Conociendo las ventajas del gobierno de datos

Jorge A. Hernández    4 noviembre, 2022

En medio de un planeta inundado por datos -se espera que en 2035 se produzcan 2.142 zettabytes-, es necesario que las organizaciones adopten modelos para proteger y administrar su información, bienvenidos a la esencia del data governance o gobierno de datos.

Desde hace años escuchamos la importancia de los datos en las organizaciones: Big Data, Small Data y Fast Data, entre otras variables, y cómo en ellos podría estar la diferencia para triunfar en un mercado hiper competido, pero ¿cómo hacerlo?

El gobierno de datos es una respuesta a este problema, se trata en sí de un modelo, un conjunto de normas, políticas y procesos que permite gestionar los datos de una organización durante su ciclo de vida, desde la adquisición hasta la eliminación.

Su objetivo es que estos datos estén disponibles cuando se necesiten y 

sean seguros, útiles, privados y precisos. En otras palabras, se busca tener datos de calidad, un tema vital cuando tenemos en cuenta que las empresas pierden un promedio de 11,8 millones anuales por este mal.

¿Y cómo hacerlo?

Por fortuna existen entidades como el DAMA, el Data Management Association, una entidad sin ánimo de lucro que ha venido trabajando en desarrollar estándares para la administración de los datos. Y es que la clave para hacerlo es empezar a verlos como activos de una empresa.

Por ello, lo primero a la hora de pensar en una estrategia de datos se debe establecer a una persona responsable. En las grandes empresas se le suele denominar chief data officer o CDO, pero en muchas organizaciones suele ser un líder de alta gerencia.

Otro paso vital es definir objetivos y métricas que permitan medir los avances y fallas en los procesos. Después de esto, se establecen políticas claras que se comunicarán a toda la organización. Tras lo cual se impondrán mediciones y auditorías.

La importancia de involucrar a la alta gerencia es vital en este proceso para garantizar que las políticas sean acatadas de forma rápida y eficiente. Esto es aún más importante en empresas donde no existe una cultura orientada hacia los datos.

Aunque los cambios suelen enfrentar cierta resistencia, el gobierno de datos vale la pena pues sus múltiples beneficios van desde una ventaja competitiva y una reducción de costos, hasta generar confianza dentro de las organizaciones pues los líderes estarán mejor informados.

Además, la gobernanza ayuda a las organizaciones en el cumplimiento de las regulaciones locales e internacionales otorgando mayor visibilidad en la cadena productiva y al mismo tiempo, reduciendo riesgos. 

O dicho de otra forma, la gobernanza permite conocernos como organización para tener mayor certeza en nuestras decisiones futuras.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a tomar mejores decisiones -con base en datos-, para el crecimiento de tu negocio visítanos.

Imagen tomada de out-team en Freepik

Boletín semanal de Ciberseguridad, 28 de octubre – 4 de noviembre

Telefónica Tech    4 noviembre, 2022

Vulnerabilidades corregidas en nueva versión de OpenSSL 

El pasado miércoles se hizo pública la nueva versión de OpenSSL, la 3.0.7, anunciada la semana pasada por los desarrolladores del proyecto.

La expectación alrededor de esta versión era elevada debido a que, en principio, se iba a parchear una vulnerabilidad crítica en el software, la primera de esta gravedad desde 2016. Finalmente, la nueva versión incluye soluciones para dos vulnerabilidades consideradas de importancia alta, rebajando así la criticidad inicial anunciada.

La vulnerabilidad que había provocado mayor alerta es la CVE-2022-3602, un fallo de desbordamiento de búfer en el proceso de verificación de certificados que requiere que una entidad certificadora (CA) haya firmado un certificado malicioso o que la aplicación prosiga el proceso de verificación sin una ruta válida. Si bien un atacante podría provocar el fallo mediante una dirección de correo maliciosa, muchas plataformas incorporan ya protecciones para evitar este tipo de ataques.

La segunda vulnerabilidad corregida, también con criticidad alta, CVE-2022-3786, se trata también de un desbordamiento de búfer en el mismo proceso, pero basado en la longitud de la dirección de correo. 

Más info

* * *

Nueva campaña de Emotet tras cinco meses de inactividad

El equipo de investigadores Cryptolaemus, especializado en el estudio del malware Emotet, ha anunciado en Twitter que los operadores del famoso malware han reanudado sus acciones maliciosas tras cinco meses de inactividad.

En concreto, se ha detectado una campaña de infección con Emotet vía email en la que distribuye archivos Excel maliciosos. Para evitar la protección Mark-of-the-Web (MoTW), en el mail se instruye a la posible víctima que copie el archivo Excel en la carpeta Templates, lo que permitirá abrirse fuera del modo protegido y así ejecutar las macros que descargarán el malware en el equipo objetivo.

A continuación, el malware Emotet se descarga como un archivo DLL en carpetas aleatorias creadas en la ruta %UserProfile%\AppData\Local.

De acuerdo con los datos disponibles, esta campaña de reactivación estaría teniendo un impacto global, distribuyendo sus archivos maliciosos en diversos idiomas. 

Más info

* * *

Uso de Raspberry Robin en cadenas de infección complejas 

Investigadores de Microsoft han reportado en los últimos días nuevos descubrimientos acerca del malware Raspberry Robin. De acuerdo con su análisis, este software malicioso se podría estar comercializando como puerta de entrada a los sistemas de las víctimas para, posteriormente, instalar otros malware o llevar a cabo otras actividades.

Durante el pasado verano, Raspberry Robin habría sido utilizado para instalar el malware FakeUpdate por parte de grupos maliciosos cercanos a EvilCorp, llegando a intervenir en cadenas de infección con el ransomware Lockbit.

Más recientemente, Raspberry Robin se estaría utilizando para desplegar otros malware como IcedID, Bumblebee y Truebot. Asimismo, Microsoft ha observado su uso por parte del grupo FIN11/TA505, que lo estaría utilizando junto con Truebot para desplegar balizas de Cobalt Strike y lograr infectar a sus víctimas con el ransomware Clop, permitiendo así a este grupo abandonar el phishing como inicio de la cadena de infección tal y como venía siendo habitual.

Cabe destacar que, de acuerdo con Microsoft, cerca de 3.000 dispositivos de 1.000 organizaciones distintas se habrían visto afectados de algún modo por Raspberry Robin en el último mes. 

Más info

* * *

Google corrige una vulnerabilidad 0-day para Chrome

Google ha lanzado una actualización para Chrome en la que corrige una vulnerabilidad 0-day para la que existe un exploit público. 

La vulnerabilidad, identificada como CVE-2022-3723, fue descubierta por investigadores de Avast y se trataría de un problema de confusión de tipo en V8 el motor JavaScript en Chrome que se desencadenaría al recibir sets de datos marcados tanto como de confianza como sin ella.

La explotación exitosa de la vulnerabilidad permitiría a un atacante remoto la manipulación de datos en el sistema de la víctima y la escalada de privilegios.

Se recomienda actualizar el navegador con la mayor brevedad posible, a la versión 107.0.5304.87 en Mac y Linux y 107.0.5304.87/88 en Windows

Más info

* * *

RomCom RAT lanza una campaña a través de falsificaciones de KeePass y SolarWinds

Investigadores de BlackBerry Threat Research han descubierto la existencia de una campaña del RAT (Remote Access Trojan) RomCom con nuevos vectores de acceso. Según el equipo de BlackBerry, RomCom ha clonado las páginas oficiales de descarga de varios softwares ampliamente utilizados como el monitor de redes SolarWinds, el gestor de contraseñas KeePass o el lector de archivos PDF Reader Pro.

