Se abre el plazo para presentar el Impuesto sobre Sociedades

David Ballester    1 julio, 2019

ACTUALIZACIÓN: 15 de julio de 2019

El 1 de julio se abrió el plazo para la presentación del Impuesto sobre Sociedades, que grava el beneficio de las empresas, en este caso del ejercicio 2018.

En este artículo compartiré contigo todos aquellos aspectos útiles, prácticos y necesarios para llevar a cabo una correcta elaboración y presentación del Impuesto.

Normativa de aplicación

Para comenzar, la normativa de aplicación de este importante impuesto es la siguiente:

El Impuesto sobre Sociedades se define como “un tributo de carácter directo y naturaleza personal que grava la renta (beneficio) de las sociedades y demás entidades jurídicas”.

La Agencia Estatal de Administración Tributaria publica la «Estadística por partidas del Impuesto sobre Sociedades», basada en las declaraciones de dicho impuesto correspondientes al ejercicio fiscal de referencia de la estadística.

Esta publicación presenta información detallada sobre las principales partidas contenidas en los modelos de declaración del impuesto, así como datos estadísticos relevantes del total de entidades declarantes de los modelos mencionados, distinguiendo entre sociedades sin entidades, aseguradoras, entidades de crédito e instituciones de inversión colectiva.

Ámbito de aplicación

En relación con el ámbito de aplicación, se determina que el Impuesto sobre Sociedades se aplicará en todo el territorio español, sin perjuicio de los regímenes tributarios forales de concierto y convenio económico en vigor, respectivamente, en los Territorios Históricos de la Comunidad Autónoma del País Vasco y en la Comunidad Foral de Navarra.

Hecho imponible

El hecho imponible sobre el que va a actuar este impuesto es, con carácter general, la obtención de rentas (beneficios) por las sociedades y demás entidades jurídicas, cualquiera que fuese su fuente u origen.

Es muy interesante destacar la definición que la normativa hace del concepto de “actividad económica y entidad patrimonial”.

Contribuyentes

Se consideran “contribuyentes” de este impuesto los siguientes, siempre y cuando tengan su residencia en territorio español:

  • Las personas jurídicas, excluidas las sociedades civiles que no tengan objeto mercantil.
  • Las sociedades agrarias de transformación, reguladas en el Real Decreto 1776/1981, de 3 de agosto, por el que se aprueba el Estatuto que regula las Sociedades Agrarias de Transformación.
  • Los fondos de inversión, regulados en la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.
  • Las uniones temporales de empresas, reguladas en la Ley 18/1982, de 26 de mayo, sobre régimen fiscal de las agrupaciones y uniones temporales de Empresas y de las Sociedades de desarrollo industrial regional.
  • Los fondos de capital-riesgo, y los fondos de inversión colectiva de tipo cerrado estipulados en la Ley 22/2014, de 12 de noviembre, por la que se regulan las entidades de capital-riesgo, otras entidades de inversión colectiva de tipo cerrado y las sociedades gestoras de entidades de inversión colectiva de tipo cerrado, y por la que se modifica la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.
  • Los fondos de pensiones, regulados en el Texto Refundido de la Ley de Regulación de los Planes y Fondos de Pensiones, aprobado por el Real Decreto Legislativo 1/2002, de 29 de noviembre.
  • Los fondos de regulación del mercado hipotecario, regulados en la Ley 2/1981, de 25 de marzo, de regulación del mercado hipotecario.
  • Los fondos de titulización, regulados en la Ley 5/2015, de fomento de la financiación empresarial.
  • Los fondos de garantía de inversiones, regulados en la Ley 24/1988, de 28 de julio, del Mercado de Valores.
  • Las comunidades titulares de montes vecinales en mano común, reguladas por la Ley 55/1980, de 11 de noviembre, de montes vecinales en mano común, o en la legislación autonómica correspondiente.
  • Los fondos de activos bancarios a los que se refiere la Disposición adicional décima de la Ley 9/2012, de 14 de noviembre, de reestructuración y resolución de entidades de crédito.

Los contribuyentes serán gravados por el Impuesto sobre Sociedades, por la totalidad de la renta que obtengan, con independencia del lugar donde se hubiera producido y cualquiera que sea la residencia del pagador.

Gastos deducibles

Por ello, es importante destacar los criterios marcados por Hacienda para la consideración de los gastos de las empresas como deducibles.

Y en particular hay específicamente una serie de gastos no deducibles en el Impuesto sobre Sociedades.

Señalar también que hay diversas entidades con personalidad jurídica que se encuentran exentas del Impuesto.

Novedades del Impuesto sobre Sociedades

La principal novedad de la campaña Sociedades 2018 consiste en que, a partir de hoy, 1 de julio de 2019, no estará disponible el programa de ayuda PADIS del Modelo 200, que será sustituido, para períodos impositivos iniciados a partir del 1 de enero de 2018, por un formulario de ayuda (Sociedades WEB), con el objetivo de introducir mejoras en la gestión de las declaraciones tributarias presentadas por los contribuyentes.

Por otra parte, para facilitar la elaboración y presentación del Impuesto, la Agencia Tributaria tiene habilitado en su web el Portal AEAT Impuesto sobre Sociedades .

A efectos prácticos, hay varias cuestiones clave recogidas en la web de la Agencia Tributaria. Las más destacadas son las siguientes:

Información práctica con respecto a otros ejercicios

Por otra parte, se han publicado diferentes novedades, de las que la mayoría tienen incidencia y es necesario conocerlas de cara a la próxima presentación del impuesto.

Vídeos prácticos sobre la nueva herramienta «Sociedades Web»

Alta de una declaración del modelo 200 en Sociedades WEB

Incorporación de datos contables a Sociedades WEB

Guardar, exportar e importar una declaración a Sociedades WEB

Presentación del modelo 200 con domiciliación

Presentación del modelo 200 con solicitud de aplazamiento

Como complemento a toda esta información práctica, es de interés el artículo publicado por el Centro de Estudios Financieros (CEF) sobre “Sentencias y Resoluciones del TEAC de interés para la declaración del Impuesto sobre Sociedades 2018”.

