Página 359 – Think Big

Aura en Alemania: transformación del servicio de atención al cliente y ventas

Sarah Rojewski 16 diciembre, 2019

La semana pasada participé en el evento «Women in AI & Data», de Databricks y Microsoft, en Múnich. Parece un tema de moda, pero el fundador invitó a las ponentes no para hablar sobre el fenómeno de que haya más mujeres en IA y datos, sino para resaltar sus logros, su proyecto actual y objetivos. Y es que las mujeres en IA no son ninguna novedad, al menos en Telefónica.

Basé la charla en la transformación y digitalización del servicio al cliente y el servicio de ventas de Telefónica Alemania gracias a Aura, la Inteligencia Artificial de la Compañía. Nuestro objetivo es crear una nueva relación con el cliente basada en la confianza.

Aura ya está disponible en dos canales en el mercado alemán. Mediante la red social Facebook Messenger y el portal web de O2 donde todos los clientes pueden dirigir cualquier tipo de pregunta, problema o petición a Aura. Gracias al procesamiento del lenguaje natural, Aura aprende el lenguaje humano para que nuestros clientes no tengan que aprender el lenguaje de las máquinas.

El asistente virtual está accesible para todos los clientes y puede responder a más de 350 preguntas sobre los servicios y productos de O2. Además, los clientes reciben información personalizada en tiempo real sobre su tarifa, consumo de datos, saldo de prepago e incluso pueden resolver su solicitud de saldo de principio a fin.

Aura en Alemania: contexto y próximos pasos en 2020

En 2020 Alemania se centrará en la integración de Aura en WhatsApp para que podamos estar en los canales que usan nuestros clientes. Además, el país está trabajando en numerosos casos de uso enriquecedores que transformarán los datos en información para aumentar los beneficios para cada cliente.

Todo ello es posible gracias al proceso de transformación digital del Grupo Telefónica para proporcionar inteligencia a las tres plataformas que ya tenía y a la creación de la Cuarta Plataforma. Reforzando, así, la capacidad de la Compañía de recopilar, almacenar y analizar los datos de los clientes.

Después de la charla, muchos de los 100 asistentes se acercaron a mi para expresar su inspiración por nuestro proyecto Aura, pero también para intercambiar sus comentarios e ideas sobre el uso de la IA.

Estoy orgullosa de haber podido, no solo hablar de la innovación que cambiará todo nuestro negocio, sino también representar a todas las mujeres increíbles que trabajan en el proyecto en ocho países de todo el mundo.

Si deseas más información sobre Aura en Alemania, haz clic aquí

¿Conoces la nueva Plataforma Self-Service de LUCA Advertising?Cuando Michelangello inventó el Big Data

No, no se ha encontrado una vulnerabilidad en RSA que permite atacar uno de cada 172 certificados

Sergio de los Santos 16 diciembre, 2019

Este fin de semana se ha publicado una noticia cuyo subtítulo rezaba así: “Se ha encontrado una vulnerabilidad en los certificados RSA que podría comprometer uno de cada 172 certificados actualmente en uso”. Esto no es cierto, lo que ha ocurrido es que un paper ha recordado que, sin la entropía correcta, los certificados quedan vulnerables, sobre todo en el mundo IoT. Veamos qué ha ocurrido exactamente porque, si bien es interesante el estudio, viene a recordar más que a descubrir.

Un poco de base sobre los certificados

La seguridad en la criptografía asimétrica, usando claves RSA, se basa en la premisa de que es muy difícil computacionalmente factorizar los dos factores primos de un número. Multiplicar dos números primos p y q para obtener n es una operación sencilla pero dado un número n obtener sus dos factores primos es una operación que se vuelve computacionalmente inviable cuando los números involucrados son lo suficientemente grandes.

Para generar la pareja de claves, el algoritmo RSA crea una clave pública y privada usando este concepto. Simplificando la generación de las claves, los números primos elegidos aleatoriamente p y q se multiplican para crear el módulo n que se usará tanto en la clave privada como en la pública. Este módulo n es público pero los factores primos p y q no.

1736640013 x 1230300287 = 2136588706409583731

? x ? = 2136588706409583731

Intentar obtener la clave privada a partir de estos datos requeriría factorizar el módulo obtenido y así obtener los primos p y q usados para generar ambas claves. Esta operación, con un número tan grande, no es viable computacionalmente en un periodo de tiempo razonable. Pero hay un truco. Si la entropía es baja y durante las generaciones de números primos, alguno se repite… se podría haber dado el caso en el que dos módulos compartan el mismo número p o q.

n1 = p1 x q1

n2 = p1 x q2

Si tomamos un buen montón de certificados y este caso se produce, ambos módulos n1 y n2 compartirían un divisor común p1. Para probar esta hipótesis se puede realizar una operación matemática muy sencilla, el cálculo del máximo común divisor. El resultado de calcular el MCD sobre los dos módulos obtenidos de las claves públicas revela que ambos números comparten un divisor distinto de 1. Con este cálculo sencillo se consigue uno de los dos primos usados para la generación de ambas claves, conseguir los otros dos primos desconocidos es trivial. Este “ataque” es un viejo conocido. De hecho, para el cálculo del MCD se pueden usar herramientas como RSACtfTool, o Sanity Cheker, basado en SageMath, y en general, para cálculos rápidos con números enormes, existen diferentes páginas que se pueden consultar, como este ejemplo.