RomCom ha copiado el HTML original para reproducirlo en dominios con errores tipográficos que dan apariencia de veracidad a estas URLs maliciosas. De hecho, en el caso de SolarWinds junto con el archivo infectado el usuario será redirigido a la página oficial de registro de SolarWinds para ser contactado por el servicio de atención al cliente legítimo con intención de evitar sospechas por parte de la víctima.

En las piezas de malware analizadas, el archivo setup.exe se ha observado ejecutando el fichero hlpr.dat, que contiene el dropper que instala RomCom. Esta campaña se propaga a través de técnicas de phishing, SEO poisoning e ingeniería social. 

Más info

Primera impresión, el pasaporte al éxito personal y laboral

Raúl Alonso    4 noviembre, 2022

La imagen que proyectamos hacia los demás no solo influye en cómo nos van a valorar nuestros interlocutores en un primer contacto, también refuerza o debilita nuestra propia autoestima. Sentimientos de dominio o inseguridad, de tranquilidad o intranquilidad, que de alguna manera van a condicionar nuestra actuación contribuyendo a generar el juicio que en los demás merecemos. Cuidar la primera impresión es importante, porque cambiar esa percepción va a ser complicado, y exige un tiempo que en muchas ocasiones no tenemos.

Leo en El negociador efectivo, de Mercedes Costa, una guía para profesionales, directivos y todo aquel que negocia o, lo que es lo mismo, para cada uno de nosotros que “La vida que tenemos no es el resultado de la casualidad o del esfuerzo, sino de lo que hemos sabido negociar”. Entre la abundante información práctica que su autora, abogada y divulgadora, aporta, me ha llamado la atención el capítulo dedicado a la comunicación no verbal. Y sobre esas ideas me gustaría compartir algunas reflexiones.

 

Habla lo que expresas y expresa lo que hablas

“Debemos aprender a hacer de nuestra presencia interpersonal nuestro mejor aliado”, escribe Costa. La dificultad está en cómo conseguir que esa primera impresión sume.

Cómo nos movemos, vestimos y hablamos, saludamos y despedimos, o el propio espacio que ocupamos son elementos que construyen esa primera impresión en el otro, y aunque cada cultura tiene su código, los investigadores han descubierto rasgos comunes como que las personas que ostentan más poder tienden a “adoptar posturas más expansivas”.

Y es que en esa primera impresión hay mucho de pulso en el reparto de los roles de superioridad e inferioridad que de forma más o menos sutil gobiernan cada relación humana, también en la negociación.

Elementos patógrafos: qué señales envía tu cuerpo

Para trasladar esa primera impresión, es muy importante tomar consciencia de las señales que nuestro cuerpo envía, punto en el que Costa introduce el término «elementos patógrafos». Se trata de “esos mensajes que hablan de nuestras emociones y estados de ánimo sin que usemos palabras y ni siquiera queramos expresarlo”.

Respiración agitada, muletillas en el discurso, movimientos compulsivos o descontrolados en las manos y pies están impactando en el interlocutor, en muchas ocasiones sin que seamos conscientes de nuestro comportamiento. Y como de lo que se trata es de aportar soluciones, Costa lanza dos consejos.

El primero trabajar técnicas de mindfulness (un concepto muy presente en todo el libro). Como sabéis, esta disciplina tiene como objetivo la plena consciencia de nuestra presencia, lo que permite tomar control del mensaje oral y gestual. Y en segundo lugar, “preparar, preparar y preparar la negociación […] Disminuirá la activación y el miedo con el que llegamos a negociar y, por tanto, hará que disminuyan e incluso desaparezcan los elementos patógrafos a los que tanto tememos”.

Elementos ilustradores: úsalos con coherencia

Otros elementos que refuerzan o debilitan esa primera impresión son los llamados ilustradores: “Su función es acompañar e ilustrar aquello que decimos con palabras”.

Son gestos comunicativos conscientes, como los movimientos de mano, los cambios de ritmo y tono en la voz, las sonrisas o las miradas. En este caso, lo fundamental es aprender a manejarlos bien y con coherencia, para que tanto cuando muestren conformidad como disconformidad, lo hagan en coherencia con el discurso. Para controlarlos, se recomienda estar relajado, “atentos y conciliados con nuestros pensamientos, valores y sentimientos”.

Repasamos sus principales representantes:

Inseguridad

Es un elemento sobre el que tenemos menor control que sobre los gestos de la cara o la entonación. Las investigaciones dicen que cuanto mayor es la inseguridad, más nos encorvamos y tendemos a ocupar menor espacio, lo que se interpreta como falta de autoestima y déficit en conducta social.

Expandir la espalda tirando de los hombros ligeramente hacia atrás, brazos y piernas separados, ocupar el asiento con comodidad, mirar al interlocutor e inclinarnos hacia adelante en señal de escucha son algunas de las muchas recomendaciones que podemos encontrar en el libro.

La sonrisa

Es el mejor gesto de bienvenida, pero además tiene un beneficioso efecto sobre quien la practica: “Nos relaja de forma inmediata y nos hace sentir de mejor humor”.

Pero hay otro tipo de sonrisa menos beneficiosa, la nerviosa, que se instala de forma prolongada en el rostro mostrando crispación. Un gesto que además aparece en momentos críticos, y que hay que evitar. Para que la sonrisa cumpla con su cometido, tiene que ser oportuna en el momento, de duración adecuada y natural en su expresión. Una sonrisa forzada merece en el interlocutor justo la reacción contraria a la buscada.

La mirada

La utilizamos para comprobar la reacción del otro, la retiramos del interlocutor cuando tenemos dificultad para poner en orden los pensamientos, e incluso nos servimos de ella para ordenar los turnos de intervención. Quizá es el elemento de control más complejo, por la variedad de finalidades con la que se utiliza.

Costa hace una curiosa descripción de diferentes tipos de miradas en función de su objetivo: autoafirmación, establecimiento de relación y juego de poder:

  • Mirar para decir aquí estoy. “Soy tu interlocutor y como tal debes reconocerme”.
  • Mirar para decir quién soy respecto a ti. Miradas prepotentes, altivas, acogedoras, sumisas, seductoras, intimidatorias, huidizas, cariñosas, amenazantes… Miradas hay muchas, pero la nuestra tiene mucho que decir en el reconocimiento que para el otro merezcamos.
  • Mirar: cuándo y cómo. En cierta medida, la conversación y negociación es un intercambio de miradas. Si bien en ocasiones se dirige a un bloc de notas, busca información en documentos o se centra en un punto fijo en señal de concentración, no se debe retirar del otro constantemente ni en tiempos más prolongados de los diez segundos. “Es una señal de atención, reconocimiento y contacto interpersonal que forma parte inherente de la escucha”.

La voz

Desvela qué relación queremos o le proponemos al interlocutor y el estado emocional en el que nos encontramos, dice la autora. La voz es un elemento de reconocimiento por parte del otro y que además nos retrata. Para modularla de forma efectiva, hay que aprender a identificar los elementos que la condicionan:

El timbre

Revela el sexo, la edad e incluso una cierta adscripción cultural, pero además experimenta unos cambios perceptibles en los demás, sujetos a los vaivenes emocionales del momento. Debemos ser conscientes de que bajo estados de nerviosismo tenemos un timbre más agudo, y la tristeza nos lleva a tonos más graves. “Aunque nuestro interlocutor no sea consciente de que lo está percibiendo, procesa esos cambios y, en función de ellos, nos percibe y responde”.

La velocidad

Ganar tiempo es una obsesión hoy universal en cualquier aspecto de nuestras vidas, pero qué efectos tiene en el tema que nos ocupa.

Hablar deprisa nos activa, defiende la autora, pero no puede llevarnos a un estado de agitación, de pérdida de control. “Para dotar a nuestras palabras de todo el poder expresivo y persuasivo, debemos ser plenamente conscientes y dueños de lo que decimos, y elegir cómo, cuánto y cuándo lo decimos”. Además, el discurso acelerado dificulta que los otros nos atiendan y entiendan.

