolutamente éticos ni absolutamente malvados

Para promover la colaboración y prevenir el individualismo, parece más razonable y efectivo hablar de buenos o malos comportamientos que de buenos o malos profesionales.

El procedimiento de asignar etiquetas negativas y adjetivos descalificadores de forma genérica a un profesional o a un equipo suele formar parte del problema, no de la solución.

Y un último apunte: Todos pensamos que los malos «son los otros», porque cada uno aplica su propio concepto de bonhomía para justificar las acciones propias y criticar las ajenas.

Cuidado con la autocomplacencia, porque seguramente no somos tan éticos como queremos creer.

La justicia en la organización motiva el trabajo en equipo

La biología y la etología siempre han buscado las causas y orígenes que subyacen a la justicia y la empatía en el mundo animal y, en concreto, en el mundo humano, porque son dos factores relacionados con los comportamientos cooperativos en general, y con el trabajo en equipo en particular.

Un famoso experimento diseñado por Brosnan y de Waal con monos capuchinos (3) planteó que dos individuos recibirían recompensas diferentes a pesar de realizar el mismo trabajo.

Un humano entendería fácilmente que en un escenario profesional como el descrito se está produciendo una injusticia. Pero, ¿podría entenderlo también un mono?

En la situación inicial de entrenamiento la tarea de cada uno de los dos capuchinos por separado (no podían verse) fue entregar una piedra que estaba en su jaula a los investigadores cuando estos se la pidieron. A cambio, los monos recibieron una rodaja de pepino en cada ocasión.

El experimento

Se colocaron juntas las dos jaulas, de tal forma que cada individuo podía ver la actividad del otro.

En una primera fase se planteó un escenario justo en el que ambos recibieron la misma recompensa, la rodaja de pepino.

En una segunda fase injusta, uno de los capuchinos recibió una rodaja de pepino al entregar la piedra, y el otro una uva, un premio que los capuchinos valoran mucho más.

Como habrás ya intuido, los resultados mostraron que los monos tenían sentido de la justicia. Cuando ambos recibían el mismo trozo de comida cumplían la tarea el 95% de las ocasiones.

Pero si la recompensa era desigual, el individuo que recibía el premio menor sólo realizaba el trabajo el 60% de las veces y mostraba episodios de frustración e ira, tales como lanzar la comida al investigador o golpear las paredes de la jaula.

Además, cuando el capuchino que conseguía las uvas no tenía que hacer siquiera la tarea, el compañero entregaba la piedra aún menos veces.

La injusticias también desincentivan a los profesionales beneficiados

Es esperable que los individuos víctimas de injusticias o de peor trato estén menos motivados para colaborar y puedan reaccionar con enfado y agresividad.

Pero hay otra pregunta interesante por responder: ¿cómo afectan las injusticias a los individuos beneficiados?

De Waal contó en una de sus conferencias que el capuchino que recibe las uvas por hacer la misma tarea incluso llega a rechazarlas, lo que parece demostrar que es capaz de entender el maltrato que recibe su compañero de experimento.

Es decir, un mono demuestra empatía respecto a individuos que están sufriendo injusticias.

Los animales humanos y no humanos reaccionamos ante la injusticia, incluso si afecta a otros miembros, lo que demuestra que la solidaridad tiene un valor evolutivo, incluyendo actitudes o acciones que promueven el bien común, tales como el trabajo en equipo o la colaboración.

¿Qué hay que hacer en una empresa para sobrevivir?

Un candidato en busca de una oportunidad profesional le dice al director de recursos humanos:

—Vengo a ocupar el puesto del señor que se acaba de ahogar.

—Lo siento, llega usted tarde. Ya se lo dimos al que lo empujó. 

Si en una organización empujar a otros tiene premio, uno de los valores de la cultura de esa empresa es el «empuje».

Dice Pascual Montañés (4) que la cultura de una organización es la respuesta a la pregunta: «¿Qué hay que hacer aquí para sobrevivir?»

Los profesionales dejarían de comportarse de forma inmoral si sus comportamientos inmorales o menos éticos no fuesen recompensados directa o indirectamente.

En la empresa y en la sociedad, la solución no es exhortar de forma individual a las personas para que se comporten bien, sino implantar las condiciones que fomenten o incentiven que lo hagan.

Si queremos profesionales más éticos, hay que dar peso a la ética en la empresa

Y debemos dejarnos de karmas y clasificaciones simplonas de buenos y malos.

Si queremos empresas saludables y éticas, la estrategia no puede ser tan simplista, irrealizable e ingenua como la de intentar reclutar a buenas personas.

Si queremos profesionales que trabajen en equipo, hay que crear entornos de trabajo y de relación que motiven y propicien los comportamientos colaborativos.

Para propiciar mejores comportamientos organizacionales y de equipo, el único camino es la psicología organizacional, un camino largo que requiere inversión y profesionalidad, pero no es una utopía.