Los post de la semana en LUCA: del 24 al 29 de junio

Paloma Recuero de los Santos    29 junio, 2019

Apuramos el mes de junio, como siempre, con mucha actividad. No nos paran ni las olas de calor. Esta semana seguimos aprendiendo sobre Data Science y big data con nuestro webinar sobre Spark y Hadoop, y un nuevo post de serie las matemáticas del machine learning. También hablamos del Business Message y de cómo usar big data en estrategias multicanal. ¡No te lo pierdas!

Empezamos el lunes 24, contándoos cuáles son los principales actores en el mundo de la mensajería de negocio.

Business Message main players and roles

El martes, os planteamos cómo afrontar los desafíos que supone gestionar proyectos en el ámbito de Big Data, Advanced Analytics o Inteligencia Artificial.

El reto de gestionar proyectos disruptivos

El miércoles 26, seguimos aprendiendo Data Science. Continuamos nuestro experimento práctico de regresión sobre la evolución de una población de parásitos con las últimas nociones matemáticas. En el próximo post, nos pondremos manos a la obra y lo implementaremos en R. ¡No te lo pierdas!

Las Matemáticas del Machine Learning: Ejemplos de Regresión Lineal (III) y Multilineal. Contraste y fiabilidad.

El jueves 27 compartimos con vosotros la grabación del webinar sobre dos de las herramientas más utilizadas hoy día en el mundo big data: Spark y Hadoop.

LUCA Talk: Spark vs. Hadoop

Y el viernes, terminamos la semana contándoos cómo se usa el big data en las estrategias markenting omnicanal, que permiten conectar las dimensiones online y offline de cualquier negocio.

How do you capture clients on multiple channels?

Os recordamos que el próximo martes, tenemos summer meetup con las comunidades Data Science Spain & Iot Analytics Spain! El tema de trabajo en esta edición es:

«Cuando la IA se hace humana: reconociendo los sentidos»

Únete a la comunidad DataScience y apúntate

Y esto ha sido todo . ¡Feliz fin de semana!

Para mantenerte al día con LUCA visita nuestra página web,  suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.

Primer “hackathon” de emergencias

Pablo Gutiérrez Astilleros    28 junio, 2019

Los pasados día 8 y 9 de junio se celebró en la sede de Telefónica, en Distrito T, el primer hackathon de emergencias, en el que participaron nueve equipos.

El hackathon, que es un tipo de encuentro que reúne a programadores, desarrolladores y hackers, es una fórmula que se ha popularizado en los últimos años pero en este caso lo novedoso era que se trataba de desarrollar una solución en el campo de las emergencias, un sector en el que también ha impactado de lleno la transformación digital

La aparición de nuevos mecanismos de localización personal, las aplicaciones móviles, las redes sociales, la mejora de las comunicaciones de banda ancha o los drones, son algunos de los factores que han impulsado este sector y lo han convertido en un extraordinario campo de pruebas para nuevas iniciativas.

Para motivar a los participantes y ponerlos en situación del estado del arte en este I hackathon de emergencias, el encuentro arrancó con una charla motivacional de Carlos Novillo Piris, director de la Agencia de Seguridad y Emergencias de la Comunidad de Madrid Madrid 112 y Cesar Izquierdo Hernando, jefe del Servicio de Recursos Materiales en Cuerpo de Bomberos de Comunidad de Madrid.

En estas charlas se explicó cual es la labor de los Cuerpos de Emergencias de la Comunidad de Madrid, haciendo especial énfasis en el Cuerpo de Bomberos, y los retos que tiene que afrontar diariamente en el plano de la logística.

El nivel de los diferentes proyectos desarrollados durante las dos jornadas que duró la cita fue muy alto y se pudieron ver ideas para sistemas de gestión de grandes incidentes, aplicaciones móviles para el uso de los ciudadanos, wearables para mejorar la seguridad de los bomberos, sistemas de gestión logística, sistemas de gestión de vuelo para drones, sistemas de alerta temprana, etc.

El proyecto ganador, que se hizo con el premio de 6.000 euros, consistió en una aplicación móvil de autoprotección, capaz de sugerir el camino más seguro para llegar a nuestro destino y de avisar a nuestros contactos en caso de emergencia.

La experiencia fue muy positiva, así que seguro que pronto habrá una convocatoria del siguiente Hackathon de emergencias.

Este tipo de encuentro aporta una serie de valores diferenciales como que en ellos resulta clave la motivación de los participantes, los obliga a hacer una gestión óptima del tiempo, en la que concilien trabajo y descanso para que el resultado final sea el mejor posible, promueven el trabajo colaborativo orientado a la resolución de problemas y se produce un aprendizaje durante el propio proceso de trabajo.

En esta primera ocasión, el objetivo de Telefónica, a través de su programa Talentum, con este hackathon era identificar a personas capaces de resolver problemas en situaciones reales, mediante la aplicación de ideas innovadoras, el uso de las nuevas tecnologías, el trabajo en equipo y la aplicación de nuevas metodologías de trabajo, entre las que destaca agile. Los perfiles capaces de destacar en este tipo de situaciones resultan muy atractivos en la era digital.

Vacaciones sobre ruedas con IoT

Beatriz Sanz Baños    28 junio, 2019

La llegada de las vacaciones de verano nos permite visitar nuestros destinos preferidos, pero ¿a quién no le preocupa perder su maleta cuando viaja? Por suerte, IoT nos ayuda a tenerlo todo bajo control.

Cada vez son más las marcas que sacan al mercado maletas conectadas para cuidar de nuestras pertenencias. Un ejemplo de ello es Travelmate, que dispone de un chip GPS para que, en caso de pérdida, tengamos su ubicación exacta en un instante a través del móvil.

Gracias a la tecnología IoT, las maletas inteligentes se pueden controlar en todo momento a través de una app de móvil. Solo con un clic podemos saber dónde están, hacer que vayan de un sitio a otro y cerrarlas o abrirlas sin ni siquiera tocarlas.