El volumen

Tan malo es pecar por exceso (autoconfianza complaciente) como por defecto (inseguridad). Además, el volumen debe ser ajustado a la situación, no es el mismo el que utilizamos en la mesa de un restaurante que en una exposición en una sala de reunión.

Este objetivo solo se puede conseguir ejercitando diferentes volúmenes, ya que modificar el natural resulta complejo. Un tercer punto es graduar el volumen al del interlocutor, teniendo en cuenta que hablar más alto que los demás no es lo importante, lo básico es ajustar el volumen a nuestro objetivo y a los otros elementos (miradas, postura, etc.).

El ritmo

Este elemento enriquece los tres factores hasta ahora señalados sobre la voz a través de los silencios, los cambios y las inflexiones. De nuevo, el objetivo es ajustar ese ritmo de habla a la situación y objetivos, mostrando quiénes somos y cómo nos sentimos, al tiempo que facilitamos el diálogo con nuestro interlocutor.

Si somos capaces de dominar todo lo anterior, tendremos garantizada una excelente primera impresión.

¡Atención, Data leak!: en busca de los datos perdidos

Martiniano Mallavibarrena    3 noviembre, 2022

Hace años que venimos escuchando de forma habitual hablar de “fugas de datos” tanto en los medios de comunicación como en nuestro entorno profesional o incluso personal. El concepto realmente cubre varios escenarios distintos, pero, en términos generales, podemos decir que las consecuencias son similares y que las grandes lecciones aprendidas son comunes.

En este artículo vamos a explicar qué tipo de situaciones pueden provocar estas fugas, su impacto multidimensional y algunas mejores prácticas que nos pueden ayudar a evitar estas crisis.

Al margen de la doctrina y de definiciones teóricas, en este sector solemos utilizar de la misma forma las expresiones “data leak” o “data breach” para referirnos a determinadas situaciones donde, por diversos motivos, una cantidad importante de datos (pueden ser cientos de gigabytes o incluso terabytes) pertenecientes a una organización terminan fuera de su control en tanto a privacidad como a ubicación (los datos son accesibles bien de forma directa en Internet, bien por producirse una subasta, bien por estar expuestos en sitios de Internet de acceso restringido pero sin ninguna relación con la organización original). Este tipo de situaciones se suelen denominar, de forma simplificada como “fugas de datos”.

Como ejemplo, el organismo INCIBE define esta situación como: “la pérdida de la confidencialidad, de forma que información privilegiada sea accedida por personal no autorizado.

Veamos primero las tres grandes tipologías de escenarios donde se producen fugas de datos y luego comentaremos las consecuencias que en todos los casos se producen en este tipo de situaciones.

El primer escenario: Negligencia

Desde hace años, el uso generalizado de servicios de almacenamiento de datos en la nube para organizaciones ha producido una concentración inmensa de información de forma de millones de ficheros clasificados en miles y miles de carpetas en proveedores internacionales de servicios de este tipo (los famosos “OneDrive” o carpetas en “Sharepoint” o “Teams” son ya parte de la rutina de muchas personas).

Este tipo de servicios combinados con aplicaciones ofimáticas de última generación optimizan de forma clara y sencilla el tratamiento y compartición dentro de los grupos de trabajo, pero a la vez generan (involuntariamente) una sensación de seguridad global que siendo cierta en términos generales no incluye la clasificación de la información (etiquetado digital de su documento contiene información pública, interna, clasificada o secreta).

En algunos entornos, esta clasificación se puede producir de forma automática (por ejemplo, si el sistema detecta datos de cuentas bancarias o números de tarjetas de crédito, se clasifica el documento como confidencial sin pedir confirmación) pero no es el escenario más habitual.

Un ejemplo habitual en muchas empresas es el de sistemas herméticos que contienen información muy sensible tanto financiera como de recursos humanos y a los que “nadie no debido” puede acceder y por otra parte decenas de ficheros (casi siempre hojas de cálculo) con resúmenes de esa información especialmente preparada para reuniones internas y toma de decisión que, lamentablemente, no se suele clasificar ni tratar de forma específica más allá de guardarlos en carpetas compartidas de uso restringido.

No siendo éste el único caso desde luego es el más representativo cuando por error compartimos una carpeta con un cliente, auditor o proveedor utilizando servicios de almacenamiento en línea, pero las medidas de control no son las adecuadas y/o la información no está correctamente clasificada. En ese caso, los ficheros (quizás decenas o cientos, quizás miles) quedarán expuestos en Internet y la probabilidad que terminen en venta en la Dark web o compartidos en bloque en cualquier lugar son altas.

En estos casos y más allá de las consecuencias generales que veremos al final del artículo, en estos casos concretos, la organización suele terminar siendo consciente del problema, no siendo extraño que se tomen medidas disciplinarias contra personas concretas, la mayoría de las acciones suelen ir más orientadas a desplegar o reforzar el uso de plataformas específicas como las denominadas DLP (Data Loss Prevention) o de forma más amplia, SASE (Secure Access Service Edge).

La ausencia de la debida clasificación de información en este tipo de situaciones (tu responsable te pide revisar las subidas salariales de tu equipo utilizando una hoja de cálculo que se comparte por email) inhibe que otras medidas automáticas de protección (como las funciones tipo DLP) tengan que utilizar técnicas diversas (como búsqueda de patrones en ficheros utilizando técnicas de machine learning) para intentar mantener su nivel de eficacia.

El segundo escenario: Actor interno (insider)

Otro caso menos probable a nivel estadístico, pero más letal a nivel de impacto es el relacionado con empleados (o personal interno cualquiera) que de forma deliberada actúan en contra de los intereses de la empresa. En el argot se suele emplear la expresión “insider”.

Empleados desleales, extorsionados por terceros o personas con conflictos laborales pueden seguir este perfil de comportamiento y generar daños muy importantes a las organizaciones cuando, de forma calculada, exponen o roban (y comparten/venden después) datos al exterior (buscando siempre maximizar el daño reputacional o por propiedad intelectual, entre otros) provocando de nuevo una fuga de datos.

En este caso aplican la mayoría de los comentarios del escenario anterior, tanto por la posible poca eficacia de plataformas tipo DLP/SASE, como de la ausencia de control estricto de la clasificación de información.

Caso de poder atribuirse la acción a personas concretas, en este caso, las consecuencias suelen ser de tipo penal pues pueden aplicar algunos tipos como el artículo 197 del código penal en España. Caso de no ser empleados directos de la organización pueden aplicar penalizaciones, cancelación de contratos de servicios, etc.

Este tipo de fugas no siempre son conocidas por el público e incluso por la propia organización, aunque en ocasiones se han dado de casos de extorsión a cambio de no publicar o vender los datos (caso de información financiera sensible de recursos humanos o propiedad intelectual, por ejemplo).

‘Insiders’ en Ciberseguridad: “Atrápame si puedes”

El tercer escenario: Incidentes de seguridad

Es el escenario más conocido y el más habitual, sobre todo en los casos de incidentes apoyados en el uso de ransomware (donde se cifran datos del cliente y se exige un rescate a cambio de un mecanismo de cifrado), el actor compromete la infraestructura de la organización, accede a ciertos volúmenes de datos (no siempre sensibles, la mayoría de las veces buscan volumen en ataques que duran pocos días) y antes de cifrarlos, los exfiltran fuera del perímetro de la organización. No siendo esta práctica común a todos los actores, si es habitual en muchos de ellos, ofreciendo un segundo factor de presión para el pago del rescate.

