¿Cómo podemos acercar la digitalización al mundo rural?

Miguel Maroto    13 octubre, 2022

Este artículo analiza barreras que tiene la tecnología IoT (Internet de las Cosas) para entrar en el mundo rural con soluciones que ayuden a los agricultores a maximizar el rendimiento de sus explotaciones. IoT es una de las tecnologías digitales que hacen posible la Agricultura Inteligente.

Todo nace al hilo de una conversación que tuve hace unos días con mi padre, pequeño productor de aceite de oliva, y varios amigos suyos, también pequeños productores.

La conversación giraba sobre los problemas que están teniendo con los sistemas de riego en sus fincas, sobre los cuales sobresalían dos de ellos:

  1. En el regadío de olivar de la comunidad de regantes que gestiona todas esas fincas, el agricultor no tiene ningún poder de decisión sobre cuando es el mejor momento de regar ya que esa decisión se toma de manera centralizada. Esto provoca que haya fincas en las cuales se están secando olivos debido, no a falta de agua, sino a un exceso de ella.
  2. Por otro lado, los costes asociados al regadío son muy altos, lo que hace que muchos productores vean como su rentabilidad no es la deseada.

Como experto en IoT, yo les expliqué que existen soluciones en el mercado que pueden ayudar a solventar ambos problemas. Por un lado, a tomar una mejor decisión sobre el mejor momento de riego, y por otro a mejorar el coste en general.

Después de tener esta conversación, tuve la impresión de que, aunque el público al que me dirigía mostraba interés, había en ellos una cierta desconfianza que generaba resistencia al cambio.

Cómo la digitalización permite conocer y atender con precisión las necesidades de un cultivo ecológico de cerezas

Soluciones IoT para el sector agroalimentario

Las empresas que proporcionamos soluciones IoT debemos tener muy en cuenta el sector agroalimentario en general, ya que, según el informe de Cajamar sobre el sector agroalimentario español en el contexto europeo, su peso en el PIB español ha aumentado hasta un 9,7% en 2020. Además, según Caixabank Research esta industria ha superado el nivel de producción precrisis.

A pesar de lo anterior, esta industria se sigue enfrentando a dos grandes problemas, los cuales venían reflejados en mi conversación, donde las soluciones IoT pueden proporcionar una gran ayuda para mitigar los mismos:

  • Cambio climático: en el caso de España, una de las consecuencias es una disminución del agua disponible para el regadío en las distintas cuencas hidrográficas. Estamos ante el riesgo de desertificación de dos terceras partes del país según el estudio de PricewaterhouseCoopers sobre el futuro del sector agroalimentario.
  • Eficiencia en costes: ante un escenario en el cual el precio pagado al agricultor de origen de algunos cultivos es cada vez menor, debido entre otras cosas a la competencia de países emergentes donde el coste de mano de obra es muy inferior (PricewaterhouseCoopers), es muy importante para el agricultor ser eficiente en coste para así mantener la rentabilidad de la explotación.

¿Qué tipo de soluciones IoT orientadas a la agricultura se están comercializando?

Actualmente estas soluciones se centran en la vigilancia de las explotaciones agrícolas con la ayuda de sensores (luz, humedad, temperatura, humedad del suelo, salud de los cultivos,…), así como utilizar esa información para automatizar ciertas componentes de la explotación como puede ser el riego del mismo.

Los objetivos finales son:

  • Mejorar el rendimiento de los cultivos
  • Aumentar la productividad de estos
  • Reducción del consumo de insumos agrícolas como puede ser fertilizantes, cobre….
  • Reducción del consumo de agua

Los beneficios que este tipo de soluciones aportan al agricultor son:

  • Mejora del rendimiento del cultivo
  • Ayuda a la planificación de actividades
  • Aumento de la calidad de los productos
  • Reducción de costes para el agricultor
  • Mayor control de los factores de crecimiento y rendimiento de los cultivos
  • Mayor seguridad alimentaria
  • Lucha contra el cambio climático
Pódcast Latencia Cero: La inesperada relación entre Smart Cities y Agricultura Inteligente

¿Qué está haciendo Telefónica Tech en el mundo Agro?

En Telefónica Tech un equipo liderado por Andrés Escribano está trabajando en soluciones de agricultura inteligente ofreciendo productos y servicios que contribuyen a mejorar la productividad, sostenibilidad, así como reducción de costes en el uso de los recursos.

Las soluciones de Agricultura Inteligente abarcan la combinación de diferentes tecnologías como dispositivos IoT, plataforma Cloud, Inteligencia Artificial o Blockchain, entre otras.

Estas soluciones están enfocadas en varias líneas de producto: la digitalización del campo bien mediante dispositivos IoT o mediante el vuelo de drones; plataforma de gestión agronómica para ayuda en la toma de decisiones y automatización de tareas agrícolas; gestión inteligente del riego; producto para nueva agricultura industrial basada en sistemas de cultivos verticales indoor, y soluciones Blockchain para la trazabilidad de la producción y certificación de origen de los productos agrícolas.

En resumen, las empresas que comercializan soluciones IoT para el sector agrialimentario ayudan al agricultor a dar solución a sus problemas, por lo que necesitan construir un discurso lo suficientemente sencillo y a la vez contundente para que este perfil, el cual no suele tener formación tecnológica, entienda e identifique lo que este tipo de soluciones pueden hacer por su explotación.

Igualmente debe haber una colaboración con la administración pública para hacer llegar este mensaje a todas las zonas rurales de España.

Webinar: ¿Cómo la digitalización puede ayudar al sector agrícola?

En este webinar de la serie Good Tech Times, de Telefónica Tech, diferentes expertos del sector agroalimentario ponen el foco en cómo encontrar soluciones tecnológicas que minimicen los riesgos y desafíos a los que se enfrenta el sector y en cómo las tecnologías digitales contribuyen a incrementar los rendimientos agrícolas y a ahorrar recursos como agua, fertilizantes o pesticidas.