¿Y qué han hecho los investigadores?

En la First IEEE Conference on Trust, Privacy, and Security in Intelligent Systems and Applications en Los Ángeles presentaron una investigación en la que aseguraban que se podían comprometer las claves RSA con capacidades computacionales reducidas.

Analizaron una base de datos de 75 millones de claves RSA recopiladas de un escáner de dispositivos IoT. Después analizaron usando un algoritmo (en la optimización de este algoritmo puede estar la gracia de la investigación) y la computación de Azure. Intentaron encontrar factores comunes y encontraron que 1 de cada 172 (435.000) compartía un factor entre sí. A partir de ahí se deduce que es fácil romper esos certificados, etc. Pero esto tiene una particularidad, escanearon la red buscando máquina accesibles (muchas IoT) con certificados.

Porque luego matizan que tomaron 100 millones de certificados de los logs de Certificate Transparency. Y que si tenían en cuenta solo estos 100 millones de certificados reales solo 5 compartían factores. Un porcentaje ridículo.

Parece que han demostrado que el ataque del mínimo común múltiplo por falta de entropía funciona. Sus claves eran entrópicamente pobres pero luego aclaran que esto es un problema en el mundo del IoT donde los dispositivos pueden no ser lo suficientemente potentes como para crear números primos muy distintos (entrópicos) entre sí.

En resumen, una muestra empírica de un ataque que ya se conoce, que viene a recordar algo que debemos tener en cuenta: si se calculan las claves RSA en dispositivos con una aleatoriedad baja, los certificados derivados pueden compartir algún primo y por tanto su clave pública puede ser más fácilmente deducida. En la vida real, el ataque no es tan sencillo, porque no puede ser “dirigido” (no puedes elegir qué primo puede ser compartido de qué certificado) sino que puede ser más “casual”, aunque esto no le reste importancia. Igualmente, para ponerlo en práctica y por ejemplo sustituir un certificado, también sería necesario redirigir a la víctima.

ACTUALIZACIÓN: Con los datos públicos aquí, hemos modificado ligeramente el artículo. No han fabricado los certificados sino que los han escaneado de Internet aparentemente muchos de máquinas IoT con, efectivamente, baja entropía para la creación de números primos realmente aleatorios.

#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembreElevenPaths y la Red de Cátedras Telefónica coordinan el programa TUTORÍA

Por qué debes estar también en TikTok

Ángel María Herrera 16 diciembre, 2019

Me he estrenado recientemente en TikTok, la red social que más crece en la actualidad y que seguramente asocies a un público más joven (sus usuarios rondan una edad comprendida entre los 10 y 16 años).

Según los datos registrados, TikTok se ha posicionado como una de las aplicaciones más descargadas en todo el mundo, batiendo récords en muy poco tiempo.

Ya supera los 1.000 millones de usuarios activos al mes, y su ascenso es imparable, pues ha conseguido duplicar la cifra de usuarios en menos de seis meses, un tiempo mucho más corto que otras plataformas como WhatsApp o Instagram.

Motivos para utilizar TikTok

El hecho de que yo triplique la edad de los usuarios más habituales de TikTok no me ha hecho desistir de utilizarla y quiero comentaros el porqué.

Una de las causas que me ha empujado a ello es comprobar el declive de Facebook, sobre todo en los países más desarrollados, donde ya lleva más de una década de uso y está estancada, con muchos usuarios inactivos o que literalmente han desaparecido. Y ese puede que fuera uno de los motivos que llevó a Facebook a comprar Instagram y WhatsApp (la primera por unos 1.000 millones de dólares, y la segunda por cerca de 22.000), con el objetivo de llegar a un público más joven, activo y “vivo”.

Las nuevas generaciones se han unido a TikTok y es a ellos a quienes hay que tener en cuenta, porque también crecerán, se harán mayores, tendrán un mayor poder adquisitivo y serán futuros compradores.

Otro de los motivos es poder estar al tanto de los nuevos códigos de lenguaje que manejan los más jóvenes. De ellos podemos aprender mucho, si queremos estar a la vanguardia de la comunicación en los tiempos modernos, porque será a ellos a quienes tengamos que dirigirnos en breve para ofrecerles nuestros productos y servicios.

Y si quieres llegar a ese público, tienes que estar en las plataformas que utiliza y hablar su mismo lenguaje.

¿Por qué triunfa TikTok?

Una de las claves del éxito de TikTok es su apuesta por el contenido audiovisual, que además se puede descargar para compartir en otras redes, lo que ha hecho que resulte muy atractiva.

Ello, unido a la creatividad de los usuarios, lleva a pensar que su curva de crecimiento va a seguir en constante ascenso, aunque quizás con menos aceleración.

Otra de las ventajas de Tik Tok es que su lenguaje es universal, al centrar su contenido en audio y vídeo, algo que también atrae a un número de usuarios mayor.