Una vez, el actor malicioso ha exfiltrado un cierto volumen de datos (las técnicas para hacerlo son diversas y caen fuera del objetivo de este artículo) normalmente pasarán unos días (quizás semanas) antes de que vuelva a tener noticias de ellos. Las formas de hacer estos datos públicos obedecen casi siempre a alguno de estos casos:

  • Publicación previa en algún tipo de “blog” (hay varios “Happy blog” famosos por parte de estos actores) de la futura compartición de ficheros. Busca elevar la presión a la víctima, buscando de nuevo el pago del rescate.
    • Si lo anuncian antes, suelen cumplirlo y pasado un tiempo se suelen compartir (en otra página, normalmente en TOR para evitar la acción policial o judicial) los datos robados, una muestra o la totalidad, pero en entregas sucesivas.
      — Si en algún caso, el actor publica los datos en páginas web de la “Internet superficial”, la organización víctima o el cuerpo policial encargado del caso suelen tener posibilidades de realizar un “takedown” del contenido contactando con los propietarios legítimos del portal web correspondiente.
  • En otros casos, con o sin preaviso en algún blog, los datos exfiltrados aparecen en alguna página de TOR bien en modo “subasta” (acceso restringido pero la víctima puede ver el objeto subastado como tercera medida de presión), bien en modo acceso público (antes comentado).

En todos estos casos, datos de nuestra organización (de cualquier tipo) pueden terminar fuera de control en Internet.

El papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware

Impacto general de las fugas de información

Pensando en los casos más generales, se deben tener en cuentan algunas consecuencias directas de fugas de datos en organizaciones.

  • Consecuencias legales (la más popular pero no necesariamente la más sancionadora es la línea de GDPR/LOPD).
    • Aplican a los casos donde se tenga certeza o alta probabilidad de que en esos ficheros existan datos personales de ciudadanos de la UE.
      — En otras regiones, pueden ser de aplicación regulaciones similares a GDPR pero de uso local o regional (en lo concerniente a sus ciudadanos)
      — En todos estos casos existe un régimen sancionador que puede ser de aplicación (incluyendo sanciones económicas y la inhabilitación para ejercer función pública en casos donde aplique).
    • Suelen ser necesarias herramientas automáticas para analizar cientos de Gigabytes o incluso Terabytes de una fuga, tratando de caracterizar el tipo de datos que tenemos en su interior (lo que centrará el argumentario de la agencia de protección de datos para decidir sobre la sanción, según se ha comentado en el punto anterior).
    • Problemas contractuales o relativos a NDA: En muchos casos, estas fugas de datos contienen información confidencial sobre compañías privadas, auditorías o propiedad intelectual sensible. Este tipo de situaciones suele estar asociado a contratos confidenciales cubiertos por un acuerdo de tipo NDA (Non disclosure agreement) que caso no ser respetados puede conllevar sanciones económicas importantes, cancelación de contratos, etc.
  • Daño reputacional: En el entorno de las fugas de datos, es obvio que muchas personas visitan TOR (o lo monitorizan con herramientas automáticas) y obtienen beneficios de estas situaciones: bien comentándolo en redes sociales (se posicionan como expertos), bien avisando a terceros (a comisión, casi siempre), descargando los datos y comerciando con ellos, etc. En todos esos casos, la situación acabará en los medios y depende del caso quizás en prensa y TV (con un deterioro de imagen de marca muy importante). Por ello:
    • Algunas organizaciones se han visto tentadas de pagar el rescate de un incidente ransomware (o por extorsión de un actor interno “insider”), por ejemplo, solo por evitar esta situación aun teniendo un buen plan de recuperación: el daño reputacional severo y la revelación de secretos, pérdida de confianza de sus principales clientes, etc., puede ser suficiente motivación.
    • Mas allá de la información sensible que una fuga de datos pueda contener, mucha otra información (incluso ficheros personales de los propios usuarios en cualquier nivel de la organización) puede terminar descargada en cualquier lugar y por cualquier particular o colectivo lo que debe ser tenido en cuenta de nuevo, quizás, para tomar medidas en comunicación, interponer acciones judiciales con terceros, tomar acciones disciplinarias con empleados claramente incompetentes, etc.
      — En algunos casos anecdóticos ha sido mas “popular” el contenido de los ficheros personales de los usuarios que la propia fuga de datos.
  • Un caso mixto que sucede en ocasiones es aquel en el que la fuga de datos incluye datos de terceras organizaciones luego la fuga relativa a una empresa A impacta negativamente en otras (B, C, D, etc.) lo que de nuevo nos lleva a problemas serios de los dos tipos anteriores.

Conclusión

El resumen del artículo es bien claro: ninguna organización está libre de riesgos de estas situaciones y por tanto cualquiera de ellas puede verse frente a una fuga de datos importante y con eco en prensa y TV.

Es frecuente que no se tenga certeza total del contenido de la filtración hasta que el actor la comparte y puede ser descargada para ser analizada. En función del caso, los problemas reputacionales o los legales serán los más preocupantes.

Una situación muy compleja en cualquier caso y un riesgo importante que todos debemos mitigar. No lo olvidemos.

Cómo quitar la marca de agua de tus vídeos de Tik Tok

Edith Gómez    3 noviembre, 2022

La red social del momento, Tik Tok, está desbancando por goleada a Instagram, Snapchat y Facebook; siendo su formato estrella los vídeos.

El único “pero” con Tik Tok es que se añade automáticamente una marca de agua a todos los vídeos que se suben a la plataforma. Esta marca de agua incluye el logo de la red social y el nombre de la cuenta del creador. Y, por desgracia, no se puede quitar desde la aplicación.

Esto para muchos creadores de contenidos supone un inconveniente, porque quieren reutilizar esos vídeos en otras redes como Instagram.

¿Qué se recomienda hacer en estos casos? Existen aplicaciones y herramientas para quitar la marca de agua de Tik Tok y en este artículo te contamos cuáles son y cómo hacerlo.

Cómo quitar la marca de agua de forma gratuita

Puedes quitar la marca de agua de Tik Tok gratis tanto en aplicaciones externas como en páginas web. Y la forma de hacerlo prácticamente es siempre la misma.

En definitiva, sigue los siguientes pasos:

  • Entra en Tik Tok y haz clic sobre el vídeo que quieras.
  • A continuación, copia su URL. Desde el ordenador, podrás conseguirla en la parte superior de la pantalla. Y desde el móvil, tendrás que hacer clic en Compartir, en la parte inferior derecha del vídeo.
  • Con la URL copiada, ya puedes entrar en páginas webs para eliminar la marca de agua, introducir el enlace y descargarlo.
  • Después, tras unos segundos, se descargará el vídeo sin la marca de agua, como si fuera el vídeo original.

Apps para quitar la marca de agua

Si tienes un dispositivo móvil iPhone, la app Video Eraser es muy fácil de usar y te eliminará la marca de agua de Tik Tok en pocos segundos.

Pero si tienes un dispositivo Android, puedes usar de forma gratuita la app Remove & Add Watermark.

Las dos apps funcionan de la misma forma: subes el vídeo y lo cortas para eliminar la marca de agua. Por último, solo tienes que exportarlo en tu dispositivo móvil.

Además de estas dos apps para Apple y Android, existen estas otras que sirven para quitar la marca de agua de los vídeos de Tik Tok gratis:

  • SaveTok (iPhone).
  • Downloader for TikTok (Android).
  • Retouch (Android).
  • Quitar marca de agua (iPhone).

Páginas web para descargar vídeos sin logo de Tik Tok

Además de las apps citadas, existen páginas web desde donde puedes subir el vídeo con la marca de agua y descargarlo sin necesidad de registrarte a ningún sitio. Estos son los sitios webs más conocidos:

  • Snaptik.
  • SaveFrom.
  • QLoad.
  • CapCut.
  • Ssstik.io.