De este modo, con Travelmate ya no tendrás que cargar con tu maleta cuando estás cansado. Esto es posible porque se conecta a tu smartphone vía bluetooth y te sigue allá donde vayas, siempre a unos centímetros de distancia con un sistema de sensores anticolisión para evitar cualquier obstáculo, acelerómetro y giroscopio para desplazarse de forma horizontal y vertical y hacer giros de 360°.

Travelmate cuenta también con un sistema de cierre seguro TSA, una batería inalámbrica de larga duración que permite cargar otros dispositivos y un sistema de iluminación LED con varios colores que indica el nivel de batería o la dirección de movimiento.

Otras compañías como BlueSmart también han sacado al mercado maletas inteligentes que se conectan al smartphone mediante bluetooth y permiten gestionar, a través de una app, su localización gracias al GPS que llevan incorporado. Además, cuentan con sensores de proximidad, candado digital y báscula digital, por lo que con la app también se puede abrir y cerrar la maleta, así como conocer su peso para saber si entra dentro del límite permitido por las compañías aéreas.

El bloqueo por huella dactilar también ha llegado a estos dispositivos. Pluggage, la maleta inteligente de la marca Delsey, ofrece una cerradura de este tipo para que tus objetos estén más seguros en caso de pérdida o extravío. Ya no nos tendremos que preocupar de dónde guardamos la llave del candado o de cuál era el código para abrirla. También nos envía un aviso a nuestro smartphone a través una app cuando la maleta se acerca a nosotros en la cinta transportadora del aeropuerto y nos informa del peso de la misma.

Ya sea por tren, avión o carretera, con las maletas inteligentes los viajes son más cómodos. Un ejemplo más de la capacidad que tienen los dispositivos conectados de hacer nuestra vida más fácil. Deja que IoT cuide de tus cosas y preocúpate solo de disfrutar de tus vacaciones.

Cómo importar un producto por primera vez: manual para novatos

Raúl Alonso    28 junio, 2019

Si hay algo que caracteriza al emprendedor es su olfato para identificar una oportunidad, y el mundo es muy grande para limitarse al mercado local. Importar un producto es uno de los modelos de negocio más ancestrales, y en la era de la economía digital sigue funcionando. Analizar oportunidades, identificar riesgos y buscar el mejor socio para cada fase de la operación son claves para el éxito. Resumimos en diez los pasos necesarios para una primera operación de compra en el exterior.

Importar es una de esas muchas actividades en las que la experiencia lo da casi todo. Aunque un mercado es hoy mucho más global y regulado que pocas décadas atrás, la compra en otros mercados exige un conocimiento específico y un arrojo imposibles de transmitir en unos cuantos párrafos. No obstante, resumimos en diez los pasos necesarios para una primera operación de compra en el exterior.

Diez pasos para importar un producto

1. Busca tu oportunidad

Muchos emprendedores buscan en la importación de productos de moda o de novedades con mucha demanda su oportunidad. Ser de los primeros en introducir en España un producto que está triunfando en otro mercado no es fácil en la era de la democratización de la información.

Sin embargo, ese mismo Internet que vocea las tendencias que triunfan en el mundo es el mejor aliado para buscar oportunidades. Herramientas como Terapeak son de gran utilidad en esta fase; se trata de una gran base de datos que analiza las compras en Ebay, ayudando a identificar esas mercancías que registran importantes picos en su demanda.

Las oficinas comerciales de otros países en España (las homólogas a la española ICEX) y, por supuesto, las ferias son otras fuentes de información, teniendo en cuenta que cuando se viaja, hay que llevar prefijado un objetivo.

2. Comprueba que no hay restricción comercial

No todas las mercancías se pueden importar, algunas están prohibidas o restringidas, por lo que antes de dar ningún paso, hay que comprobar su regulación. Del mismo modo, hay que asegurarse de que la Unión Europea (UE) no tiene ninguna restricción comercial con el país de origen.

3. ¿Necesitas la homologación de producto?

Es especialmente importante saber si la legislación de la UE va a exigir alguna homologación. Y si se va a precisar de los servicios de una empresa certificadora, siempre hay que contratar una que tenga reconocimiento en España.  

4. Conoce el tipo de arancel  

Saber el código de partida arancelaria es muy importante, porque puede facilitar o dificultar la importación del producto.

Conviene contar con la opinión de un experto, ya que el proveedor, pongamos el supuesto de un fabricante chino, puede informar de un determinado arancel y cuando la mercancía está en camino, recibir la desagradable sorpresa de que las autoridades competentes paralizan el envío, por no haber correspondencia entre el arancel declarado y la mercancía.

5. Selecciona al proveedor fabricante

Controlada la viabilidad legal de la importación, llega uno de los pasos más importantes: la selección del proveedor. En el tipo de importaciones de producto de nicho del que hablamos, la búsqueda de proveedor acostumbra a llevar a Asia, muy probablemente a China o quizá a India.

En estos escenarios conviene saber que hay dos modelos de actuación:

  • El más ortodoxo es desplazarse, siempre habiendo hecho los deberes antes, ya que hay que ir con una agenda de trabajo cerrada, si bien debe ser flexible, para aprovechar las oportunidades que siempre surgen cuando se pisa el terreno.
  • Otra alternativa es contratar a alguna agencia especializada en estos servicios, mejor si tiene oficinas en España y China. Ofrecen la selección de proveedores de producto en pocas semanas, realizando labores de auditoria del mismo, control de calidad del pedido y gestión de transporte. Sin duda, esta vía facilita la primera importación, el consejo es echar cuentas para ver si su coste no da al traste con el margen de beneficio de la operación.

6. Fija las condiciones del acuerdo: los Incoterms

El acuerdo entre comprador y vendedor puede estar sujeto a diferentes condiciones. Para simplificar este marco de negociación, la Cámara de Comercio Internacional fija unas reglas de juego que se conocen como Incoterms. Aunque pudieran cambiar, existen trece modalidades, de las que cuatro son las más importantes:

  • FOB (Free On Board, libre a bordo): establece que la responsabilidad del vendedor termina en el puerto de embarque acordado y despachadas todas las condiciones de exportación. A partir de este momento, son responsabilidad del importador todos los costos y riesgos.
  • CIF (Cost, Insurance and Freight, costo seguro): cuando la responsabilidad del vendedor termina con la entrega en el puerto convenido, incluidos los costes de flete al puerto de destino, y la contratación de un seguro por posible pérdida o daño.
  • DDP (Delivered Duty Paid): uno de los más completos es un servicio puerta a puerta en el que el vendedor se responsabiliza de toda la operativa, incluidos los trámites aduaneros, derechos de aduanas, impuestos…
  • EXW (Ex-Works): implica que el vendedor entrega la mercancía y documentos, y el comprador asume toda la logística. 