La posibilidad de editar vídeos de una manera rápida y sencilla, con la incorporación de música gratuita y algunos efectos, no solo despierta la creatividad, sino que empuja a adaptar los mensajes a un formato atractivo, sugerente, dinámico y apetecible.

Con ello no quiero decir que tengas que crear un videoclip para ofrecer tus productos o servicios, pero sí adaptar tus contenidos a una estrategia más visual, entretenida y moderna.

TikTok, una potente herramienta de marketing

Cada vez son más las personas que se unen a esta red, cuyos contenidos se hacen virales de forma inmediata por su atractivo y por el interés que generan algunos de sus usuarios.

Tal es el caso de Will Smith, que hace alarde de un gran ingenio y creatividad con publicaciones que son seguidas y comentadas por miles de personas.

Son muchas las celebridades, programas de televisión, futbolistas, cantantes, etc. que ya tienen cuenta en TikTok y ven cómo van creciendo sus seguidores día tras día, algunos con mayor creatividad que otros, también es cierto, y que también dejaron de ser teenagers hace mucho. El Hormiguero, Leo Messi o Cristiano Ronaldo son algunos ejemplos de ello.

Cuando arrancó Instagram, a mí me pilló un poco «mayor» y me costó adaptarme al formato que utiliza, por eso tengo la sensación de que he ido a remolque con esta red social. Así que no quiero que me suceda lo mismo con TikTok y ya he empezado a experimentar con algunas publicaciones, aunque tengo que aprender todavía mucho…

En conclusión, tengo muy claro que es un nuevo y poderoso recurso estratégico que hay que aprovechar y utilizarlo como herramienta de marketing, sin que la edad media de participación sea un condicionante.

Creación «online» de empresas, una realidad en 2021Una sola pregunta para mejorar tu carrera profesional en 2020

Cómo ser mas rentables gracias a la experiencia de cliente

Manuel Carballo 16 diciembre, 2019

Recientemente se publicaba el tercer Índice de medición de la experiencia de cliente en retail (#IMEXRetail2019) de Lukkap. Alberto Córdoba, socio director de esta consultora nos explica en el video cuáles son los retos del retail en la actualidad.

El estudio revela cómo ser más rentables gracias a la experiencia de cliente, y pasa por que cada canal incorpore lo mejor del otro y haya coherencia e interrelación entre ellos.

Los clientes exigen cada vez más y esto “lo padecen” tanto los retailers pure digital como los on/off, lo demuestra su NPS. El IMEXRetail2019 recoge que los clientes más satisfechos con la tienda física tienen un NPS hasta 140 puntos más alto que aquéllos que no lo están, así que hay que trabajar en ellas para tener consumidores más contentos, ser más rentables y garantizar su futuro.

La tecnología es clave pero también las personas. La primera debe ayudar a establecer una continuidad en la relación desde la precompra a la postcompra. Los dependientes, por su parte, tienen un nuevo papel en el que resulta fundamental su capacidad de entender las necesidades de los clientes, asesorarlos para una correcta elección y ayudarlos a sacar partido de sus compras.

Otro aspecto interesante que aborda es si los consumidores buscan tiendas experienciales o van a la tienda simplemente a comprar. También los matices que hay en alimentación, ocio y hogar, y moda: qué motiva en cada caso al cliente y qué hace que gaste más en la tienda.

¡No os lo perdáis!

Creación y edición del vídeo: Manuel Carballo y Fernando Rodríguez

Cómo seguir otra década en la nube sin dormirse en los laurelesEl poder integrador de la tecnología frente a los nuevos señores Scrooge

¿Conoces la nueva Plataforma Self-Service de LUCA Advertising?

Milena Quintana Pinto 16 diciembre, 2019

LUCA Advertising actualmente cuenta con un portafolio de productos variado y atractivo para las marcas y presente en casi todos los países del Grupo Telefónica. Así pues, el negocio se encuentra al día de hoy en continuo crecimiento y muy pronto lanzará más un nuevo producto: la plataforma Self-Service.

Tras años alcanzando los mejores resultados en las campañas digitales de grandes marcas y anunciantes, ha llegado la hora de atender también a las pequeñas y medianas empresas que, por su tamaño de inversión, no tenían acceso a las soluciones de LUCA Advertising ofrecidas al mercado. La nueva plataforma les ofrecerá la posibilidad de contratar y gestionar directamente sus propias campañas. A pesar de ser un público objetivo con presupuestos bajos, el número de empresas que forman parte de este nicho es muy elevado y es un mercado aún sin explorar.