¿Y qué sucede si no quieres usar ninguna app o página web para suprimir la marca de agua de Tik Tok? La opción es crear tus propios vídeos desde Instagram y no desde Tik Tok. Desde Instagram puedes editar y descargar tus vídeos sin marca de agua, y luego subirlos a Tik Tok u otras redes sociales en su estado original.

¿Por qué deberías utilizar vídeos sin marca de agua?

Tik Tok e Instagram son dos plataformas que integran muchas funcionalidades para que los creadores creen sus propios vídeos dentro de las plataformas, sin que tengan que usar herramientas de edición externas.

El único inconveniente en la edición de vídeo de Tik Tok es que la plataforma deja una marca de agua. Esto no supone ningún problema si vas a subir contenido solo a esa red social. Pero si quieres reutilizar el contenido en Instagram, la marca de agua hace que el vídeo pierda valor y el público note que no es original.

Este es el motivo por el que las aplicaciones y sitios en línea mencionados más arriba son recursos importantes que debes tener siempre a mano. Así esos vídeos recuperarán el valor que tienen.

Pero el problema reside no solo en los usuarios, sino también en Instagram, que no ve con buenos ojos que los usuarios reutilicen los vídeos de Tik Tok. Y es por ello que Instagram ha penalizado ya a algunas cuentas por seguir estas prácticas.

Imagen de rawpixel.com en Freepik

Nuevos modelos de aprendizaje con la tecnología como aliada: disruptivos y más eficientes

María del Pilar Río Maeztu    3 noviembre, 2022

“La revolución del aprendizaje en empresas e instituciones con la tecnología como aliada” es un tema clave, que abordamos el pasado 27 de octubre en un encuentro en la sede de Escuela 42 en Málaga. Nuevos modelos de aprendizaje se abren paso y, tal y como hice con nuestro anterior evento sobre formación corporativa del pasado mes de junio, también en esta ocasión os traigo algunas de las principales ideas que se trataron ese día.

Un nuevo contexto, nuevas necesidades y la importancia de un partner

Una vez más me correspondió el honor de inaugurar la sesión y lo hice contextualizando las principales tendencias que están impactando en este momento en el aprendizaje en el entorno corporativo. Entre ellas destacan, por su impacto, la digitalización y la velocidad de los cambios.

Por ello, como se contó, la propuesta de valor de Telefónica desde el vertical de formación aglutina todas las capacidades de la compañía para que los clientes puedan sacar el máximo potencial a sus programas de formación.

Blockchain, el video desde otra perspectiva o el metaverso al servicio del aprendizaje

Ignacio Puebla, gerente de Telefónica Educación Digital, moderó una mesa redonda en la que se explicó cómo las nuevas tecnologías pueden cambiar el modelo de aprendizaje y aportar nuevas perspectivas. Sobre ello debatieron:

  • Diego Escalona Rodriguez, responsable de Blockchain en Telefónica Tech
  • Daniel Vecino, CEO y cofundador de Moonback
  • Francisco José Calvache, responsable de implantación de proyectos en Telefónica Educación Digital

Blockchain como herramienta de certificación y motivación

Diego Escalona comentó la importancia de blockchain para gestionar la integridad y autenticidad de la información. La tecnología de la cadena de bloques permite que cualquier institución pueda garantizar la autenticidad de sus certificaciones y evitar falsificaciones. ​​

De la misma forma, cualquiera puede verificar la validez del certificado de forma inmediata a partir de un identificador único, el contenido original certificado o mediante el escaneo de un código QR.

Karma: recompensas «tokenizadas» para el empleado

Además, blockhain permite poner en marcha programas de motivación que pueden aplicarse también en un proceso formativo. Un ejemplo es KARMA, que dábamos a conocer en este blog ya hace años. Nace del convencimiento de que los empleados son clave para transformar la cultura de la empresa pero no solo por las tareas que recoge la descripción de su puesto, sino también por otras actividades a las que contribuyen. Entre ellas, voluntariado, colaboración en impartición de cursos, aprendizaje colaborativo, etc. ​
Antes de KARMA, a pesar de que el empleado dedicaba tiempo y esfuerzo a estas cuestiones, no recibía ninguna compensación o reconocimiento por ello, ya que no formaban parte de sus objetivos. Con el proyecto KARMA se creó un ecosistema “gamificado” en el que se puso en valor estas actividades, por las que el empleado podía obtener tokens. Estos podían intercambiarse después por una serie de actividades: como formación ”premium”, acceso a experiencias patrocinadas por Telefónica y también proporcionaba un reconocimiento público por la proactividad y contribución a la transformación de la cultura corporativa.​

Este tipo de recompensas «tokenizadas» pueden utilizarse como una herramienta de motivación para que el empleado avance en los hitos formativos.

Dinamización y agilidad, claves para el éxito de un programa de formación

El factor humano es muy relevante a la hora de dinamizar una formación. Pero los formatos deben ser ágiles. Por ello, Daniel Vecino, desde Moonback, compartió su solución que convierte el vídeo en un nuevo canal de relación.

El metaverso como oportunidad para «aprender haciendo» y un mayor engagement

La última sesión del día giró en torno al metaverso que, según muchos analistas, está ya configurando lo que va a ser el futuro de la educación.

En este caso fue Héctor Paz, CEO y cofundador de Imascono, quien nos habló de las ventajas del metaverso en la educación. Lo ilustró con casos de éxito muy interesantes que, entre otras ventajas, permiten:

Como aportación del metaverso a los nuevos modelos de aprendizaje destacó que incrementa el engagement de las compañías, ya que facilita una experiencia memorable gracias a la conexión inmersiva. Y también que fomenta el “aprender haciendo”, al recoger el espíritu participativo de los videojuegos y la “gamificación”.

Inteligencia Artificial, IoT y Blockchain: surfeando la «Tercera Ola»

Ismael Rihawi    2 noviembre, 2022

Allá por 1980, el futurólogo Alvin Toffler publicó «The Third Wave», libro en el que se inspiró Steve Case para concebir su visión particular acerca del desarrollo del paradigma tecnológico de la información en un contexto de mundo digital y globalmente interconectado. La Tercera Ola, con el foco puesto en «las cosas» que nos rodean, ya está aquí. ¿Cómo hemos llegado a este punto?

Grandes referentes cinematográficos de la ciencia ficción auguraron en mayor o menor medida un futuro hipertecnológico, en donde toda representación física conviviera en armonía con un universo de activos y servicios digitales a la carta. Ratos de ocio que siempre observamos con cierto escepticismo, pero que poco a poco comenzamos a ver aproximarse a la realidad tal cual hoy la conocemos.

En un universo entendíamos regido a base de impulsos e inercias, surgieron figuras como Steve Case, cofundador de la empresa America on Line (AOL), impulsora de la creación de Internet. Case, ya en 2016, fue capaz de describir con exquisita precisión la evolución de la conectividad en la sociedad de la información, identificando 3 grandes olas con entidad propia que ilustran su distinto grado de madurez en el tiempo.

Hablaremos a continuación de los rasgos que definen cada una de estas etapas, centrando nuestros esfuerzos en esa tercera ola: claves del éxito, principales enfoques de implantación y agentes involucrados en trazar las líneas de un porvenir en el que recientemente nos adentramos.

Primera ola: comunidades más allá de los límites territoriales

Figura 1: Los cimientos se edificaron a base de consenso entre empresas, por aquel entonces de reciente creciente, unidas por un mismo propósito.
Figura 1: Los cimientos se edificaron a base de consenso entre empresas, por aquel entonces de reciente creciente, unidas por un mismo propósito.

En el período comprendido entre los años 1985 y 1999, compañías como AOL (de la que Case era su máximo exponente), Apple, Microsoft, IBM, Cisco Systems, HP, Sprint y Sun Microsystems fueron las responsables de crear el hardware, software e infraestructura de redes necesarios para permitir que las personas pudieran comunicarse entre sí, asentando las bases del Internet de la información.