Lo que sí es una utopía y un autoengaño colectivo es pensar que los profesionales serán colaboradores, empáticos, sociales, motivados, motivadores y buenas personas sólo con desearlo muy fuerte.

Bibliografía

(1) Weiss A, Feldblum JT, Altschul DM, Collins DA, Kamenya S, Mjungu D, Foerster S, Gilby IC, Wilson ML, Pusey AE. 2023. Personality traits, rank attainment, and siring success throughout the lives of male chimpanzees of Gombe National Park.

(2) «La bondad del ser humano se la debemos al asesinato». El Correo, 15 de Julio de 2021.

(3) Van Wolkenten M, Brosnan SF, de Waal FB. Inequity responses of monkeys modified by effort. Proc Natl Acad Sci U S A. 2007 Nov 20;104(47):18854-9. doi: 10.1073/pnas.0707182104.

(4) Montañés, Pascual (2012): Inteligencia política. El poder creador en las organizaciones. Pearson Educación.

Imagen de wirestock en Freepik

Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas

Nacho Palou    1 junio, 2023

La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los negocios, como la pérdida de datos, la interrupción de las operaciones o el incumplimiento normativo.

También puede afectar directamente a sus ingresos, dañar su reputación o socavar la confianza de los empleados, clientes y proveedores. Por este motivo es importante que los directivos comprendan la importancia que tiene la Ciberseguridad para las empresas y tomen las medidas adecuadas para proteger sus activos digitales.

Y la única forma de conseguirlo es, al menos, hablar el mismo lenguaje. No siempre es así.

El problema del lenguaje en Ciberseguridad

En cambio, según un estudio reciente, el 44% de los directivos españoles no prioriza la Ciberseguridad en sus empresas debido al lenguaje confuso que se utiliza en este sector. En concreto porque “el lenguaje utilizado es confuso y obstaculiza la comprensión de las amenazas”, según recoge Europa Press

Esto a pesar de que el 45% de los ejecutivos de grandes empresas en España es consciente de que las ciberamenazas son el «peligro más grande» que puede sufrir su empresa.

Un tercio de los ejecutivos encuestados afirmó no entender el significado de ‘malware’ (programa informático malicioso), y casi otro tercio no comprende el término ‘ransomware’ (secuestro de datos).

Es cierto que la Ciberseguridad puede ser un tema complejo y técnico, aunque el problema del lenguaje “es universal en otros gremios”, dice Sergio de los Santos, responsable del Área Innovación y Laboratorio de Telefónica Tech. “Si pretendemos ser precisos corremos el riesgo de ser demasiado técnicos y distantes. Si somos demasiados simplistas podemos acabar infantilizando el problema. El término medio es complicado pero posible”, explica.

¿Pagar cuando te infectas por ransomware? Demasiados grises

Cómo salvar la barrera del lenguaje

Para salvar la barrera del lenguaje, del argot profesional en el ámbito de la Ciberseguridad, es fundamental saber comunicarse de manera efectiva. No solo con los directivos; también con el público en general, incluyendo los jóvenes.

  • Usando un lenguaje claro, accesible y honesto.
  • Evitando términos técnicos, argot profesional y anglicismos.
  • Explicando los conceptos de manera sencilla.
  • Utilizando ejemplos y casos reales para ilustrar los riesgos y la importancia de proteger los sistemas y los datos de la empresa.

Además, para incrementar la comprensión y concienciar sobre la importancia de la Ciberseguridad, los expertos pueden realizar cursos y talleres de formación dirigidos a directivos. Estas sesiones pueden ofrecer:

  • Información clara y práctica sobre los riesgos.
  • Recomendaciones y buenas prácticas de seguridad.
  • Demostraciones reales de acciones y ataques maliciosos.
  • Explicación de las medidas que deben tomar las empresas para protegerse de los ciberataques.
  • Formación sobre las soluciones, herramientas y recursos que las empresas tienen a su disposición.
Ciberseguridad: eventos “cisne negro” en un mundo conectado

Más allá del lenguaje: la importancia de la Ciberseguridad para las empresas

La Ciberseguridad es un elemento imprescindible para proteger de ataques maliciosos los datos, la información, los procesos y las operaciones de las empresas. También sistemas tecnológicos e informáticos, los móviles y las redes de comunicaciones.

Aunque nunca existe el 100% de seguridad, la mejor manera de garantizar la máxima protección es a través de servicios profesionales de Ciberseguridad. También aplicar buenas prácticas en seguridad y formar y concienciar a los empleados para que las adopten con el fin de asegurar la máxima protección posible.

Pero, por encima de todo, es importante que los directivos comprendan la importancia de la Ciberseguridad más allá del lenguaje, ya que es relevante para todos los aspectos —incluyendo la continuidad— de la empresa. La Ciberseguridad debe ser una prioridad estratégica y empresarial.