Plataforma self-service en 8 pasos

Entiende el proceso de creación de la plataforma Self Service en 8 pasos:

*Figura 1: Desarrollo de producto platforma self-service.*

Estudio de mercado – se hizo un estudio para analizar los principales players, sus debilidades, amenazas, fortalezas y oportunidades del mercado actuante.
Análisis interno de los clientes potenciales que el lanzamiento de la plataforma traería al negocio y estudio de viabilidad que permitió entender las capacidades del equipo para ejecución del proyecto. Una vez analizado los puntos en cuestión, se aprueba su realización.
Conceptualización. A la hora de empezar el proceso creativo de producción de la plataforma se ha puesto mucha atención en la experiencia del usuario -como llegaría a su objetivo y sus acciones dentro de la plataforma. Esta fase de investigación se ha llamado conceptualización de la plataforma. Mediante la predicción de la navegación del usuario, se eligen elementos y pasos importantes para la construcción de una interfaz intuitiva capaz de generar una experiencia positiva al usuario.
Diseño del flujo de navegación. Una vez claros los conceptos fundamentales, es hora de poner manos a la obra y diseñar el flujo de la navegación. Para tal,se ha adoptado la metodología Design Thinking, un concepto que crea soluciones centradas en el usuario, poniéndole en el centro del proyecto y diseñando prototipos que cumplan sus necesidades. Este paso involucra personas de diferentes perfiles y equipos que proponen sus propios prototipos , los presentan a los demás y finalmente se elige la mejor versión de cada área de forma conjunta.
Desarrollo. Con el diseño creado y aprobado, llega el momento de ponerla en marcha. En el desarrollo de la plataforma el equipo de programadores es responsable de escribir todo lo que ha sido conceptuado y diseñado en código para hacerla funcionar.
Control de calidad. Antes de su publicación, la plataforma pasa por un Q.A – Quality Assurance – o control de calidad. La plataforma es activada para el equipo que simula toda la jornada de navegación del usuario, testeando funcionalidades e identificando eventuales bugs de sistema.
Entrega parcial. Asegurándose de que la plataforma funciona al 100%, se realiza una entrega llamada MVP – Minimum Viable Product. Esta es una entrega parcial que no tiene todas las funcionalidades de la plataforma activas. Para asegurarse de que la plataforma responde a las expectativas y necesidades del usuario, se analizan las métricas, se hacen distintas comprobaciones y se realiza una entrega final de posibles cambios y nuevas funcionalidades.
Entrega final. Con todo implementado, se realiza una entrega completa a los usuarios interesados en las soluciones de LUCA Advertising.

Para mantenerte al día con LUCA visita nuestra página web, y no olvides seguirnos en Twitter, LinkedIn y YouTube.

Data Science: ¿Cómo hacer las preguntas adecuadas?Aura en Alemania: transformación del servicio de atención al cliente y ventas

5 maneras de mejorar tu evento corporativo usando tecnología

Juan Carlos Estévez 15 diciembre, 2019

Con los años, la tecnología se ha ido adentrando cada vez más dentro de los eventos corporativos, con más o menos propensión por parte de las empresas, en un proceso conocido como transformación digital.

En este escenario, es razonable encontrarnos con ciertas tendencias en eventos corporativos que se relacionan directamente con la tecnología. Antes de examinarlas, es importante entender cuál es el propósito de este tipo de eventos.

Objetivos de eventos corporativos

La cultura empresarial es fundamental: en un ambiente alegre y positivo, se fortalecen los lazos entre trabajadores, clientes y colaboradores. Además, los clientes prefieren a las empresas cuyos empleados están más felices. Por ello, los objetivos de eventos corporativos deberían centrarse en este tópico.

El propósito principal es el de reunir a un grupo de personas (empleados, clientes, colaboradores) en un mismo evento que es patrocinado por la empresa. En estos eventos, guiados o no por animadores, se busca premiar a los clientes y a los trabajadores estrellas, realizar concursos, celebrar el desempeño de la empresa en el año e incluso dar a conocer novedades para los próximos meses.

En otras palabras, el objetivo principal es el de fortalecer la cultura empresarial.

4 tendencias tecnológicas para eventos corporativos

Las distintas tecnologías a implementar dependerán de la clasificación de eventos corporativos: ya sean de apreciación de clientes, fiestas de vacaciones, almuerzos del directorio, cenas de negocios, lanzamientos de productos, etc.

1. Apps móviles

Las aplicaciones celulares son cada vez más comunes dentro de las tendencias en eventos corporativos. Una app hecha a la medida del evento y de la empresa permite a los participantes registrarse y confirmar asistencia a través de ella, realizar votaciones acerca de lo que se espera del evento (por ejemplo, perfiles de animadores), reservar mesas con compañeros de trabajo, acceder a live streaming, etc.

2. Redes sociales

Las redes sociales se presentan como una poderosa tecnología de marketing para eventos corporativos. Gracias a estas plataformas web se puede interactuar de forma más profunda con otros participantes, además de que se pueden integrar con la app del evento.

En las redes sociales, los asistentes pueden ir compartiendo las últimas novedades del evento en forma de imágenes o videos, subir comentarios, mantener actualizados a quienes no pueden asistir, etc., además de constituir un espacio en el que se podrán resumir los tópicos más relevantes que se tocaron post-evento. Facebook, Instagram y LinkedIn se presentan como las favoritas.

3. Integración con CRM

Una Customer Relationship Management consiste en una plataforma que permite hacer seguimiento a los clientes durante los distintos procesos de interacción con la empresa, gracias a los datos que estos van generando. Por ejemplo, una buena idea es integrar el CRM con la app mediante una API de modo que se integren los datos de aquellos clientes potenciales que asistieron, lo cual permitirá realizar un seguimiento más informado.