7. Trabaja siempre con mercancía certificada

Para comercializar cualquier producto en la UE, debe cumplir con los estándares de calidad regulados y es responsabilidad del importador asegurar que es así. En España Soivre (Servicio Oficial de Inspección, Vigilancia y Regulación de las Exportaciones) es el organismo que supervisa el cumplimiento y por extensión se llama ‘Soivre’ al certificado de control e inspección de productos de alimentación y otros muy comunes. El agente aduanero es quien mejor conoce estos trámites.

8. Busca un buen transitario

La logística es uno de los mayores costes en la importación de producto y uno de los puntos de gestión más delicada. La mejor decisión, en muchos casos la única, es contratar a un transitario.

Hay que confiar en su experiencia para buscar la mejor alternativa de transporte, ya que aunque el marítimo acostumbra a ser el más económico, no siempre es el más idóneo. Lo mismo ocurre a la hora de optar por contratar un contenedor propio o un servicio en grupaje. Además siempre están al corriente de las tarifas, que fluctúan mucho, según la demanda del año o el precio del combustible, y atenderán cualquier imprevisto que pudiera surgir.

9. Despacho aduanero

La importación de producto es una actividad muy regulada, por lo que algunas mercancías nunca llegan a entrar en el país por incumplimiento de la normativa, pudiendo generar importantes costes adicionales.

El objetivo es que el importador tenga el mínimo conflicto con la autoridad aduanera o, lo que es lo mismo, merecer código verde de ‘levante inmediato’, por el que se recibe el sello de conformidad sin mayor problema. Un código naranja implica que tengan que comprobar toda la documentación, y un código rojo significa la comprobación física de la mercancía.

Para facilitar el procedimiento, lo mejor es llegar con los deberes bien hechos, y esta es la función del agente de aduana, un servicio que muchos transitarios incluyen.

10. Un negocio de economía de escala

A medida que la actividad importadora gana volumen, la economía de escala va abaratando de forma importante los costes medios, que nunca están justificados para operaciones inferiores a unos 7.000 euros.

Por otro lado, tampoco conviene embarcarse en una gran importación sin tener cierta experiencia previa, única vía de tener la certeza de que se controlan todos los procesos.

Es este un escenario que nos lleva al arranque de este artículo: la experiencia es un grado para importar un producto y, si no se tiene, hay que buscar profesionales que la suplan.   

Desarrollo sostenible: una ventaja competitiva para las pymes

Mario Cantalapiedra    27 junio, 2019

La Organización de Naciones Unidas (ONU) define el desarrollo sostenible “como la satisfacción de las necesidades de la generación presente sin comprometer la capacidad de las generaciones futuras para satisfacer sus propias necesidades”. Con él se pretende lograr, de manera equilibrada, el desarrollo económico, el desarrollo social y la protección del medio ambiente, sus tres pilares básicos.

Por ejemplo, se pueden utilizar energías limpias (eólica, solar, etcétera) para lograr combinar el desarrollo económico, la mejora en el nivel de vida de las personas y el equilibrio medioambiental.

Mejorar la vida

En este sentido, la ONU ha propuesto la Agenda 2030, en la que incluye 17 Objetivos de Desarrollo Sostenible (ODS) que proporcionan orientaciones y metas claras para su adopción por todos los países, con el fin de mejorar la vida, de manera sostenible, para las generaciones futuras.

Este mensaje de la ONU poco a poco parece estar calando en los responsables de las grandes compañías a nivel mundial. Así lo demuestran las recientes juntas de accionistas celebradas por las dos principales entidades financieras españolas, Banco Santander y BBVA, en las que los planes futuros sobre desarrollo sostenible estuvieron muy presentes.

En concreto, el Banco Santander adquirió ante sus accionistas el doble compromiso de eliminar todos los plásticos de un solo uso en sus edificios corporativos para 2021, y de consumir energía cien por cien procedente de fuentes limpias para 2025.

Por su parte, el BBVA se comprometió a movilizar un mínimo de 100.000 millones de euros para financiar actividades sostenibles y contra el cambio climático hasta 2025, y a reducir progresivamente su demanda de energías no renovables hasta que signifiquen un treinta por ciento de su consumo en 2025, y un cero por ciento en 2030.

Estrategia de diferenciación

Las grandes empresas presienten que deben ser agentes del desarrollo sostenible y en consecuencia están actuando, ¿pero qué ocurre con las pequeñas y medianas empresas, que tienen menos recursos?, ¿pueden apostar por el desarrollo sostenible? Me atrevería a decir que no solo pueden, sino que deben hacerlo si lo que desean es sobrevivir a largo plazo.

Apostar por el desarrollo sostenible puede significar para las pymes, más allá de un beneficio económico, una interesante estrategia de diferenciación en un mercado que está demasiado obsesionado por ser el más barato.

Muchos clientes, sobre todo los pertenecientes a las generaciones más jóvenes, desean comprar bienes y servicios que sean sostenibles y se comercialicen pensando no solo en ganar dinero, sino también en la situación futura del planeta.

De este modo, una pyme puede fortalecer su competitividad si, por ejemplo, fabrica productos a través de procesos que sean respetuosos con el medio ambiente, lo certifica y lo da a conocer a sus clientes.