Guía básica sobre la nueva regulación digital para la Unión Europea

Raúl Salgado    13 octubre, 2022

Ha pasado justo un año desde que Facebook decidió cambiar el nombre de su matriz por Meta, en medio de una grave crisis de reputación provocada, entre otros escándalos, por presuntas prácticas monopolísticas.

Controversias, en suma, que desataron un debate en torno al impacto de la transformación tecnológica en nuestros derechos y libertades. Y que dieron lugar a un aluvión de preguntas relacionadas, por ejemplo, con los “dueños” de la información que generamos en Internet: ¿A quién pertenece? ¿A quienes la creamos? ¿A las empresas?

Ya en febrero de 2020, la Comisión Europea (CE) impulsó una batería de medidas englobadas en la Estrategia Digital Europea, que determina el camino a seguir para acometer una reforma de la economía digital y de las tecnologías de la información en la Unión Europea.

Y el pasado 4 de octubre, el Consejo de la UE validó definitivamente la ley que regulará a las grandes plataformas digitales y que condicionará el modus operandi de gigantes tecnológicos como Google, Amazon, Meta o Apple.

El nuevo reglamento se publicará en el Diario Oficial de la UE hoy mismo, aunque su contenido no será aplicable hasta 15 meses después, por lo que las compañías tienen margen de tiempo para adaptarse a la ley.

Claves de la DMA y la DSA

La Ley de Servicios Digitales (Digital Services Act o DSA) pretende enterrar la publicación de contenidos ilegales, responsabilizando a las plataformas de sus algoritmos y estableciendo directrices también para las redes sociales y los marketplaces.

Pues bien, en torno a esta ley y a la de Mercados Digitales (Digital Markets Act o DMA), Alberto Valentín, consultor y analista de políticas públicas de Kreab, ha escrito un amplio artículo en la última edición de la revista Telos, de Fundación Telefónica, donde el experto ha detallado las luces y sombras de una nueva e insólita regulación digital para la UE, con la que el Viejo Continente pasa a ser la primera jurisdicción del mundo en implantarla.

Una norma novedosa, sin precedentes, que constituye una seria apuesta de las instituciones comunitarias y refuerza el mercado común, en la medida en que se crea un marco jurídico para los servicios digitales que afecta a 450 millones de consumidores.

Mismas normas digitales para todos

“Hoy podemos decir que Europa será el primer mercado digital del mundo libre, con normas claras y predecibles para todos” escribe Valentín, quien sostiene que aunque a veces tengamos la sensación equivocada, no siempre vamos a rebufo de Estados Unidos, ni siquiera en materia tecnológica o digital.

“El rol de la CE ha sido clave para sacar adelante esta normativa, sabiendo que las instituciones comunitarias no siempre van tan rápidas, porque requieren consensos de muchos agentes”, puntualiza.

Seguridad y protección de los derechos de los usuarios

En resumidas cuentas, la Ley de Servicios Digitales y la Ley de Mercados Digitales ponen el acento en la seguridad y protección de los derechos de los usuarios, estableciendo unas condiciones justas y equitativas para todas las compañías e incrementando la competitividad en el mercado único europeo.

Yendo al grano, del Reglamento de la DSA Valentín destaca la eliminación rápida de contenidos ilegales, el refuerzo del control del comercio online y la vigilancia más estricta sobre la publicidad. Por su parte, con la DMA la UE ha querido garantizar unas mismas normas para todos.

En contra de lo que muchos sostienen, regular el mercado y los servicios digitales no es poner puertas al campo. La CE consideraba que el mundo online no se encontraba regulado y que la transformación digital estaba siendo liderada por empresas de fuera del club comunitario, como demuestra la eclosión y extensión masiva del uso de plataformas tecnológicas, en su mayoría, provenientes de EE.UU.

Mayor transparencia

No solo es que el reglamento de la DSA conmina a las redes sociales y otras plataformas online a ser más transparentes o dar todo tipo de explicaciones sobre los métodos que siguen para sugerir contenidos, sino que las obliga a garantizar la seguridad de los usuarios.

De hecho, tal y como expone Valentín en su artículo, “no se podrá dirigir la publicidad basándose en los datos personales de los menores o utilizando datos sensibles, como la orientación sexual, religión o etnia, y tampoco se permitirá que las plataformas utilicen la interfaz para influir en el comportamiento de los usuarios, lo que se conoce como patrones oscuros”.

Implicaciones para las empresas

De ahí la cantidad de implicaciones, a todos los niveles, que tendrá la nueva regulación para las empresas digitales.

“El mundo online estaba por regular. A partir de ahora se exigirá transparencia, mayor nivel de colaboración con la Unión Europea y más implicación con la protección al usuario. Con estos reglamentos la Comisión Europea primero, y después el Consejo y el Parlamento Europeo han querido normalizar que lo que es ilegal en el mundo offline también lo sea en el online”, remarca el consultor. 

Poner la tecnología al servicio de las personas

Javier Rodríguez Zapatero, uno de los mayores expertos españoles en el mundo digital, aseguraba hace tiempo en estas mismas páginas que “hay que usar la tecnología para mejorar el mundo” y que “no da miedo, puede ser amiga”.

Con esta nueva regulación, la CE se ha marcado como principal objetivo trabajar para poner la tecnología al servicio de las personas, impulsar una economía más justa, con las mismas reglas para todos los operadores; y mantener una sociedad abierta, democrática y sostenible en el territorio comunitario.

Foto de Freepik

HackForGood: una nueva edición del hackatón más solidario

Patricia Robles Mansilla    13 octubre, 2022

Durante los próximos días 20 a 22 de octubre se celebrará la octava edición de “HackForGood” (H4G). Se trata de un encuentro interuniversitario centrado en la innovación social. Su principal objetivo es dedicar los conocimientos de los participantes, basados en tecnología y programación, al desarrollo de nuevas ideas, servicios o aplicaciones que ayuden a resolver diferentes problemas sociales.