Entregar un dispositivo wearable tech o tecnología vestible ayudaría a que los participantes al evento puedan interactuar con distintas señaléticas digitales y tótemes, gracias a lo cual se podría contar con datos de mucho más valor para la CRM, desde targeting hasta post-marketing.

4. RA, RV y videos 360º

La Realidad Aumentada (RA), la Realidad Virtual (RV) y los videos en 360º constituyen tecnología en fuerte crecimiento durante los últimos años. Agregar este tipo de herramientas dependerá de la clasificación de eventos corporativos y del tamaño de aquellos; en especial, se presentan como un tremendo valor agregado para grandes empresas que puedan costearlas, dándoles la posibilidad de enfocarse en el branding.

En suma, la planificación de los eventos corporativos exige una previa investigación acerca de qué tendencias permitirán sacar el máximo provecho de ellos.

Caso de éxito: Optimizando el plan de carreteras de Highways England‘Scale This Up’ Podcast – 1×2 Entrevista a Silvina Moschini (SheWorks!) y Paloma Castellano (Wayra)

5 consejos para rentabilizar una web

Sebastián Molinetti 13 diciembre, 2019

La evolución tecnológica ha permitido que la creación de sitios web y blogs sea un trabajo rápido y sencillo, principalmente gracias a distintas herramientas y plataformas que facilitan el proceso, tanto para grandes empresas como para pymes.

Por lo mismo, saber cómo rentabilizar página web de forma correcta ha sido la duda de muchas compañías. ¿Cómo se puede optimizar la monetización? ¿Se debe pagar para esto o se pueden integrar fuentes de ingreso gratuitamente?

Veamos a continuación algunos consejos para rentabilizar sitio web que nos ayudarán a responder a estas y otras preguntas.

5 consejos para rentabilizar una web

1. Implementar marketing de afiliación

El marketing de afiliación es una de las formas más populares que existen para rentabilizar sitio web. En resumen, en el sitio se incorporan enlaces, botones y banners que dirijen a productos y servicios de una empresa para que sean comprados por los visitantes. Muchas veces estas empresas pertenecen al rubro del retail.

2. Registrarse para Google AdSense

Google AdSense es una forma rápida y sencilla de monetizar y es también conocido como el programa CPC (costo por clic). Luego de instalar un código en el sitio web, los bots de Google determinarán el contexto de la página y se mostrarán anuncios afines a este contexto, de modo que la publicidad sea coherente con el público objetivo. A diferencia del marketing de afiliación, no se debe contactar directamente a las compañías que anuncian.

Los bots de Google logran establecer anuncios relevantes gracias al análisis de palabras clave. Cada vez que alguien haga clic en los anuncios dentro del sitio, entonces se recibirán «pagos por clic».

3. Incorporar comercio electrónico

El e-commerce e una excelente forma de rentabilizar página web. Mediante el comercio electrónico, los visitantes del sitio podrán comprar productos y servicios con tan solo unos clics, tanto desde computadores como desde el teléfono. Como dato de utilidad, se estima que durante 2018 en Estados Unidos un 27% de todas las compras de comercio electrónico se realizaron mediante un smartphone.

Se puede lograr esta implementación de varias formas. Una empresa más grande podrá instalar su propia plataforma de e-commerce, mientras que para empresas más pequeñas se recomienda acudir a algún servicio que ofrezca instalación de plataformas de e-commerce, lo cual facilita además la implementación de los medios de pago, el despacho a domicilio, etc.

4. Ofrecer membresías

Vender membresías a un nicho objetivo puede ayudar a rentabilizar una web de forma coherente y activa. Para que esto resulte, el sitio debe ofrecer valor adicional a los consumidores que se registren; en otras palabras, la membresía debe tener sentido. Contenido especial dirigido al buyer persona, como imágenes, artículos, eBooks periódicos, reportes e investigaciones, todo puede ayudar a justificar el valor mensual.

5. Rentabilizar un blog

Implementar un blog corporativo es una de las estrategias imprescindibles en la actualidad y en todo orden de negocios, principalmente porque aumenta el tráfico orgánico de consumidores al sitio web. Además, mediante un blog se puede realizar todo un seguimiento informado a lo largo del embudo de ventas.

Es así como la clave de rentabilizar un blog tiene que ver más que todo con el awareness, con la atracción no intrusiva de leads hacia contenido que resulte de su interés. Ya captada la atención del consumidor potencial con contenido de calidad (artículos, infografías),entonces la posibilidad de rentabilizar comienza a materializarse. Para ello se pueden ofrecer productos digitales como eBooks o bien dirigir mediante hipervínculos a los productos que ofrezca la empresa. Es importante mantener un tono no intrusivo para que la esencia del blog sea coherente.

Lograr la rentabilización de un sitio web es posible, y para ello hay que buscar las formas de maximizar las ganancias del modo menos invasivo posible.

¿Cómo mejorar la reputación de una empresa?Las ventajas de los servicios en la nube para las Pymes

#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre

ElevenPaths 13 diciembre, 2019

Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center.