Viéndolo hoy en perspectiva como toda una revolución, su expansión fue cuánto menos compleja. Por un lado, los altos costes relativos a la adquisición de ordenadores personales e instalación de líneas para cobertura de servicio en particulares. En lo referente a las empresas, la complejidad y sobrecoste de capacitar a sus profesionales en el desarrollo de nuevas líneas de negocio (Web as Business Infrastructure).

Todo ello suscitó un mar de preguntas de distinta índole: desde el riesgo tecnológico de los principales players («¿puedo crearlo?»), a su verdadero beneficio como escaparate sobre el que presentar la marca («¿compensa la inversión?»). La llegada de la segunda ola respondería de golpe y plumazo a tanta incertidumbre a unos y otros.

Segunda ola: aplicaciones en masa, redes sociales como vía de expresión

Figura 2: Los pasos dados hasta entonces nos han permitido contar con un mercado extenso de aplicaciones, actuando como facilities o meros pasa-tiempos.
Figura 2: Los pasos dados hasta entonces nos han permitido contar con un mercado extenso de aplicaciones, actuando como facilities o meros pasa-tiempos.

En pleno cambio de milenio, y representando un claro acelerador en la crisis de las ‘puntocom’, esta época destacó por la creación de un ecosistema desmesurado de aplicaciones de distinta naturaleza, apoyándose en el camino trazado durante la primera ola. Redes sociales, motores de búsqueda, tiendas online y plataformas de pago ejemplifican en buena forma la enorme diversidad. Un aspecto en común unía a todas ellas: posicionar al usuario en el centro de atención, otorgándole el protagonismo para que éste añadiese valor en un entorno de cocreación (Web as Social Media).

En paralelo a tal eclosión, nuevas vías de consumo de la información e interacción con el mundo se desarrollaron. Gracias a la creación de dispositivos inteligentes (smartphones, tablets y wearables) y al concepto Cloud, de almacenamiento en la nube, se popularizó el uso frecuente de la red, provocando un aumento exponencial en el volumen de datos generados, rompiendo a su vez con los límites espacio-temporales de la conectividad antes impuestos.

Nuevas compañías tecnológicas emergieron ante tal oportunidad, recogiendo el testigo de «la vanguardia por bandera». Google, Facebook, Twitter o Amazon, entre otras, corrieron el riesgo de invertir en un mercado incipiente, sin certezas de recibir a priori una gran acogida ni obtener un claro retorno de inversión. Y vaya que si acertaron.

Tercera ola: orientando el foco en las ‘cosas’ que nos rodean

Figura 3: Las nuevas tecnologías al servicio de extender el mundo digital al real.
Figura 3: Las nuevas tecnologías al servicio de extender el mundo digital al real.

Y llegamos al momento presente, objeto de un exhaustivo estudio por parte de Steve Case en el libro que publicó bajo el mismo nombre que el de su mentor. Motivos no le faltaban para dedicarle tal atención: anunciar un nuevo tiempo de expansión de la tecnología a todos los ámbitos de nuestro día a día, convirtiéndose prácticamente en omnipresente. Tan próxima a nosotros, que permita actuar con antelación efectiva ante problemas y deficiencias reales, ya sea en un entorno de procesos productivos industriales, o en la detección de patologías de distinta consideración en pacientes.

Sin embargo, un fin con un impacto social tan acentuado requerirá, al igual que sucedió en la primera ola, del correcto alineamiento de múltiples aspectos que hagan escapar de toda zona de confort. A considerar, la perseverancia en el ejercicio de la innovación, la búsqueda de alianzas multisectoriales para dotar de músculo reputacional y/o financiero al producto, así como una lucha no trivial por el cumplimiento del marco normativo.

Recordemos que la complejidad regulatoria ahora abordará cuestiones de magnitudes no desdeñables, como bien pudiera ser la gestión de flotas de drones, la eficiencia en el uso de los recursos en una Smart City, o la implementación de un asistente de Inteligencia Artificial y detección de averías en vehículos autónomos. Cuestiones que revierten en beneficio de la experiencia del usuario, pero que en caso de mala praxis operativa, pudieran poner en riesgo la propia integridad del mismo.

En correspondencia con lo anterior, resultará vital potenciar la habilidad de gestión del cambio, determinante para posicionar qué empresas liderarán este escenario en constante transformación. Perdurarán las que sepan bailar según la música, partiendo de un espíritu emprendedor y de auto-disrupción (Apple y Amazon dan buena fe de ello).

Además, premiará un modelo de equilibrio entre el retorno financiero y la ejecución de su propósito, viéndose gratificadas aquellas organizaciones que lo lleven verdaderamente a la práctica. La fidelidad de la marca llevada a un siguiente nivel.

Domótica e Inteligencia Artificial: del hogar inteligente a las Smart Cities

Cuando la tecnología madura para unir sociedad y progreso

Resolver los retos de la Tercera Ola supone hacer uso de herramientas avanzadas como las que ya disponemos, las cuales han alcanzando un grado de madurez notorio. Formando parte de un engranaje perfecto, son tecnologías que en suma actúan como activadores de todo proceso de transformación digital, y cuyas bondades revertirán en ese grado de personalización del producto o servicio que los consumidores esperan en este ciclo. Es así que toda solución empresarial reunirá en sus distintas etapas de vida cada uno de estos pilares:

  1. Internet of Things como elemento múltiple de emisión inteligente, proporcionando un tsunami de datos allá donde se justifique su aplicación.
  2. Capacidades de Big Data e Inteligencia Artificial para la captura, normalización y extracción de patrones y tendencias que nos permitan predecir y actuar a tiempo en la toma de decisiones de negocio.
  3. Blockchain como canal de compartición del registro de cambios de estado de nuestros activos digitales y conclusiones extraídas sobre estos, representando un medio seguro, confiable y de acceso inmediato para todo organismo involucrado, regido por mecanismos de control vía Smarts Contracts.
  4. Los estándares tecnológicos de comunicación requeridos para una correcta transferencia informacional entre los distintos agentes y puntos de control.
  5. Mecanismos de Ciberseguridad perimetral, previniendo accesos y usos no autorizados de los datos bajo el cumplimiento de la regulación.

Steve Case tenía razón. No temamos surfear la cresta.

Ismael Rihawi
Ismael Rihawi

Graduado en Ingeniería Informática con Máster en Big Data y Business Intelligence, Postgrado de Experto en Bitcoin y Blockchain y Programa Ejecutivo en IoT. Ex-Expert Data Engineer en Telefónica Tech IoT & Big Data, poniendo orden en el caos de los datos. En mi tiempo libre me encanta tocar la guitarra y salir a correr.

Cuatro oportunidades del metaverso para diferenciarse de la competencia

Raúl Alonso    2 noviembre, 2022

En 2026 cerca del 25% de la población conectada pasará al menos una hora al día en el metaverso, según la previsión de la consultora Gartner. Son muchas e impactantes las cifras que predicen el crecimiento de este nuevo entorno virtual, pero no tanto las voces que indican qué oportunidades representan para las empresas.

Sabemos que de momento el metaverso avanza en entornos estancos, donde podemos comprar, formarnos, trabajar, relacionarnos o jugar. También sabemos que estos mundos separados terminarán confluyendo en uno o unos pocos, desde donde se podrá acceder a estas experiencias y utilidades.  

Y es desde esta posición de análisis donde los expertos advierten de la necesidad de que la empresa explore qué posibilidades le ofrece el nuevo entorno. Según Marty Resnick, vicepresidente de Investigación de Gartner, en 2026, “el 30% de las organizaciones del mundo tendrán productos y servicios preparados para el metaverso”. 