Equipos multidisciplinares: no hay silos

Tras el éxito de convocatorias anteriores, se espera que la cita de este año se convierta en el mayor encuentro de este tipo celebrado en nuestro país. Está previsto que congregue a más de mil estudiantes para trabajar en equipos multidisciplinares de forma simultánea desde distintas sedes de todo el territorio nacional.

No hace falta tener una formación determinada.Tienen cabida programadores, diseñadores, psicólogos, filólogos, matemáticos, informáticos, ingenieros, técnicos, sociólogos y muchas otras titulaciones y especialidades.

Esta nueva edición del H4G está organizada por la red de Cátedras Telefónica, que cuenta con la mayor red de Cátedras universidad-empresa de nuestro país. Colaboran en la organización 25 universidades españolas, la fundación Hazloposible, LoopUp y Fundación Telefónica, que facilita sus sedes de 42 en Madrid, Málaga y Barcelona y da también la oportunidad de participar en el evento a todos sus estudiantes.

H4G: tecnología e innovación frente a desafíos múltiples

A diferencia de otros hackatones, en los que se plantea un único reto común para todos los grupos, H4G permite a cualquier participante con perfil de retador proponer distintos desafíos sociales que requieran una solución tecnológica innovadora.

En la web del evento aparecen ya algunos de ellos, que se seguirán ampliando próximamente. Los equipos de hackers “for good” participantes deberán elegir entre ellos cuál afrontar. En ediciones pasadas los participantes dieron respuesta a más de un centenar de cuestiones sociales planteadas por ONG, fundaciones, instituciones, universidades, etc.

En la evaluación de los resultados se considerarán factores como el impacto, la importancia del problema solucionado, creatividad, innovación, facilidad y bajo coste de despliegue, adaptación multidispositivo, uso de software libre y estándares abiertos.

Recompensas y el paso de una idea a una solución

El trabajo de los estudiantes tendrá premio: en total en esta edición de HackForGood se repartirán más de 50.000 euros entre premios locales y nacionales. Además, los primeros clasificados de cada sede y los premios nacionales tendrán la posibilidad de continuar su proyecto durante unos meses y presentarlo a los Premios HackForGood Big Day un año después en la sede de Telefónica para convertirlo en una solución.

Toda la información y registro en: HackForGood – 20-21-22 octubre 2022 – 2022, año europeo de la juventud

Cómo proteger tus cuentas en las redes sociales

Diego Samuel Espitia    11 octubre, 2022

Empresas y personas hoy en día usan las redes sociales para generar nuevas entradas o para vender sus servicios y productos, y no solo ya para comunicarse con otras personas o publicar sobre cosas que les gustan o acontecimientos.

Sin embargo, son pocas las personas que conocen cómo asegurar el acceso a la red social que usan para protegerse del riesgo de sufrir un ataque y perder el control de la cuenta, encontrándose en un gran problema para recuperar de nuevo el acceso a su perfil.

En este post vamos a ver algunos consejos para estar preparados en caso de que seamos víctimas de un ataque cibernético en nuestras cuentas de redes sociales. Como es difícil abordar todas las redes sociales, vamos a centrarnos en algunas de las más comunes y utilizadas en el mundo, y en recomendaciones lo más genéricas posible.

Entender qué opciones de seguridad ofrecen las redes sociales

Todas las redes sociales trabajan todos los días para garantizar la identificación y autenticación de sus usuarios ofreciendo múltiples formas de autenticarse y mecanismos de seguridad para garantizar la identidad del usuario. Sin embargo, la mayoría de los usuarios solo implementa una contraseña y desconoce que ofrece la red para asegurar su recuperación en caso de perdida.

En el caso de Facebook, se tiene una página donde entregan los consejos que ellos entregan para la configuración de la seguridad, pero se divide en tres pasos fundamentales:

Esos pasos permiten configurar los mínimos de control de acceso que se debe tener por parte de cualquier usuario. Pero adicional a esto es necesario saber qué van a solicitar en caso de perder el control de la cuenta. En el caso específico de Facebook, el sistema pide que valide la información con una serie de fotos, donde se incluye una del documento de identificación o pasaporte.

Esto se hace para la validación de la identidad, donde además se comparan los nombres en la red social con los registrados en el documento y puede ser solicitado por la red social, simplemente para validar un control de identidad.

Teniendo en cuenta lo anterior, es vital tener nombres e imágenes que le sirvan a la red para la recuperación, en el caso de que sea un robo de la cuenta, no importa los cambios que se hayan realizado por parte de los delincuentes. Esto le permite a Facebook confirmar la identidad del usuario en los históricos.

Este mismo procedimiento es válido para casi todas las otras redes sociales, como Instagram, Youtube, LinkedIn y Twitter. Sin embargo, no funciona para TikTok, donde no es posible ni siquiera configurar el doble factor de autenticación.

TikTok se ha convertido en una de las plataformas más usadas por empresas, emprendedores y personas, pero poco han realizado un análisis de la seguridad que entrega esta plataforma, donde el único parámetro configurable es que la cuenta sea o no privada.

En caso de olvidar la contraseña o de un cambio en la misma, se solicita el número de teléfono y se envía un pin de 6 dígitos. Pero no existe ningún procedimiento en caso de perder el control de la cuenta: solo se indica un procedimiento para recuperar la cuenta en caso de que sea eliminada, que funcionará hasta 30 días desde que se eliminó.

Conocer quién divulga tus datos

Otro gran problema de las redes es que terminamos inundados de publicidad en nuestros correos electrónicos o con varios correos para gestionar la publicidad de las redes. Para abordar esto, los sistemas de correo electrónico de uso gratuito nos pueden ayudar con un truco relativamente simple.

El truco consiste en añadir el nombre de la red social al nombre usuario de nuestro correo, sin que esto implique que debamos tener un correo electrónico para cada cuenta.

Así pues si la cuenta con la que se registró en Instagram es [email protected], puedes cambiarla por [email protected]. También funciona con las cuentas de outlook.com o hotmail.com.

Con este cambio vas a conseguir que la publicidad o datos enviados desde estas plataformas lleguen a tu buzón de correo con esta identificación añadida a la dirección de correo, y de este modo tendrás evidencias de quién (o qué red social) divulgó tus datos.