El descifrador de Ryuk puede dañar archivos grandes

El éxito del Ryuk en los últimos años no ha significado que sus creadores hayan dejado de evolucionarlo y mejorarlo. Una de las características menos documentada es su capacidad para cifrar parcialmente los archivos, lo que le permite ahorrar tiempo y avanzar a través de los datos lo más rápido posible antes de que alguien lo note. Los archivos parcialmente cifrados mostrarán un pie de página ligeramente diferente al normal al final del archivo. En una de las últimas versiones de Ryuk, se realizaron cambios en la forma en que se calcula la longitud del pie de página. Como resultado, el descifrador proporcionado por los autores de Ryuk truncará los archivos, cortando demasiados bytes en el proceso de descifrar el archivo. Dependiendo del tipo de archivo exacto, esto puede o no causar problemas importantes. Además, el descifrador Ryuk generalmente eliminará los archivos que cree que se descifraron correctamente. Por tanto, antes de ejecutar cualquier descifrador de ransomware, se recomienda realizar primero una copia de seguridad de los datos cifrados.

Más información: https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/amp/

Boletín de actualizaciones de Microsoft

Microsoft ha lanzado las actualizaciones de seguridad de su Patch Tuesday de diciembre de 2019. Las actualizaciones de este mes incluyen actualizaciones para 36 vulnerabilidades además de dos alertas sobre otros problemas de seguridad. De estas 36 vulnerabilidades, 7 se han clasificado como Críticas, 27 como Importantes, una como Moderada y una como Baja. Además, una de las vulnerabilidades importantes (CVE-2019-1458) es un zero-day para Windows que ya ha sido explotado. Otros vulnerabilidades catalogadas como críticas parcheadas este mes y que suponen un riesgo grave de ser utilizadas en campañas de malware o ataques dirigidos son el CVE-2019-1468 (una ejecución remota de código en el componente Win32k) y el CVE-2019-1471 (un error de ejecución remota de código en el Kit de herramientas de virtualización de Windows Hyper-V). Como curiosidad, indicar que Microsoft ha corregido también una vulnerabilidad catalogada como importante (CVE-2019-1489), que es otra vulnerabilidad más en el cliente RDP de Windows y que sólo aplica a Windows XP Service Pack 3, el cual ya no recibe actualizaciones de seguridad.

Más información: https://patchtuesdaydashboard.com/

Exploit 0-day en Windows utilizado en la Operation WizardOpium

Se ha descubierto un nuevo exploit para una vulnerabilidad 0-day de elevación de privilegios (CVE-2019-1458) en Windows que habría sido ya usado en los ataques de la llamada Operation WizardOpium. Este nuevo fallo explotado se habría detectado durante la cadena de explotación de una vulnerabilidad en Google Chrome reportada anteriormente (CVE-2019-13720), y se utilizaría para obtener mayores privilegios en el equipo infectado, así como realizar acciones fuera de la sandbox de Chrome. El exploit consta de un PE que corrompe algunos punteros de la memoria para redirigir la ejecución del código al «PE loader». Esto permitiría evadir las restricciones de la sandbox ya que el exploit no puede iniciar nuevos procesos utilizando las funciones nativas de WinAPI. Este exploit afectaría directamente al driver win32k.sys. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad.

Más información: https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/

Anchor – Nuevo proyecto de desarrollo de los operadores de TrickBot

Un grupo asociado con TrickBot se habría embarcado en un proyecto para rediseñar y complementar este malware en un framework totalmente funcional con múltiples herramientas de intrusión, extracción de datos y persistencia. El proyecto, de nombre Anchor, consiste en una herramienta que facilitaría permanecer en los equipos infectados sin ser detectados durante semanas o meses mientras se roban los datos en ataques dirigidos a grandes empresas. Entre sus módulos incluye la capacidad de moverse lateralmente en la red, instalar puertas traseras, atacar terminales punto de venta para obtener datos de tarjetas y limpiar los sistemas tras la infección para ocultar su rastro. El grupo norcoreano Lazarus Group se ha visto relacionado recientemente con TrickBot y este nuevo proyecto, del cual comprarían el acceso a sistemas ya infectados para posteriormente instalar la puerta trasera PowerRatankba.

Más información: https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

GALLIUM: Campaña contra el sector de las telecomunicaciones

Microsoft Threat Intelligence Center ha publicado un artículo detallando una campaña contra proveedores de telecomunicaciones por parte de un grupo al que han denominado GALLIUM. Para lograr el compromiso inicial de los sistemas, el grupo apunta a servicios de Internet sin parchear utilizando exploits disponibles públicamente y vulnerabilidades en WildFly/JBoss. La identificación de sus objetivos es probable que se base en la utilización de herramientas de investigación en fuentes abiertas y en el escaneo de redes. Una vez conseguido el acceso a la red, GALLIUM utiliza técnicas como Mimikatz para la obtención de credenciales que les permitirán movimiento lateral en la red. Varias características destacadas de este grupo es que no tratan de ofuscar sus intenciones y que utilizan herramientas disponibles de forma pública con pequeñas modificaciones; es decir, utilizan una infraestructura de bajo coste y fácil de reemplazar. Microsoft indica que la actividad de GALLIUM habría tenido lugar fundamentalmente a lo largo de 2018 y hasta mediados de 2019, habiendo decrecido sus niveles de actividad si bien se mantienen activos. Si bien Microsoft no lo menciona en su artículo, algunos medios especializados apuntan a las similitudes entre las TTPs identificadas para GALLIUM y la campaña reportada por investigadores de Cybereason que habría tenido lugar también en 2018 contra proveedores de telecomunicaciones y que se conoció con el nombre de Operation SoftCell.