Objetivos de Desarrollo Sostenible

Luego si estás al frente de una pequeña o mediana empresa puede que te interese diseñar tus productos teniendo en cuenta los ODS de la ONU, que en concreto se refieren a los siguientes aspectos:

  • Fin de la pobreza: acabar con la pobreza en todas sus formas en todo el mundo.
  • Hambre cero: poner fin al hambre, lograr la seguridad alimentaria y la mejora de la nutrición y promover la agricultura sostenible.
  • Salud y bienestar: garantizar una vida sana y promover el bienestar para todos en todas las edades.
  • Educación de calidad: garantizar una educación inclusiva, equitativa y de calidad y promover oportunidades de aprendizaje durante toda la vida para todos.
  • Igualdad de género: lograr la igualdad entre todos los géneros y empoderar a todas las mujeres y las niñas.
  • Agua limpia y saneamiento: garantizar la disponibilidad de agua y su gestión sostenible y el saneamiento para todos.
  • Energía asequible y no contaminante: garantizar el acceso a una energía asequible, segura, sostenible y moderna para todos.
  • Trabajo decente y crecimiento económico: promover el crecimiento económico sostenido, inclusivo y sostenible, el empleo pleno y productivo y el trabajo decente para todos.
  • Industria, innovación e infraestructura: construir infraestructuras resilientes, promover la industrialización inclusiva y sostenible y fomentar la innovación.
  • Reducción de las desigualdades: reducir la desigualdad en y entre los países.
  • Ciudades y comunidades sostenibles: lograr que las ciudades y los asentamientos humanos sean inclusivos, seguros, resilientes y sostenibles.
  • Producción y consumo responsables: garantizar modalidades de consumo y producción sostenibles.
  • Acción por el clima: adoptar medidas urgentes para combatir el cambio climático y sus efectos.
  • Vida submarina: conservar y utilizar en forma sostenible los océanos, los mares y los recursos marinos para el desarrollo sostenible.
  • Vida de ecosistemas terrestres: gestionar sosteniblemente los bosques, luchar contra la desertificación, detener e invertir la degradación de las tierras y detener la pérdida de biodiversidad.
  • Paz, justicia e instituciones sólidas (promover sociedades justas, pacíficas e inclusivas).
  • Alianzas para lograr los objetivos: revitalizar la Alianza Mundial para el Desarrollo Sostenible.

Cómo prevenir un ciberataque y qué hacer si ya has sido atacado

Alberto Fernández Castro    27 junio, 2019

Cada día nos despertamos con noticias frescas acerca de una nueva vulnerabilidad descubierta, nuevas apps que se han manifestado como poco «legales» a pesar de estar en su marketplace correspondiente o una nueva fuga de datos que atañe a esta o aquella empresa y que ha dejado expuestos (quizá) algunos de nuestros datos personales.

Ello nos da una pista de que la ciberseguridad -todo lo relacionado con la protección de la información y de las tecnologías alrededor de ella- es algo que nos afecta a todos: personas, empresas y administraciones.

La información es el activo más importante de cualquier organización: cualquier ataque, cualquier incidente que afecte a los datos puede causar graves daños al negocio.

Motivaciones de los hackers

Existen diferentes motivaciones a la hora de realizar un ciberataque, siendo la principal la de obtener un beneficio económico. Otras motivaciones son:

  • El ciberespionaje: se produce entre empresas que intentan obtener más datos sobre los avances o evoluciones tecnológicas y de negocio de su competencia. También entre los propios estados que, mediante la adquisición de información clave, logran obtener ventajas estratégicas que condicionarán la toma de decisiones geopolíticas.
  • El «hacktivismo«, donde grupos organizados deciden atacar ciertos objetivos y, de esa forma, defender o apoyar ‘causas nobles’, ¡según su criterio, claro!

El hacker busca información

Se producen miles de ciberataques a diario, muchos de los cuales pasan desapercibidos y no los leeremos en la prensa. Hoy en día podríamos hablar de algunos de los más frecuentes, como son:

  • Ransomware, mediante el que se cifra la información que pueda tener una empresa y se pide posteriormente un rescate por ella. Rescate que, de ser pagado, no garantiza para nada su recuperación.
  • Criptojacking, donde nos roban capacidades de computación para realizar minería de critpomonedas. Este tipo de ataques está duplicando su número de casos a nivel global.
  • Fugas de información: cada vez salen a la luz más casos de empresas donde, por uno u otro motivo, se ha producido alguna brecha de seguridad que ha permitido la filtración de datos personales de usuarios y clientes.

Asimismo, con el desarrollo de las Tecnologías de la Información (TI) y la aparición de nuevas tecnologías disruptivas, se prevé un aumento significativo de los ciberataques relacionados con las mismas. Es el caso del IoT (Internet de las Cosas) donde más y más dispositivos están conectados, lo que aumenta el potencial de objetivos a elegir y de la Inteligencia Artificial, que está dando lugar a ataques que exploran vías hasta ahora inimaginables y que hará que, de nuevo, los buenos tengan que exprimirse las células grises para lograr poner en marcha medidas defensivas eficaces.

Los ciberataques en España

En España seguimos las tendencias generales, el criptojacking continua también en aumento superando al ransomware. También es muy destacable que somos uno de los países a nivel global con mayor número de casos de phishing.

Con el phishing se suplanta la identidad de una empresa u organismo para intentar robarnos datos personales, no es un ataque novedoso y, a pesar de ello, continúa afectando a muchas empresas. En nuestro país es especialmente relevante en el sector banca y en las tiendas online.

Las pequeñas empresas son el objetivo favorito de los ciberdelincuentes; se estima que entre un 50% y un 70% de los ataques se dirigen a ellas.

El motivo es que, aunque el rédito económico que suelen obtener puede no ser muy elevado, tienen más fácil superar las escasas barreras de seguridad que puedan tener (de tenerlas) y además disponen de un número de objetivos más elevado.

Es difícil estimar el coste medio de uno de estos incidentes, dado que depende de muchos factores. Hace un par de años, el INCIBE indicaba que 75.000€ podría ser el coste medio de un ciberataque en España.

Un ciberataque tiene consecuencias de todo tipo, desde la pérdida de reputación a los costes directa e indirectamente relacionados con la resolución y recuperación de este. Diferentes datos muestran que ¡más de la mitad de las pymes no se recuperan tras haber sido víctimas de un ciberataque!

¿Cómo debería protegerse una pyme?