Además, muchos de los ataques de robos de sesión se realizan con sistemas automatizados, los cuales tomas las bases de datos de información de fugas e inician con procesos para romper contraseñas, pero este “nuevo” correo no será válido para abrir la red social.

Conclusión

Recuerda que siempre es mejor prevenir que lamentar, y que los delincuentes están constantemente buscando debilidades para apropiarse de las cuentas de redes sociales. Más ahora que se han convertido en canales de compra y venta y que las utilizan muchas personas.

Entender los controles y las protecciones que nos proporcionan, y saber qué hacer en caso de un incidente, es vital para garantizar la seguridad de tu información personal y la de tu entorno.

Diego Samuel Espitia
Diego Samuel Espitia

Ingeniero Electrónico, Especialista en Seguridad de Redes, CEH, Auditor ISO27000, RHCT. Chief Security Ambassador - CSA de Telefónica Tech en Colombia.

Diez mejores prácticas para optimizar el posicionamiento de tu sitio web

Alicia Díaz Sánchez    11 octubre, 2022

El 18 de diciembre de 2021 se contabilizaron más de 1900 millones de sitios web, de los cuales gran parte estaban inactivos. Entre tantos millones de páginas web, ¿cómo es posible lograr un buen posicionamiento y aparecer en las primeras páginas de los buscadores?

Posicionamiento web: Orgánico o de pago

Hay dos formas de posicionar una página web en los buscadores: pagando o de forma gratuita.

Si no pagamos por posicionar determinadas palabras clave, es complicado conseguir que nuestra página consiga situarse entre los primeros puestos de búsqueda en Internet. Pero no es imposible. De hecho, hay bastantes sitios web que están en los primeros puestos y lo han conseguido de forma orgánica, sin pagar un solo euro, porque aportaban información de valor a los usuarios o respondían a las búsquedas exactas de muchos de ellos.

Mejores prácticas para salir en las primeras páginas de resultados

Entre las prácticas para mejorar el posicionamiento web de una página, una tienda online o un blog, destacan las siguientes:

1. URL amigable

La dirección web o URL del contenido que queremos publicar debe ser fácil de leer y contener las palabras clave relacionadas con la información que muestra. Debe ser lo más corta posible y escribirse en minúsculas y sin acentos. No debe contener guiones bajos, sino guiones medios para separar las palabras.

2. Arquitectura del contenido de la página

El contenido de la página debe estructurarse empleando correctamente los títulos H1, H2, H3…, de tal modo que la información quede organizada en función de la importancia que puede tener para los usuarios.

3. Velocidad de carga de las imágenes

Si las imágenes o gráficos que utilicemos para acompañar al contenido pesan mucho, la velocidad de carga de la página se ralentizará y eso influirá negativamente en el SEO. Para Google, por ejemplo, si la página tarda más de tres o cuatro segundos en cargar, eso será motivo para penalizar su posicionamiento.

Existen numerosos compresores de imágenes gratuitos para aligerar el peso de las mismas. En mi opinión, uno de los mejores es Compressor, que permite reducir en muchas ocasiones hasta un 50% el peso, sin que las fotografías o gráficos pierdan calidad.

Por otro lado, si queréis conocer si vuestra página es lenta al cargar, lo mejor es que utilicéis la herramienta de Google PageSpeed Insights. Basta con introducir la URL de vuestra página web y hará un diagnóstico de su estado, con recomendaciones para que cargue más rápido.

4. Atributos alt de las imágenes o texto alternativo

La imagen del post debe incluir el nombre de la palabra clave y escribirse con guiones medios y sin acentos. Ej: cursos-online-gratuitos. La foto lleva un texto alternativo que debe ser cumplimentado e incluir también la palabra clave.

5. Palabra clave o keyword

En el posicionamiento web influye muchísimo la palabra clave. Por ello, es preferible que la keyword sea larga (long tail) antes que muy corta, porque de lo contrario compite con muchas más búsquedas en Google y en otros buscadores. Ejemplo: Es mejor poner “cursos online gratuitos” que solo “cursos”. La palabra clave debe aparecer en:

  • El primer párrafo del texto que hemos redactado.
  • En algún subtítulo H2 o H3.
  • En la URL.
  • Si el texto tiene unas 900 palabras, conviene que la palabra clave aparezca cuatro o cinco veces, distribuida más o menos homogéneamente.

6. Título SEO

No puede ser muy corto ni tampoco superar el límite visible en los buscadores. Debe tener una longitud máxima de 70 caracteres, incluidos los espacios, y ser diferente del titular del artículo. Ambos deben incluir la palabra clave, preferiblemente al principio.

7. Descripción SEO o metadescripción

No puede ser muy corta ni tampoco superar el límite visible en los buscadores. Es decir, debe tener un máximo de 140 caracteres, incluidos los espacios.

Algunos expertos recomiendan utilizar emoticonos en el título SEO o en la metadescripción, para que destaquen dentro de los resultados de búsqueda de Google. Podemos encontrar muchos gratuitos en Emojipedia.

8. Enlaces internos

Es aconsejable enlazar a otros contenidos de nuestra página web (interlinking SEO) que estén relacionados con el tema que tratamos. Tiene que haber uno al menos, y no puede ser un enlace con la palabra clave que hemos utilizado en nuestro contenido.

9. Enlaces salientes o externos

Siempre está bien enlazar a informes o artículos que aporten valor. Tampoco puede ser un enlace con la palabra clave que hemos utilizado en nuestro post. Si no incluimos ninguno, no penaliza el posicionamiento web.

10. Longitud del texto

En este punto hay opiniones diversas, desde los que dicen que un texto debe tener 1500 palabras a los que recomiendan solo 300. En cualquier caso, aquí debe imperar el sentido común. Si es una descripción de un producto, con sus características, funcionalidades y demás, no tiene por qué ser muy largo. Si es un artículo para un blog, por ejemplo, el plugin Yoast SEO recomienda un mínimo de 300 palabras, aunque cuantas más mejor. Quizá en el término medio esté la virtud y 800 o 900 palabras constituyan una longitud aceptable para el artículo de un blog.