Más información: https://www.microsoft.com/security/blog/2019/12/12/gallium-targeting-global-telecom/

Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.

Qué hemos presentado en el Security Innovation Day 2019: Innovación y diversidad en ciberseguridad (IV)No, no se ha encontrado una vulnerabilidad en RSA que permite atacar uno de cada 172 certificados

Cómo saber lo ‘inteligente’ que es una Smart City

Beatriz Sanz Baños 13 diciembre, 2019

Forbes ilustra muy bien el contraste en el que viven inmersas las grandes urbes. Por un lado, generan el 80% de la riqueza a nivel mundial pero también deben hacer frente a más retos que otros espacios, a todos los niveles: económicos, demográficos, sociales y medioambientales. Puesto que el 70% de la población vivirá en ciudades para el 2050, desarrollar ciudades que presten todos los servicios que requieren los ciudadanos, de manera eficiente y sostenible, es clave para asegurar el futuro de las ciudades y del planeta.

La tecnología como componente vertebrador de los núcleos urbanos tiene una presencia intrínseca según las poblaciones aumentan de tamaño y se sofistica la demanda de los ciudadanos. Se puede decir que toda ciudad tiene tendencia a convertirse en Smart Cities para dar una respuesta eficiente a estas demandas.

Las ciudades inteligentes son, sin duda, los principales motores económicos de IoT pero también son el mayor desafío tecnológico que tenemos por delante como sociedad. No todas las Smart Cities están en una fase de desarrollo parecida ni todas gestionan con el mismo nivel de eficacia los procesos de transformación digital que han desarrollado.

¿Cómo podemos clasificar y medir la calidad de una Smart City? Existen diversos criterios, pero vamos a tomar como referencia los dedos instituciones de reconocido prestigio. Ell estudio anual del IESE, por un lado, tiene en cuenta 77 factores distintos, que mide en 181 ciudades consideradas clave. Estos factores se engloban en 10 áreas: Gobernanza, Urbanismo, Gestión Pública, Tecnología, Medio Ambiente, Impacto Internacional, Cohesión Social, Transporte, Capital Humano y Economía. Otros estudios, como el de Juniper Research, se basan en estudiar eficiencia y sostenibilidad en cinco áreas fundamentales para las ciudades: Tecnología, Edificaciones, Suministros, Medios de Transporte e Infraestructuras y, por último, la ciudad en sí misma. Para mantener estas cinco áreas en equilibrio hay que tener en cuenta tres efectos de la digitalización urbana: consumo energético, residuos y tráfico.

Estos diferentes sistemas de medición en realidad no son divergentes sino que convergen hacia unos conceptos comunes que comparte cualquier sistema de medición de calidad de las Smart Cities. Las tres dimensiones que son comunes a estos (y otros) sistemas de clasificación para determinar la calidad de las Smart Cities son:

Los elementos que conforman la ciudad.
Los actores públicos y privados de la Smart City.
La manera en la que mejoran la vida de los ciudadanos.

Existen dos factores negativos que toda Smart City debe minimizar en aras de la eficiencia y la sostenibilidad:

El consumo de energía.
La generación de residuos.

Como control de calidad del desarrollo de un Smart City es útil recordar el decálogo de la Smart City del Libro Blanco de Telefónica, PWC y el IE Business School:

Tener un plan de desarrollo de Smart City a largo plazo, que involucre a todos los actores.
Tener clara la priorización de recursos y los ámbitos de actuación.
Contar con el liderazgo del alcalde para impulsar la Smart City.
Impulsar los cambios tecnológicos transversales necesarios.
Buscar colaboración con otros ayuntamientos.
Impulsar un marco legal favorable a las iniciativas de digitalización.
Buscar un modelo mixto que implique al sector privado y genere nuevos modelos de negocio.
Los servicios verticales digitalizados deben conectarse trasversalmente para aprovechar sinergias.
Apostar por plataformas abiertas, estándar e interoperables que favorezcan un ecosistema innovador.
Facilitar datos abiertos que generen valor para los ciudadanos y las empresas que trabajen en desarrollar nuevos servicios.

Volviendo al Observatorio permanente del IESE, como el propio nombre del índice indica, ‘Cities in Motion’, hace ver lo cambiante que es la transformación digital de espacios urbanos, y lo relevantes que son los factores que se combinan para conformar Smart Cities cada vez mejores para sus ciudadanos y para su entorno. Este proceso de mejora constante debe ser visto como un proyecto tan vivo como la ciudad que intenta mejorar.