Como decíamos, la información es el activo más importante que tiene una empresa y sobre el que debería diseñar todo su Plan de seguridad, comenzando siempre por los componentes que sean más críticos para el negocio.

De forma resumida podríamos hablar de una estrategia centrada en:

  • Proteger los puestos de trabajo de los empleados, ya sean ordenadores fijos, portátiles o dispositivos móviles.
  • Proteger la red de la empresa, tanto para la publicación de servicios (web, extranet, apps) como la navegación de los empleados por Internet.
  • Medidas que afectan de forma transversal a la compañía como la protección de datos de carácter personal, con la adecuación al RGPD, así como la protección de servidores y otros elementos al servicio del negocio.

Plan de contingencia ante un ciberataque

Es realmente importante contar con un Plan de contingencia que permita que una empresa pueda recuperarse lo antes posible ante un incidente y minimizar las consecuencias que este pueda generar.

Un Plan de contingencia se compone de diferentes elementos, siendo uno de los fundamentales y que todas las compañías deberían tener, el disponer de una copia de seguridad de la información de los PC y servidores en la nube.

Si entramos más en detalle, soluciones de seguridad hay muchas y las medidas que se deben implantar dependerán de cada negocio y cada casuística. El “kit básico de ciberseguridad” debería contar, al menos, con:

  • Antivirus avanzado, que nos permita protegernos contra malware y ataques no conocidos. Se estima que los antivirus tradicionales solo son capaces de detener un 60% del malware.
  • Un firewall de nueva generación, ya sea en la sede de la empresa o en red, con el que podamos proteger la conectividad de la empresa y la navegación de los empleados.
  • Soluciones para la limpieza del correo electrónico, uno de los principales vectores de entrada del malware.
  • Una adecuada copia de seguridad de la información.

Y no olvidemos una cuestión que, aun no siendo una solución tecnológica, resulta igual o más efectiva: la formación y concienciación de la organización en cuanto a la importancia de la seguridad en toda la compañía. Si no somos conscientes de su relevancia y hacemos de la ciberseguridad un elemento transversal que se integre en la cultura de la compañía, será difícil que logremos dar los pasos adecuados.

Si tu empresa ha sido atacada…

Lo más importante siempre es tomar las medidas preventivas necesarias para evitar o minimizar las consecuencias de un ciberataque.

En caso de que una pyme ya haya sido atacada, debería poner en marcha su Plan de continuidad de negocio y el Plan de contingencia, si dispone de ellos, claro.

Por un lado, hay que proceder a detectar y detener el ataque, tomando las medidas de limpieza y protección que sean necesarias.

En segundo lugar, una vez detenido el ataque, recuperar el negocio para lograr estar operativos lo antes posible.

Posteriormente adoptar las medidas de respuesta que apliquen, como tener en consideración si el ataque ha afectado a datos de carácter de personal, que pudiera implicar avisar a los afectados y ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD) e incluso cursar la correspondiente denuncia ante los cuerpos y fuerzas de seguridad del Estado, para que realicen las investigaciones pertinentes.

En conclusión, no siempre una pyme cuenta con los perfiles especializados para tomar las medidas de protección necesarias en ciberseguridad. De ahí la importancia de contar con socios de confianza que nos ayuden tanto en el proceso de análisis y definición de nuestro Plan de seguridad como en la puesta en marcha y gestión del día a día.

No obstante, el primer paso siempre debe partir de la pyme, es decir, la empresa es la que debe tomar conciencia de los riesgos existentes, de la importancia de la seguridad y de tomar medidas adecuadas que eviten, en la medida de lo posible, sufrir un ciberataque que pueda llegar a ocasionar pérdidas irreparables en su negocio.

Foto: Geralt

Estos son nuestros ElevenPaths CSEs en España

ElevenPaths    27 junio, 2019

¿Todavía no conoces el programa de CSAs de ElevenPaths? Nuestros Chief Security Ambassadors son expertos en ciberseguridad, embajadores de nuestra marca alrededor del mundo cuya misión es promocionar la cultura de la seguridad a través de conferencias y artículos.

Desde ElevenPaths consideramos su aportación de gran importancia y es por eso que queremos ampliar el alcance de estos embajadores con nuestro programa de reconocimiento de profesionales del sector de la ciberseguridad creando una nueva figura: los ElevenPaths CSE (Chief Security Envoy). Este programa se lanzó en España y Ecuador de manera paralela, en primer lugar os queremos presentar a los expertos seleccionados para el programa en España y, en unos días, os presentaremos a nuestros ElevenPaths CSE en Ecuador. A continuación, una breve descripción de nuestro nuevos CSEs en España.

Juan Francisco Bolivar

Fran es Security & Risk Manager en una importante compañía de la industria farmacéutica con presencia en más de 25 países. Además, ha escrito el libro «Infraestructuras críticas y sistemas industriales: Auditorias de seguridad y fortificación» de la editorial 0xWord. Es Ingeniero de Telecomunicaciones por la UAH y Master en Seguridad por la UNIR, profesor en el Master de seguridad Informática de la Universidad de Castilla la Mancha y profesor del master de Ciberseguridad y Ciberdefensa del Ejército Colombiano. También ostenta distintas certificaciones como CEH de Ec-Council, CISA de ISACA y GCIH de SANS entre otras. Ha sido ponente en conferencias como, Hackron, Sh3llcon, HoneyCon, Cybercamp, ISACA, CiberSeg, Palabra de Hacker. Como investigador de seguridad ha obtenido más de 10 CVE en el sector Industrial (Honeywell, Siemens, Cisco, Schneider Electric).

Antonio Fernandes

Antonio lleva prácticamente 20 años implicado en proyectos de ciberseguridad. Actualmente es Cybersecurity Manager en una importante empresa del sector industrial Gallego. Anteriormente ha trabajado en distintos sectores como la banca, el retail o la consultoría. Ha participado en diversos foros especializados y generalistas, como son NoCOnName, Citech, Librecon y en varias acciones formativas de universidades. Es también miembro activo de la organización del evento trimestral Hack&Beers Vigo y del congreso de seguridad, viCON.