Recurrir a profesionales para mejorar el posicionamiento web

Además de todo lo anterior, si queremos mejorar aún más el posicionamiento de nuestra web, tienda online o blog, podemos recurrir a herramientas profesionales de pago.

Una de ellas es Tu informe SEO, que proporciona un análisis de la web, el tráfico y el SEO. Además de ello, proporciona un escaneo diario o semanal de la página web (hasta quince palabras) y comparación con las de tres competidores; informe mensual de posicionamiento; y plan SEO con tareas para optimizar el sitio web.

Todo ello encaminado a conseguir nuestros objetivos: más ventas, más tráfico web o una mayor visibilidad en la Red.

Foto de Freepik

Líderes cercanos y empleados empoderados, clave para la agilidad de las organizaciones

Javier Rosado López    11 octubre, 2022

Cuando estuve trabajando en otro negociado tenía un compañero de unos treinta años muy agradable, con sentido del humor, al que le gustaba salir, la cerveza, el ceviche y jugar una vez a la semana al futbol. Es decir, lo normal.

Pero había algo en él que me llamaba la atención. Cuando su novia aparecía en escena el tono de su voz cambiaba, se volvía más sensible, cálido y dulce, muy dulce. Donde antes afirmaba pasaba a preguntar o sugerir. Donde mostraba seguridad ahora había necesidad de aprobación. Salía a la luz un vocabulario diferente, meloso y plagado de diminutivos: amor, cielo, vida mía, ahoritita mismo… y desaparecían otro tipo de palabras, que mejor no dejar por escrito.

Lo que me sorprendía no era que cambiase su forma de hablar, sino que el cambio fuese tan drástico. Porque la realidad es que todos, en mayor o menor medida, también modificamos nuestra manera de expresarnos en función de a quién nos dirijamos. En nuestro trabajo, de hecho, lo hacemos a diario.

Cuando no estamos de acuerdo con un compañero solemos decirle: «No estoy de acuerdo. Creo que el enfoque no es correcto.» En cambio, cuando no estamos de acuerdo con nuestro director (si conseguimos no quedarnos callados) damos más rodeos, tipo: «Estoy de acuerdo, aunque tampoco me parece mala idea probar a enfocarlo de esta otra manera. Pero bueno, seguramente me falte algo de información.»

Cuando le pedimos algo a un compañero podemos decirle sin tapujos: «Lo necesito para el lunes.» En cambio, cuando lo necesitamos de nuestro jefe es así la cosa: «Si no tienes tiempo no hace falta que te molestes pero si tuvieras un hueco para echarle un vistazo para este lunes, sería perfecto.»

El «discurso mitigado»

El término utilizado por los lingüistas para describir esto es «discurso mitigado» y se refiere a cualquier tentativa de minimizar o suavizar el significado de lo que se dice. Lo hacemos cuando somos corteses, cuando nos avergonzamos o cuando estamos intentamos ser respetuosos con alguien con más autoridad.

Problemas de comunicación y accidentes de avión

El problema es que algunas veces decir las cosas con mucho tacto es perfectamente apropiado pero, en otras ocasiones, puede suponer que se estrelle un avión.

Los accidentes de avión rara vez se producen en la vida real como en las películas. Es decir, el fallo pocas veces es mecánico o por falta de destreza del piloto. Es mucho más probable que los accidentes se produzcan como resultado de una acumulación de pequeñas disfunciones y anomalías en apariencia sin importancia.

Un típico accidente comprende siete errores humanos consecutivos. Suelen ser de trabajo en equipo y comunicación. El copiloto sabe algo importante y, por algún motivo, no se lo dice al piloto con la claridad que requiere o directamente ni lo menciona. El discurso mitigado explica una de las grandes anomalías de los accidentes de avión. Por increíble que parezca, históricamente ha sido mucho más probable que ocurra un accidente cuando el capitán está en el asiento del piloto. Los aviones son más seguros cuando el piloto menos experimentado lo dirige porque eso significa que el copiloto no va a tener miedo de hablar.

De hecho, combatir la mitigación se ha convertido en una de las grandes cruzadas de la aviación comercial en los últimos quince años. Muchas líneas aéreas enseñan un procedimiento estandarizado para que los copilotos aprendan a desafiar al piloto si piensan que algo va mal. Los expertos en aviación sostienen que el éxito de esta guerra contra la mitigación es tan importante como cualquier otro factor a la hora de explicar la extraordinaria disminución del número de accidentes aéreos en los últimos años.

La distancia jerárquica, enemiga de la agilidad empresarial

El «índice de distancia jerárquica» es un concepto creado por el psicólogo Geert Hofstede. Está relacionado con las actitudes hacia la jerarquía y cuánto se valora y respeta a la autoridad en una cultura concreta.

Para medir dicha distancia, Hofstede se basó en múltiples estudios de los años 80 e involucró a más de cincuenta países. Se hicieron preguntas como: ¿con qué frecuencia los empleados tienen miedo de expresar su desacuerdo con los gerentes? ¿Hasta qué punto «aceptan y esperan los miembros menos poderosos de organizaciones e instituciones que el poder se distribuya desigualmente»?

En las sociedades en las que la distancia jerárquica es mayor, como Asia, Europa Oriental, Latinoamérica y África se cuestiona menos a quienes están en los niveles más altos. En culturas con pequeña distancia jerárquica – escandinavas o anglosajonas, por ejemplo- el reparto del poder es más equitativo y tienden a avanzar más en campos como la educación y la economía.

Las conclusiones de Hofstede tuvieron mucho impacto en la industria de la aviación. La gran batalla contra el discurso mitigado es un intento de reducir la distancia jerárquica en la cabina. Esa distancia jerárquica no solo depende de la persona, sino que influye su país de procedencia, es decir, su cultura. Por ello, históricamente aerolíneas de Latinoamérica y Asia han sido durante un periodo de tiempo más proclives a sufrir accidentes aéreos que compañías norteamericanas.