Por último habría que acotar que las ciudades no se desarrollan sólo por esfuerzos endógenos sino que en ocasiones reciben impulso externo. Es frecuente que los países intervengan e impongan una estrategia de digitalización que favorece a unas regiones (o ciudades) sobre otras. Transformar una ciudad pequeña o mediana en una Smart City es una herramienta para reequilibrar la riqueza. Así, no es de extrañar que los gobiernos se impliquen en crear planes estratégicos de digitalización a nivel de todo el país o a nivel de una región en concreto. Las ciudades de gran tamaño tienen la suficiente autonomía y tejido industrial propios para que la iniciativa privada explore medidas para mejorar la eficiencia y la sostenibilidad en las grandes urbes a través de la tecnología.

Muévete sin obstáculos con IoTLa forma más inteligente de digitalizar el punto de venta

Creación «online» de empresas, una realidad en 2021

Mercedes Blanco 13 diciembre, 2019

En un par de años, como máximo, cualquier emprendedor podrá crear una empresa y llevar a cabo el proceso íntegramente de manera online. A día de hoy, se pueden hacer ciertos trámites por Internet, pero uno de los pasos sigue requiriendo la presencia física del interesado. Estamos hablando de la firma ante notario.

Con la nueva Directiva 2019/1151 sobre la utilización de herramientas y procesos digitales en el ámbito del Derecho de Sociedades, se agiliza la constitución de sociedades y se garantiza la máxima seguridad jurídica en el proceso, para que cualquier persona interesada pueda crear una empresa de manera online y sencilla a través de su ordenador.

Se trata de una normativa europea aprobada en junio de este mismo año, que fija un plazo de otros dos -concretamente en el mes de agosto de 2021-, la fecha tope para su transposición a las normativas nacionales.

Pero, ¿cómo será el procedimiento? ¿Cuál será el papel de los notarios? ¿Y los requerimientos para llevarlo a cabo?

Los notarios, pieza clave para agilizar los trámites

En realidad, la nueva Directiva europea lo que busca es favorecer y agilizar los trámites para la constitución de sociedades, tanto nacionales como transfronterizas, en un escenario cada vez más digitalizado.

Al incorporar las herramientas digitales al proceso de creación de sociedades, la directiva europea también busca reducir costes, tiempos y cargas administrativas asociadas a dicho proceso, en particular para las empresas de menor tamaño.

Y en todo este procedimiento se otorga un papel esencial a los notarios, que garantizarán la creación de empresas de manera legal, identificando y verificando la autenticidad de los empresarios y su capacidad jurídica, y asesorándolos al mismo tiempo en los trámites para llevarlo a cabo.

Pero la directiva dice más cosas, entre las más significativas:

Modelos online. En su artículo 13, la directiva europea especifica que los Estados miembros facilitarán modelos de escritura para la constitución online de empresas y que, además, deben estar disponibles en portales y sitios web.
Principio de “solo una vez”. Implica que las sociedades no tengan que presentar la misma información a la administración pública más de una vez. De la misma manera, cuando una sociedad quiera establecer una sucursal de su empresa en otro país de la Unión Europea, podrá utilizar los documentos que presentó la primera vez.

Procedimiento «online» para la creación de empresas

Según el Consejo General del Notariado, la constitución online de sociedades contemplarán los siguientes pasos:

Identificación mediante DNI electrónico: el futuro empresario se pondrá en contacto con un notario elegido libremente mediante videoconferencia y se identificará mediante DNI electrónico.
Comprobación de veracidad: el notario comprobará la veracidad de la identidad del socio fundador, apoyándose en el DNI electrónico y en la imagen de la videoconferencia.
Asesoramiento jurídico: el notario asesorará al futuro empresario y adaptará las escrituras a sus necesidades.
Comprobación de la aportación de capital: el notario constatará digitalmente que se ha realizado el pago bancario por el capital de la futura empresa.
Firma electrónica de escritura: si todo está correcto, se procede a la firma electrónica de la escritura.
Recibo de copia digital: el futuro empresario recibirá inmediatamente copia de la escritura digitalmente certificada.
Al mismo tiempo, el notario efectuará el envío online de la escritura pública al Registro Mercantil.

Además, los notarios podrán realizar, si así se lo piden, los siguientes trámites de manera online:

Pedir a Hacienda el Número de Identificación Fiscal (NIF) provisional.
Liquidación de los impuestos correspondientes.

Transparencia y seguridad jurídica

Con esta nueva directiva, el proceso para la constitución de empresas será mucho más sencillo y rápido, pero seguirá contando con todas las garantías de seguridad jurídica.

La verificación de los documentos será constante y se comprobará igualmente la identidad de las personas involucradas en cada fase de los trámites, para evitar el blanqueo de capitales o la financiación de actividades ilegales.

Por su parte, la verificación de identidad estará sujeta a la regulación europea eIDAS N910/2014 para las transacciones electrónicas dentro del mercado interno, aprobada en 2014 para garantizar un entorno digital seguro.

Por delante tenemos algo más de un año y medio para transponer la norma a nuestro ordenamiento jurídico y agilizar los trámites y el proceso de creación de las empresas, no solo para los emprendedores de cada país, sino también para hacérselo más fácil a las empresas europeas, pues otro de los efectos que persigue esta normativa es la ruptura de fronteras entre los estados miembros de la Unión Europea y la movilidad transfronteriza de las empresas.

Finanzas sostenibles: por un desarrollo más social y equilibradoPor qué debes estar también en TikTok