Resnick también afirma que todavía es pronto para saber qué inversiones serán viables para el largo plazo, “pero los gestores de productos deberían tomarse el tiempo necesario para aprender a explorar y prepararse, con la finalidad de posicionarse de forma competitiva”.

Cuatro ideas para la pyme en el metaverso

Desde Cognizant, consultora especializada en transformar la experiencia del cliente para alinearla con el nuevo potencial tecnológico, se ofrecen cuatro pistas adaptables a una mayoría de negocios.

No hay que olvidar que el objetivo es posicionarse en un mercado que en 2022 moverá 100.000 millones de dólares en el mundo, según estimaciones de la consultora.  

1. Construir relaciones más sólidas con los clientes

El primer objetivo al que apunta Duncan Roberts, consultor sénior de Cognizant, es aprender a utilizar la realidad virtual (VR en sus siglas en inglés) y la realidad aumentada (AR) para aproximarnos de un nuevo modo al usuario.

Estas dos tecnologías básicas del metaverso permiten mostrar el producto ofreciendo unas sensaciones sobre su tamaño o tacto hasta ahora imposibles fuera de un entorno físico. Se trata de ofrecer una experiencia tridimensional capaz de revolucionar la venta de coches, la reserva de una plaza hotelera o la elección de una bicicleta.

2. Mostrar la sostenibilidad con AR

Sabemos que el mundo avanza hacia la descarbonización. El objetivo para las empresas es alcanzar en 2050 las cero emisiones, pero 2030 es una fecha clave para que las empresas demuestren a todos sus grupos de interés los avances conseguidos.

No queda mucho para que inversores, consumidores y los propios trabajadores constaten la aportación que cada empresa hace a uno de los retos globales más extraordinarios en la Historia.

Y el metaverso puede ser ese espacio donde la organización se muestre sostenible y socialmente responsable. “La realidad aumentada permite presentar esa información sobre el origen de los productos y la huella de carbono visualmente, por ejemplo, haciendo que los usuarios escaneen los productos en el metaverso”.

3. Mejorar el teletrabajo

La captación y fidelización del talento es otra de las grandes preocupaciones en un entorno laboral donde no es sencillo encontrar a personal preparado con experiencia en las nuevas tecnologías.

Y el metaverso puede servir para ofrecer entornos de trabajo más conciliadores con la vida privada, pero también más eficientes y atractivos. Hablamos de un nuevo paso en el teletrabajo y la jornada híbrida, con herramientas de apoyo al trabajador y mejora de la interacción social.

Entre las sugerencias que ofrece Cognizant se encuentra la generación de gemelos digitales (una representación virtual de un objeto) con los que experimentar y mejorar los prototipos antes de ser construidos, facilitando un trabajo colaborativo sin límites temporales o geográficos en el equipo.  

4. Nueva era para el mantenimiento

Otra de las aportaciones del metaverso a la gestión empresarial es la visualización de datos, que debe redundar en una nueva vuelta de tuerca a la productividad. 

Uno de los grandes beneficiados es el mantenimiento preventivo para, por ejemplo, cambiar un elemento por desgaste antes de que su avería o rotura penalice a la cadena de producción con su paralización. Los gemelos digitales facilitan las labores de reparación, ya que permiten a un técnico indicar al operario cómo actuar sin tener que desplazarse.

En el caso de los servicios públicos, el metaverso permite trabajar en la infraestructura que hay que desarrollar, probando las renovaciones o modificaciones necesarias a distancia, incluso antes de hacerla realidad.  

Cómo identificar oportunidades en el metaverso

Conocidas estas cuatro áreas de oportunidad, puede que el empresario de una pyme siga aún sin saber cómo dar ese primer paso que dé acceso a ese mundo de oportunidad que el metaverso promete.

Desde Cognizant se lanzan de nuevo cuatro pistas para saber por dónde empezar, que bien podrían servir para esa identificación en cualquier proceso de implantación de una nueva tecnología.

Paso 1. Identificar qué problemas podría resolver en toda la cadena de valor, o qué beneficios podría ofrecer a cualquiera de los grupos de interés esenciales, mediante el despliegue de experiencias de realidad aumentada inmersiva en su empresa.

Paso 2. Evitar apostar por soluciones aisladas, y aprovechar los ecosistemas y plataformas ya existentes para poder experimentar reduciendo costes y de forma más rápida.

Paso 3. Experimentar con soluciones que permitan una escalabilidad a la medida de la empresa. Es importante que cada componente del metaverso pueda funcionar con los demás componentes, para garantizar que se ofrecen esas experiencias que realmente se desean como empresa.

Paso 4. Y sobre todo, mantener el más alto nivel de privacidad, seguridad y ética. El metaverso está todavía en sus inicios, y en esta fase temprana de investigación es esencial prestar la mayor atención a estos temas.

Imagen de Freepik

Innovación hasta el final: el sector funerario

Mercedes Núñez    2 noviembre, 2022

RestGreen, Return Home, Deep Nostalgia, Closure, I leave, Afterword, Resomation… Probablemente no os suenen los nombres de estas empresas. Pertenecen al sector funerario, al que intentamos dar la espalda porque la muerte es un tema que resulta complicado abordar. Se trata de un sector cuanto menos especial. Hoy 2 de noviembre, que se celebra el Día de los difuntos, es un buen día para hacerlo.

Las visitas a los cementerios se multiplican en estas fechas y estos espacios evolucionan con el objetivo de mejorar su funcionamiento y gestión. En España existen alrededor de 17.682 necrópolis y en estas infraestructuras también se aplica ya el concepto de smart city.

Particularidades del sector funerario en España

Tras el protagonismo que desgraciadamente adquirió el sector funerario durante la pandemia, en España vive un proceso de concentración que ha supuesto la desaparición de unas 360 pequeñas empresas en el último lustro, aunque sigue siendo un mercado muy atomizado.

Dos particularidades de nuestro país en este terreno son la contratación masiva de seguros de decesos: seis de cada diez funerales son financiados por esta vía y tener el mayor número de hornos crematorios de Europa: rondan el medio millar. Aunque todavía no es una tendencia mayoritaria, ha crecido mucho en los últimos años.

Compostaje humano o polvo de estrellas: sostenibilidad hasta el más allá

Ante la emergencia climática la sostenibilidad es una preocupación transversal y también en este ámbito. Placas solares en los nichos o féretros biodegradables que, por otro lado, abaratan los costes son algunas alternativas.

Pero, ante la preocupación por el consumo de energía y la emisión de sustancias que supone el proceso de la cremación, aparecen nuevas técnicas como la del compostaje humano. o la “aquamación”.

Aunque ninguno suena tan bien como acabar convertido en polvo de estrella, como propone el proyecto Stardust Space, que quiere enviar las cenizas de los fallecidos al espacio..

Un Tesla fúnebre o las funerarias en redes sociales

Hace años un compañero ya escribió de la “innovación en la última milla”. Y es que también en este sector podría hablarse de “modas” o tendencias, que se dan cita por ejemplo en la feria Funermostra.

Tras el parón provocado por el COVID-19 se ha celebrado, además, la undécima edición de la Feria internacional de productos y servicios funerarios , en la que se pudo ver el primer Tesla fúnebre de Europa y el primer vehículo fúnebre cien por cien eléctrico, entre otras novedades.

En paralelo se celebró el segundo Congreso internacional de directivos funerarios, que como cualquier profesional necesitan actualizarse. En dichas jornadas se trató desde la química del embalsamamiento a la buena praxis en comunicación de las funerarias en redes sociales.

Y es que las tradiciones funerarias tienen un gran arraigo en la sociedad pero se han ido adaptando a los nuevos tiempos.