Comunicación distante con el poder

La comunicación distante con el poder solo funciona cuando el receptor es capaz de prestar la máxima atención y si los dos participantes de la conversación pueden permitirse el lujo de tener tiempo para desentrañar lo que el otro quiere decir. Pero no funciona en la cabina de un avión en una noche de tormenta con un piloto cansado.

Silencio en las reuniones y soluciones en los pasillos

En las organizaciones una distancia jerárquica alta ocasiona que haya mucho discurso mitigado, lo cual no es aconsejable. No es compatible tampoco con el empoderamiento del empleado y, por tanto, con la agilidad empresarial.

Estamos, por desgracia, muy acostumbrados a silencios en reuniones y a soluciones en los pasillos. A comités en los que hablan los que mandan y otorgan los que no. Al miedo a llevar la contraria, a no desafiar la opinión del de arriba y a debatir cuando no nos oyen.

En los bares nos mostramos claros y firmes en numerosas cuestiones pero nos escondemos detrás de la foto del Teams en temas en los que sí somos expertos cuando la cadena de mando hace acto de presencia. Si hablamos, lo hacemos con inseguridad, matices y muy suavemente. Nos acartonamos, perdemos naturalidad, espontaneidad y confianza. Y, sin ser nosotros mismos, sin autenticidad, nuestra capacidad de convencer, persuadir o defender una idea, naufraga.

Es necesario humanizar al que dirige. Porque por muy arriba que esté en la jerarquía seguro que alguna vez también se ha conectado a las reuniones en pantalón de pijama y le gusta reírse y hablar con personas, en lugar de con robots que siempre le dan la razón.

“Cuando todos opinan igual alguien no está pensando”

Por otro lado, la distancia jerárquica depende de la cultura y está en manos de las empresas y sus líderes conseguir una cultura que empodere al empleado y le permita desafiar opiniones y decisiones. Como hemos explicado en este blog en numerosas ocasiones, un buen líder trabaja la confianza en su gente para que expresen permanentemente y en cualquier foro sus puntos de vista. Es autocrítico, acepta sus errores, da a entender con naturalidad que no lo sabe todo y se encarga de hacer sentir a cada persona que su opinión es tenida en cuenta y valorada.

Cómo dice Jordi Alemany,  «Si ocupas una posición de liderazgo y, de manera recurrente, todo el mundo opina igual que tú, pueden pasar dos cosas: o que te tienen miedo y no se atreven a contradecir tu opinión o que no les importa lo más mínimo el impacto de tus decisiones, por desacertadas que sean. En ambos casos deberías preocuparte, porque cuando todos opinan igual, alguien no está pensando.»

La distancia jerárquica está supeditada a la cultura de la empresa, decía, sí, pero reducirla no es solo tarea de los líderes, sino también de los colaboradores. Toca empoderarse, venirse arriba y ser valientes porque puede marcar la diferencia entre que una organización se estrelle o no.

Imagen: theilr

Los 6 errores más comunes a la hora de presupuestar un proyecto Cloud

Roberto García Esteban    10 octubre, 2022

No cabe duda de que apostar por la tecnología Cloud Computing trae consigo enormes oportunidades para las empresas, pero siempre es necesario entender bien sus particularidades financieras.

Tradicionalmente, el modelo IT consistía en “poseer” recursos, mientras que con la tecnología Cloud esto cambia y se pasa a “consumir” recursos. Este cambio de paradigma trae consigo que algunas empresas cometan errores a la hora de diseñar y presupuestar sus proyectos Cloud, un error que les limita a la hora de aprovechar todas las ventajas que ofrece esta tecnología.

Hemos recopilado algunos de esos errores más comunes:

  1. Poner el foco en los resultados a corto plazo mientras se descuidan los beneficios a largo plazo. En la búsqueda de resultados inmediatos, muchas empresas se focalizan en los beneficios inmediatos de migrar a la nube, como son los ahorros en costes de alojamiento o mantenimiento, y descuidan otros beneficios que se obtienen a más a largo plazo, como la mayor facilidad para lanzar nuevos servicios o la capacidad de innovar más rápidamente.

    Capturar estos beneficios a más largo plazo requiere a veces de mayores inversiones que los beneficios a corto plazo, pero es rentable no perderla nunca de vista.
  2. Uso de CAPEX en lugar de OPEX. Los servicios Cloud son gastos operativos (OPEX) ya que las empresas pagan solamente por los recursos que usan, mientras que en un modelo IT tradicional se utilizan inversiones de capital (CAPEX) que implican una planificación financiera a largo plazo.

    Así pues, las empresas deben estimar con la mayor precisión posible cuándo y cuánto aumentará su uso diario de recursos Cloud y contar con el presupuesto operativo para ello, aunque luego puedan reducirlo cuando ya no sea necesario.
  3. Estimar el gasto en recursos Cloud basándose solo en factores históricos: A medida que las organizaciones dan el salto desde el mundo de las inversiones de CAPEX del mundo tradicional del TI a un modelo de gastos operativos (OPEX) del mundo Cloud, las inversiones históricas se convierten en un indicador menos preciso de los gastos futuros en Cloud.

    Esto constituye un problema a la hora de asignar presupuestos para desarrollar proyectos de migración a la nube, pudiendo suponer hasta un 20% de desviación entre el pronóstico y el gasto real en servicios Cloud.

    La clave para lograr una mejor previsión presupuestaria es vincularla a las necesidades de la empresa y no tanto a las inversiones pasadas en TI. Por ejemplo, si la empresa está planeando una gran promoción ligada al Black Friday probablemente tendrán un pico en la demanda durante esos días que quizá no tuvieron en años anteriores. Lo mismo se puede decir si se está pensando en un cambio de modelo de negocio o en el lanzamiento de nuevos productos aprovechando la flexibilidad aportada por el Cloud Computing.
  4. Asumir que todos los servicios Cloud tienen ahorros de coste similares. La elasticidad y escalabilidad de la nube es económicamente ideal para cargas de trabajo con patrones variables de consumo de recursos.