Foto principal: Pressfoto en Freepik.

Criptografía, una herramienta para proteger los datos compartidos en la red

Carlos Rebato    31 mayo, 2023

Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las empresas pueden almacenar de forma segura sus datos?, ¿cómo se resguarda la información de la tarjeta de crédito al realizar compras en línea? Pues la respuesta a estas interrogantes es la criptografía.

La criptografía se hace vital, especialmente cuando existen tantos riesgos de seguridad informática, como el spyware o la ingeniería social.

Es por ello que la gran mayoría de los sitios web la emplea para asegurar la privacidad de sus usuarios. De hecho, según proyecciones de Grand View Research (2019), se espera que del 2019 al 2025 el mercado global del software de cifrado tenga un crecimiento anual del 16,8 %.

¿Cómo se puede definir la criptografía?

Este término se define como el arte de convertir datos a un formato que no se puede leer. En otras palabras, se cifran mensajes con información confidencial. Todo ello evita que personas inescrupulosas accedan a datos que puedan ser vulnerados. Dicha data cifrada se diseña mediante una clave que posibilita el acceso (Onwutalobi, 2011).

Para cifrar un mensaje, el remitente debe manipular el contenido utilizando algún método sistemático, conocido como algoritmo. El mensaje original, llamado texto sin formato, puede codificarse de manera que sus letras se alineen en un orden ininteligible o cada letra puede reemplazarse por otra. Todo ello se conoce como texto cifrado.

¿Por qué deben emplearse sistemas criptográficos?

1. Pueden emplearse en diversos dispositivos tecnológicos

Por ejemplo, tanto un IPhone como un Android pueden tener sus métodos de cifrado según las necesidades de las empresas. Asimismo, se puede cifrar contenido en una tarjeta SD o memoria USB. Existen variadas posibilidades, solo debe encontrarse el método más adecuado.

2. Se puede trabajar más seguro de forma remota

En la actualidad, las organizaciones requieren con frecuencia trabajar de forma segura cuando sus empleados se comunican remotamente. Un Informe norteamericano de 2018 publicado por Shred-It reveló que los riesgos de vulnerabilidad son mayores al trabajar de esta manera. Por consiguiente, trabajar colaborativamente mediante el cifrado de datos evitará que la información caiga en manos equivocadas.

3. La criptografía protege la privacidad

Resulta aterrador pensar lo expuestos que pueden estar los datos en las empresas. Según un artículo de Hern (2019) publicado en el diario The Guardian, en el 2018 más de 770 millones de emails y contraseñas fueron expuestos. Todo ello producto de vulnerabilidades en el acceso a datos individuales. Por lo tanto, el cifrado de datos puede evitar que los detalles confidenciales se publiquen sin saberlo en Internet.

4. Proporciona una ventaja competitiva

Si las empresas respaldan sus diversas fuentes de información y datos mediante la criptografía, se les brindará mayor tranquilidad a los clientes. Las organizaciones son conscientes de lo esencial de este procedimiento. Un estudio del Instituto Ponemon (2019) reveló que el 45 % de los negocios tiene estrategias de criptografía. Menos del 42 % posee estrategias limitadas en el cifrado de datos para determinadas aplicaciones o tipos de datos.

Ciberseguridad: eventos “cisne negro” en un mundo conectado

Tipos de cifrado

Las dos maneras más populares para aplicar la criptografía son: cifrado de clave secreta compartida y cifrado de clave pública, también conocidos como sistemas de cifrado simétrico y asimétrico, respectivamente (Vásquez, 2015).

Cifrado de clave compartida

También conocido como simétrico. Consiste en emplear la misma clave para cifrado y descifrado. Cualquier usuario que tenga dicha clave podrá recibir el mensaje.

Este método es rápido y puede emplearse para un gran volumen de datos. Igualmente, es utilizado con el encadenamiento de bloques de cifrado que está sujeto a una clave y un vector de inicialización. Todo ello para formar un cifrado a partir de una serie de bloque de datos.

El usuario que desea descifrar el mensaje tendrá que poseer la clave y el vector de inicialización. Frecuentemente, se usa con el cifrado de clave pública por su vulnerabilidad.

Cifrado de clave pública

Llamado también cifrado asimétrico, emplea dos claves diferentes que comparten un enlace matemático. En otras palabras, se emplea una clave para encriptar (clave privada) y otra para desencriptar (clave pública).

La clave pública puede ser compartida entre los destinatarios. La otra clave es mantenida solo por el creador del mensaje. Su costo computacional es alto. Finalmente, la criptografía abre la oportunidad para que las empresas refuercen la seguridad de sus clientes. Esto consolidará su reputación y el mayor compromiso hacia innovaciones en torno a las más recientes tecnologías.

Foto princiapl: Christian Lendl en Unsplash.