Un tramitador virtual funerario, plataformas de retransmisión en directo de misas y velatorios, una app móvil que ayuda a la geolocalización en cementerios de familiares o allegados o un algoritmo predictivo que permite animar con gran calidad imágenes antiguas de seres queridos fallecidos son solo algunos ejemplos. También hay una innovadora solución tecnológica que ayuda con las gestiones post-mortem (cancelación de suscripciones, contratos y cuentas).

Startups funerarias: el sector DeathTech

Esa última idea pertenece al sector DeathTech, en el que emergen startups centradas en optimizar el modelo de negocio y reducir costes a través de la digitalización, generar valor añadido o mejorar la experiencia de cliente (de familiares y amigos, claro). Tras el colapso del sector que generó la pandemia, ahora muchos inversores se están enfocando en él.

Aunque el componente emocional, que marca el recorrido del cliente más que en ningún otro en este sector, es universal, los hábitos de las nuevas generaciones también impulsan la transformación del mercado.

Un ejemplo, ligado al auge de los tatuajes y al apego creciente por las mascotas, podría ser esta idea que utiliza las cenizas de nuestros fieles amigos para fortalecer el vínculo con ellos.

Trabajamos demasiado antes del eterno descanso

Al tratar el tema de la muerte es imposible no plantearse un sinfín de preguntas. Por eso no quiero terminar sin mencionar las cinco cosas de las que más nos arrepentimos en nuestros últimos momentos, según una asistenta de enfermos terminales. Entre ellas están no haber vivido una vida más auténtica, no haber “elegido” ser felices y ¡ojo! y haber trabajado tanto.

Y me ha resultado curioso que el oído sea el último sentido que perdemos con lo difícil que nos resulta escuchar y no digamos ya practicar una escucha activa y empática.

Pues bien, si estáis leyendo esto estáis a tiempo. En el día de los difuntos, ¡carpe diem!

Ciberseguridad, una responsabilidad de todos

Diego Samuel Espitia    31 octubre, 2022

Sin lugar a duda, los incidentes cibernéticos han crecido exponencialmente y han afectado a empresas de todos los sectores productivos en el mundo. Entre el 2021 y el 2022 se pueden nombrar casos reconocidos mundialmente, como el Colonial Pipeline, NHS, Banco de Chile, sistema eléctrico de Ucrania, Gobierno de Costa Rica, Ministerio de Infraestructura de México, INVIMA, DANE, SolarWinds, entre miles de otros casos.

Todas estas organizaciones, en mayor o menor medida, tenían implementados mecanismos de ciberseguridad para proteger su información y sus procesos tecnológicos de ataques de fugas o secuestros de información. Sin embargo, sucumbieron ante los ataques perpetrados por grupos delictivos cibernéticos organizados, de los cuales cada vez se detectan mucha mayor actividad.

Las medidas que tenían estas organizaciones en algunos casos eran de millones de dólares en equipamiento, personal, entrenamiento y apoyo de terceras partes especializadas, en otros casos eran con medidas internas, y en otros, se tercerizaba completamente la gestión de la ciberseguridad de las empresas o entes estatales. Pero teniendo en cuenta este panorama, la pregunta que todos se hacen es ¿por qué pudieron ser atacados?

No existe una única respuesta, pues cada incidente tiene características muy particulares, después de estar en varios procesos de respuesta de incidentes entiendes que cada empresa tiene controles o medidas diferentes, que no en todos los casos fueron actualizados o se han ido adaptando a este mundo cambiante. Sin embargo, también existen varios factores comunes que los delincuentes aprovecharon, voy a mencionar algunos de estos.

Tercerizar no implica no tener responsabilidad 

Las áreas de sistemas siempre se han visto responsabilizadas cuando algún sistema falla o no cumple con las expectativas del usuario. En la actualidad, esto se ha transferido a las empresas externas de ciberseguridad, las cuales cumplen con la función de monitorear y responder ante amenazas cibernéticas, pero esto no significa que las organizaciones y sus empleados no tengan ningún tipo de responsabilidad en el manejo de la información.

Si bien las empresas terceras gestionan los dispositivos de seguridad de la información y monitorean los elementos de la red, los controles fundamentales de la información son responsabilidad de quien usa los datos y de quienes generan las políticas de control de acceso. Puesto que, si cualquier usuario de la red puede acceder a cualquier dato o pasar información sensible a ubicaciones digitalmente externas, es imposible para cualquier sistema de seguridad controlar de forma eficiente estás amenazas.

Lugares oscuros en la red

El monitoreo es la base de la seguridad, pues lo que no se monitorea es imposible gestionarlo. En muchos de los incidentes en los que he participado, nos encontramos que el servicio o servidor por donde inició el ataque, no estaba siendo monitoreado de ninguna forma o que monitoreaban solo una parte de servicio. Estas zonas oscuras, dentro de las mismas redes de la organización, les permiten a delincuentes internos o externos moverse sin que los sistemas de alerta anuncien la anomalía en el comportamiento o en la conexión.

El ejemplo típico está en los ataques de secuestro de información (Ransomware), donde siempre las víctimas preguntan ¿Cómo nada detectó el usuario o las conexiones?, pero cuando uno revisa los eventos que se monitorean, solo están elementos que están en la frontera de la red y nunca uno que revise o analice sucesos internos, así los delincuentes podían moverse sin inconvenientes en todos los dispositivos dentro de la red y solo en el momento de la ejecución de secuestro se evidencia una anomalía.

Si funciona no lo toque

Esta es una de las frases que más he escuchado en mi vida profesional y que menos significado tiene dentro de un esquema de ciberseguridad, pues los ataques evolucionan todos los días y la tecnología aún más, esto hace que la configuración que se tiene en un WAF (Web Application Firewall) deba ser revisada casi que a diario.

En los dispositivos de control es donde más se suelen encontrar debilidades generadas por la práctica de no tocar, dejando configuraciones por años sin que nadie las revise o actualice, donde en algunos casos quien originalmente diseñó la solución ya no está en la organización, dejando configuraciones que en su momento puede que no generaran riesgo, pero con los años y la adquisición de otros dispositivos y servicios, permiten a los delincuentes tener una puerta abierta.

No conocen lo que tienen

En empresas grandes es usual que la rotación del personal de sistemas sea elevada y que la cantidad de dispositivos aumente todos los días, complicando tener un inventario claro de los activos de sistemas, pero adicionalmente, es muy común que no se tenga un registro claro de la información que se tienen en servidores o quienes tienen acceso a los diferentes servicios internos y externos. Esto genera que cuando se presente un incidente, no se tenga claridad de los posibles vectores de ataque o los orígenes del mismo, pues nadie sabe con exactitud qué o quiénes tienen acceso a la maquina o a la información.

Esto es especialmente perjudicial cuando el incidente es de fuga de información, pues al no tener ese detalle, toda la organización y todos los terceros se convierten en potenciales sospechosos del ataque. En el proceso forense de un caso de estos se pierden días valiosos intentando entender accesos, permisos, conexiones y reconstruyendo, en muchas ocasiones, las medidas de seguridad, mientras que, si se tiene un inventario, un mapa y permisos claros de la red y de la información, es mucho más sencillo encontrar la causa raíz del incidente.

Son muchas más las características similares que se encuentran en las empresas cuando se realiza una respuesta de incidentes, pero estas suelen ser las causas principales de por qué pudieron ser atacados. Demostrando que la ciberseguridad no es algo que se adquiere y se conecta a una red o a una organización, sino que es un proceso empresarial que debe ser tenido en cuenta por todos los niveles empresariales y en el cual cada persona es un actor importante de control o de riesgo.

Si quieres saber cómo desde Movistar Empresas te podemos ayudar a proteger la integridad de tus proyectos visítanos.

Imagen de rawpixel.com en Freepik