    Sin embargo, las empresas a veces no diferencian los ahorros por carga de trabajo, asumiendo que los ahorros por subir la capacidad de cómputo a la nube será la misma que por migrar el almacenamiento cuando, en realidad, no todas las cargas de trabajo en la nube tienen el mismo coste ni por tanto suponen el mismo ahorro frente a los modelos tradicionales. Simplificar el modelo de ahorro de costes puede dar lugar a errores en el presupuesto del proyecto.
  5. Estimar un uso de la nube mayor del real. Al crear el caso de negocio de un proyecto Cloud las empresas a menudo asumen niveles optimistas de utilización de los servicios Cloud. Esto infla en exceso los ahorros proyectados a pesar la capacidad de nube para escalar dinámicamente el uso de los recursos para satisfacer la demanda de aplicaciones.

    Unas altas tasas de utilización de servicios dependen, al menos en parte, de una arquitectura capaz de soportarlas y en muchas ocasiones los planes financieros de las empresas no van alineados con las necesidades de adaptación de la arquitectura de sus servicios.
  6. Subir todo a la nube. Algunas empresas hacen un salto radical a la nube, subiendo prácticamente todas sus cargas de trabajo, incluso cuando es innecesariamente costoso.

    En cambio, hay cargas de trabajo que pueden permanecer en entornos legacy sin problema, dado que la subida a la nube tampoco aporta ahorros significativos para las empresas.

Todos estos errores destacan la necesidad de que las empresas adapten sus modelos financieros tradicionales cuando se plantean una migración a la nube, porque de no hacerlo así corren el riesgo de tomar decisiones financieras equivocadas.

Para obtener el máximo beneficio a los servicios Cloud es crucial presupuestar con precisión los proyectos, así como ser consciente de las ocasiones en las que no aporta un beneficio significativo frente a los modelos tradicionales, ya que esas ocasiones también existen y conviene conocerlas y, sobre todo, aprovecharlas a nuestro favor.

Tendencias en el mercado Cloud hasta 2025
Deja un comentario en Los 6 errores más comunes a la hora de presupuestar un proyecto Cloud
Roberto García Esteban
Roberto García Esteban

Ingeniero de Telecomunicaciones por la UPM, diplomado en Administración y Dirección de Empresas en la UNED y MBA Executive por el Instituto de Empresa. Actualmente trabajo como Product Manager de servicios Cloud en Telefónica Tech. Soy muy futbolero (por supuesto, del Real Madrid ), si bien me gusta seguir y practicar todo tipo de deportes (es fácil que me veas en una carrera popular por las calles de Madrid). Aunque mi verdadera pasión es disfrutar de una buena conversación con mis amigos o mi familia.

Qué es la estafa del QR inverso y cómo evitar otros timos al escanear estos códigos

Raúl Alonso    10 octubre, 2022

Este verano, un camarero de Mairena de Aljarafe escaneó un código QR creyendo que recibía el pago de la consumición, pero en realidad había aceptado una orden de cobro. Una estafa bautizada como QR inverso, y que permite además acceder a los datos personales y claves del usuario. Te explicamos cómo evitar los timos de escaneo de códigos QR.

Estafa del QR inverso

Cada vez escaneamos más códigos QR

Aunque su origen se remonta a los años 90, tras la pandemia el uso de códigos QR se ha generalizado en nuestras vidas.

Su misión es facilitar el acceso a la información a través de su escaneo con la cámara del móvil: las siglas QR provienen del inglés quick response (respuesta rápida).

Resultaría tedioso hacer un listado de sus diferentes usos, pero a modo de ejemplo se pueden citar algunos tan comunes como en un restaurante para consultar la carta, en un museo para acceder a información adicional, en un hotel para descargar la aplicación de servicios, en una tienda para darse de alta en el club de fidelidad o acceder a un descuento, u otros más novedosos como el acceso a un evento o a determinados transportes.

Además, cada vez va a ser más habitual su uso como medio de pago, algo muy común ya en países como China o India. Se calcula que el 4% de las transacciones digitales globales se realizan ya por esta vía (Kleiner Perkins Caufield & Byers, Visa Inc. y GfK)  

El problema es que si es manipulado con intereses espurios, puede no dirigir a donde pensábamos. En Texas se denunció un fraude en los parquímetros públicos, donde el usuario al utilizar el QR en realidad estaba pagando por el estacionamiento en una web fraudulenta.    

Cómo evitar los fraudes con códigos QR

Desde la Oficina de Seguridad del Internauta (OSI) se advierte sobre el uso fraudulento de la tecnología QR y se aconseja tomar una serie de medidas para escanearlos de manera fiable y segura.

Antes de usar un código QR

No se trata de no utilizar una tecnología cómoda y útil en la mayoría de los casos, sino de aprender a hacer un uso racional. Por ello, antes de escanear con tu móvil un código QR debes saber lo siguiente:

  • A qué página web esperas que te dirija.
  • Si no es así, existe la posibilidad de que esa web no sea la que esperas. Puedes llevarte la sorpresa de visitar una web de contenido violento, pedófilo o que suplante la del comercio o promoción que esperabas encontrar para engañarte (phishing).
  • ¿Has pensado que el QR te puede conducir a la descarga de una app que promete tener una funcionalidad, pero que en realidad te suscribe a servicios SMS de pago?
  • ¿Y si la app es capaz de detectar fallos de seguridad en tu móvil para robar información?
  • También puede secuestrar toda la información que guardas: contraseñas, fotos, vídeos, documentos, etc.