Carmen Torrano

Carmen es doctora en Informática por la Universidad Carlos III de Madrid. Desarrolló este doctorado, especializado en seguridad informática e inteligencia artificial, en el Consejo Superior de Investigaciones Científicas. Actualmente trabaja en Telefónica, en el departamento de Seguridad IoT, la cual pertenece tanto a ElevenPaths como al área de IoT. Además, paralelamente desarrolla labores docentes en universidades españolas. Carmen ha publicado en numerosas conferencias y revistas relevantes en el área de la ciberseguridad y colabora en la difusión de contenidos científico-técnicos.

Andrés Naranjo

Andrés es Analista en Ciberinteligencia en el departamento de Venta Especialista de ElevenPaths, donde colabora en las ofertas comerciales de Telefónica hacia sus mayores clientes como asesor técnico. Posee múltiples certificaciones en ciberseguridad y formación específica en ciberinteligencia. Experto en ciberinteligencia de detección de amenazas, Open-Source Intelligence y Redes Sociales. Habitualmente colabora en eventos para difundir la educación en seguridad de los datos.

Carlos Rodríguez Morales

Carlos es CEO de ARPSecure, proyecto personal sobre servicios de Ciberseguridad, que compagina con la dirección del área de negocio de Business Information Security en Sistel. En su (escaso) tiempo libre, es miembro de ISACA y Cibercooperante en INCIBE, donde desarrolla una intensa labor en la divulgación de la ciberseguridad a través de charlas de sensibilización en centros que requieren de este tipo de formación. Además, es impulsor de Hack&Beers Alicante, ponencias gratuitas para interesados en la seguridad informática.

Su carrera ha estado enfocada en áreas de responsabilidad en Sistemas de información en empresas como Adeslas, IMS Health, y EUIPO. Paralelamente ha estado interesado en la seguridad de la información y desde hace años su principal foco profesional en proyectos como Siemlab, Sistel_BIS o ARPSECURE.

Pilar Vila

Pilar es Ingeniera Informática por la Universidad de A Coruña, perteneciente al cuerpo oficial de Peritos de Galicia. Acreditación profesional de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. Cuenta con más de 15 años de experiencia laboral en el ámbito de las TIC como analista, programadora y perito informático. Actualmente es CEO y Cofundadora de Forensic & Security, empresa centrada en ciberseguridad e informática forense, y de Developers Forensics Tools, empresa centrada en el desarrollo de soluciones de ciberseguridad hardware/software. Dispone de certificaciones CHFI otorgada por EC-Council y se encuentra preparando doctorado en Informática Forense y Ciberseguridad en la universidad de A Coruña.

También compagina su actividad profesional con la docencia de Informática Forense en distintos másteres de Seguridad, actualmente en la UCLM y en las universidades de A Coruña y Vigo y docente de ciberseguridad, en Jornadas para la Guardia Civil y Policía Nacional en Galicia y para la Armada Española.

Además es autora del libro “Técnicas de Análisis Forense Informático para Peritos Judiciales Profesionales“ de la editorial 0xWord.  Co-organizadora del evento de ciberseguridad Maria Pita DefCon y pertenece a la junta directiva del Colegio de Ingeniería Informática de Galicia.

Amador Aparicio

Amador Aparicio

Amador es Ingeniero Superior en Informática por la Universidad de Valladolid  y ha cursado un PostGrado en Seguridad de las Tecnologías de la Información y Comunicación por la Universidad Oberta de Catalula y la Universidad Autónoma de Barcelona. Trabaja como Profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato, actividad que compagina con la de Profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Además, es Mentor/Seleccionador dentro del programa Talentum Startups de Telefónica.

Ha sido ponente en los principales congresos de Seguridad Informática en España, como Navaja Negra , Jornadas STIC organidadas por el CCN CERT, RootedCON  y SecAdmin.

También es coautor del libro “Hacking Web Tecnologies”.

Claudio Chifa

Claudio es experto en ciberseguridad con más de 15 años de experiencia y dispone de reconocidas certificaciones a sus espaldas. Entre sus intereses destacan las ciencias forenses y el cloud computing. Ha dado charlas y ponencias en diferentes foros públicos como Cybercamp, UbuCon Europe, CEF y es colaborador habitual de diferentes asociaciones de peritos y FCSE. Actualmente, trabaja como Director ITaaS en IDavinci donde coordina varias iniciativas I+D en varios ámbitos IT/OT.

Miembro de ENISA en la lista de expertos de: (A1) A1 group: Internet of Things, eHealth, cyber insurance, smart infrastructures, Smart Grids, Mobile technologies, network interdependencies, ICS-SCADA, RFID, etc.

Antonio Gil

Antonio es un tecnólogo y apasionado por el mundo de la empresa. Trabaja en Softcom desde hace 30 años, donde además de ser el CEO y fundador, dedica gran parte de mi tiempo a otra de sus pasiones como es la ciberseguridad. Desarrolla su actividad dentro del área de la gestión de la seguridad de la información como auditor, y también actúa como perito tecnológico. Es presidente de la Asociación de Peritos Judiciales Tecnológicos de Andalucía (APTAN) y mentor en ciberseguridad en Andalucia Open Future (AOF) en Sevilla. Todas estas actividades las compagina con el cargo de Director del Máster en Ciberseguridad de la Universidad Loyola Andalucía

Para los organizadores de eventos, charlas y conferencias que quieran contar con alguno de estos expertos en los mismos, ponemos a su disposición una dirección de correo. [email protected] en el que esperamos sus solicitudes. ¡Estaremos encantados de acudir a compartir conocimiento!

CISO Day: la ciberseguridad en España vista por los directores de seguridad

José Manuel Ávalos Morer    27 junio, 2019

El pasado 12 de junio, con objeto de debatir sobre la ciberseguridad en España, la revista Cybersecurity News reunió a una treintena de ponentes y más de 400 profesionales de este ámbito en su I edición del CISO Day en Madrid.

Como no podía ser de otra manera, Telefónica estuvo presente, a través de su unidad de ciberseguridad, ElevenPaths, con la participación en la primera mesa de debate de su CDO Chema Alonso y la experta en seguridad IoT de Telefónica, Carmen Torrano.

Las ponencias giraron en torno al estado del arte de la ciberseguridad en España y la figura del director de seguridad de la información o, como se les conoce por sus siglas en inglés: CISO (Chief Information Security Officer), una figura que tiene un mayor peso en las grandes compañías pero empieza a abrirse paso en las pequeñas empresas de nuestro país. Además del sector privado, estuvieron presentes muchas instituciones públicas como INCIBE (Instituto Nacional de Ciberseguridad), CCN-CERT (Centro Criptológico Nacional) y CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Podéis acceder a un resumen de cada ponencia realizado por la organización.

Estado del arte de la ciberseguridad

A lo largo de la jornada resultó patente que queda mucho por hacer en nuestro país, aunque se recalcó que se están realizando grandes avances en materia de securización de activos de información y desde los puestos de dirección de las empresas se está consolidando la necesidad de proteger los datos. Se están haciendo los deberes en materia de legislación tanto institucionalmente como desde el ámbito privado. Prueba de ello son la reciente Estrategia de ciberseguridad nacional, las normativas respecto a la privacidad (RGPD) o los estándares ISO en relación con la seguridad de la información. Si bien España se encuentra en una muy buena posición en materia de ciberseguridad, situada en algunos índices entre los primeros países del mundo, en contrapartida es uno de los que más ataques sufre.

Asimismo, los CISO apuntaron en una misma dirección: la necesidad de proteger la convergencia de la tecnología en este momento con la idiosincrasia y cultura empresarial. A pesar de pertenecer a diferentes sectores económicos, todos compartieron este anhelo que les afecta en mayor o menor medida. Además, la nueva realidad digital de las organizaciones pasa por contratar cada vez más servicios y tecnologías de terceros, como los servicios cloud de alerta temprana o IoT, la emergente conexión de aparatos en la red, que indudablemente condicionan las estrategias de ciberseguridad de cualquier corporación.

En definitiva, los CISO se están focalizando en las personas, los procesos y las nuevas tecnologías para llevar a buen puerto la seguridad de la información en sus empresas.  

En cuanto a las personas, destacaron la necesidad de planes de concienciación en materia de seguridad de la información, tanto para los profesionales encargados de la seguridad de la información como para el resto de los empleados. La constante aparición de nuevas tecnologías condiciona la forma de relacionarse y de trabajar, lo que pasa por mantener constantemente debidamente informadas, formadas y sensibilizadas en materia de ciberseguridad a las plantillas de cualquier empresa.

Finalmente se alertó de la necesidad de formar un área o grupo de profesionales dedicados a proteger los activos de información de las empresas, conformado por especialistas y profesionales, como hackers, técnicos, abogados, consultores, etc., que lideren la transformación digital de forma segura y controlada. 

Imagen: Christiaan Cole

Las mujeres hacker impulsan Aura, la Inteligencia Artificial de Telefónica

Cristina de la Cruz    26 junio, 2019

Telefónica es la telco pionera en introducir la Inteligencia Artificial (IA), a través de Aura,  para facilitar la comunicación con sus clientes. Detrás de esta iniciativa, una de las más ambiciosas de la Compañía, destacan los perfiles de Irene Gómez, Ana Molina, Marta Pérez o Sarita Saffon, algunas de las hacker que ponen voz y rostro femenino al proyecto. Todas ellas participan con asiduidad en eventos relacionados con la tecnología donde ponen de manifiesto los avances de Telefónica en IA.

Diseñando una personalidad para la Inteligencia Artificial

Uno de los puntos que más se han tenido en cuenta a la hora de diseñar Aura, ha sido estudiar el tipo de relación entre el ser humano y la IA, estudiando los retos de diseño que plantean los nuevos patrones de interacción como el uso de la voz. Ana Molina, Service and Experience Designer en Telefónica Aura, durante su intervención en la sexta edición de Experience Figthers, resumía esos retos con la frase:

“Diseñar una interfaz inteligente requiere dominar el diseño conversacional, explotando al máximo el contexto y los datos, pero, sobre todo, estar preparados para lo inesperado.”

Ana Molina
Ana Molina durante su ponencia en Experience Fighters

Considerando siempre la experiencia de usuario

En términos de la experiencia global del usuario con Aura, Marta Pérez y Sarita Saffon, UX Researchers en Telefónica Aura, centran su trabajo en la investigación de usuarios y la gestión de ideas, y su experiencia se basa en el diseño de nuevos procesos y herramientas para ayudar a identificar los comportamientos y necesidades de los usuarios. Así lo explicaron en el evento Redbility Damn! I´m researcher

“La importancia del research con usuarios en proyectos de innovación, en especial en tecnologías retadoras como la Inteligencia Artificial es fundamental para traer la experiencia del usuario a todo el proceso de diseño y la toma de decisiones dentro de la empresa”

Sarita Saffon
Marta Pérez y Sarita Saffon en Redbility Damn! I´m researcher.

Apostando por equipos multidisciplinares

La mejor forma de desarrollar una IA es contando con equipos multidisciplinares, por ello dentro del proyecto Aura -con Irene Gómez al frente- tratan de romper barreras y eliminar los sesgos, “con un equipo que desarrolle de forma diversa y teniendo en cuenta que los datos de entrenamiento de la IA sean representativos de una sociedad de forma equilibrada”, tal como declaró la directora de Telefónica Aura en el ciclo de conferencias Tecnobienestar. Otro de los puntos clave a destacar en lo relativo al empleo de la IA en Telefónica es la implementación de una serie de principios éticos para regular el uso de los datos de sus clientes.

Irene Gómez hablando sobre Aura en una de sus comparecencias públicas

Telefónica ha comprendido la importancia de la paridad en el mundo tecnológico para su desarrollo, teniendo como abanderadas de Aura a mujeres hacker que gracias a su labor han logrado posicionar a la empresa a la cabeza en lo que respecta al uso de la IA dentro de las telco.

Si quieres conocer más sobre Aura, visita los tomos 1 y 2 que te cuentan su historia desde su nacimiento hasta nuestros días.