Consejos para escanear un código QR con seguridad

Conocidos los peligros, llega el momento de aprender a escanear los códigos QR con precaución. Seguimos las recomendaciones de OSI:

  • Escanea solo los QR de establecimientos o marcas confiables ubicadas en un entorno natural. Evita hacerlo con los te encuentres en la calle, centros comerciales o transporte público sin estar debidamente identificados.
  • Comprueba que el código QR no es una pegatina que alguien ha superpuesto tapando la original legítima.
  • Al apuntar con la cámara de tu móvil al QR, y antes de entrar en la URL que ofrece, mírala para ver si te parece o no sospechosa. Lo más importante es asegurarte de que muestra el estándar de navegación segura, lo más común es que comience por ‘https’. Debes tener en cuenta que, de tratarse un fraude, no va a ser fácil identificarlo. Como bromean desde OSI, ningún ciberdelincuente va a identificarla con un gráfico ‘EstoEsUnaAplicacionFraudulenta’.   
  • No proporciones ningún dato privado ni ninguna contraseña en una web a la que hayas accedido con uno de estos códigos. “Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos datos de nuestra tarjeta bancaria, lo hagamos desde la URL completa o a través de su aplicación propia”, explican en OSI.
  • Si además quieres contar con una seguridad adicional, tienes dos opciones:
    1. Usar un analizador de enlaces. Aplicaciones como VirusTotal o URLVoid comprueban antes de abrirlo que la URL no esconde ningún ataque de ingeniería social, como phishing.
    2. Emplear aplicaciones de seguridad. Estos lectores de escáner sirven para hacer una lectura segura del código QR antes de activarlo (por ejemplo, Kaspersky QR Scanner).

Foto de Freepik

Un innovador enfoque de la ciberseguridad basado en el humor

Víctor Deutsch    10 octubre, 2022

Algunos lectores de  “Ciberseguridad para directivos” (LID Editorial), al darme feedback sobre mi libro  me han dicho que les había parecido muy interesante la visión de que la creación de una cultura organizativa respecto a la ciberseguridad es clave para el éxito de la estrategia en este sentido. Y, como corolario, la necesidad de dedicar un esfuerzo considerable a la concienciación. Pero, como decía Murphy “el optimista”, “nada es tan fácil como parece”.

“El público en general no tiene la misma percepción de riesgo cuando interactúa con un ordenador que cuando, por ejemplo, manipula un líquido inflamable o tóxico. Solo aquellos que han sufrido en sus carnes un incidente grave podrían sentir algo similar.”

La concienciación en ciberseguridad a través del humor resulta una palanca efectiva, como vamos a ver.

Protagonismo de los insiders en los incidentes de seguridad

Tendemos a darle más importancia a tecnologías visualmente más llamativas o a las funciones con un aura más romántico o de aventura: el hacking ético, la inteligencia artificial, los red teams o equipos de respuesta a incidentes. Pero conviene no ignorar que en gran parte de los incidentes de seguridad hay involucrados insiders (colaboradores necesarios dentro de la organización). Según distintos estudios, ocurre entre un 25 y 30 por ciento de las veces  y hasta un 70 por ciento de ellas. Pero, en cualquier caso, hay consenso en dos aspectos sobre los incidentes provocados por insiders: son mucho más dañinos y también mucho más difíciles de descubrir y denunciar.

Intencionalidad o desconocimiento como causas

Estos insiders pueden causar estragos por intencionalidad o por simple falta de concienciación sobre la seguridad. Todos los días se siguen produciendo incidentes por ejecutar un adjunto en un correo o responder con datos personales a un mensaje fraudulento.

En conclusión, si las organizaciones pueden reducir el número de insiders -voluntarios o involuntarios- reducirán sustancialmente sus riesgos de ciberseguridad.

La importancia clave de la concienciación y los retos

Por eso es importante analizar cuál es la mejor manera de concienciar a la plantilla de una organización. Dado el impacto que puede tener en los riesgos, se trata de una decisión crítica. Juega en contra la complejidad técnica (las amenazas son difíciles de explicar)… y, sí, también el aburrimiento. Las campañas de comunicación sobre los riesgos de TI suelen ser repetitivas y planas. 

Una manera innovadora de abordar la ciberseguridad a través del humor

Otro Murphy, Ian Murphy, un destacado consultor británico en ciberseguridad, fundó Cyberoff con el objetivo de dar un salto de calidad en las campañas de concienciación. Como arma utiliza el humor.

En el video inferior podéis ver un ejemplo de lo que estamos hablando, en el que Ian utiliza una parodia de una película muy arraigada en la cultura popular para concienciar sobre un tema “tan entretenido” como las estafas telefónicas relacionadas con el pago de impuestos.

Como se indica en la web de Cyberoff, “El contenido atractivo es una herramienta crucial para mantenerse seguro online. Ayuda a recordar las malas prácticas que se deben evitar: desde usar con descuido las contraseñas o propocionar demasiada información hasta no detectar cuándo un correo electrónico esconde una estafa. Estas pequeñas mejoras en el comportamiento de los empleados, acompañadas del uso del humor para ayudar a sus “ninjas de seguridad interna” pueden ayudar al negocio. La pérdida de datos, el robo de los de los clientes o la reputación comercial por los suelos son síntomas de no tener una fuerza laboral bien formada y esto se puede prevenir. Todo comienza por prestar atención prioritaria a los empleados. Cuando se les brinda contenido entretenido, que pueden compartir con sus familiares y amigos, se obtiene una fuerza de trabajo cibernéticamente más inteligente sin siquiera tener que pedirlo”.

Para profundizar en el tema, Ian Murphy ha accedido muy amablemente a responder a algunas preguntas para Think Big Grandes empresas sobre la concienciación en ciberseguridad a través del humor.

Ian Murphy

Enfoque a medida o genérico

Según nos cuenta, Cyberoff utiliza dos enfoques diferentes cuando aborda una nueva campaña: “Uno a medida y el otro, genérico. Cuando una empresa elige el primero, todos los contextos, guiones y temas de discusión se acuerdan directamente con el cliente y el contenido que se produce es para uso exclusivo dentro de dicha empresa. Puede ser cualquier cosa: desde un video live-action o animado hasta una campaña de carteles o libros electrónicos cortos, que expliquen los diferentes problemas que la compañía quiera abordar”.

“Para el enfoque genérico -continúa-, tengo un programa de early-adopters, a los que propongo cada mes temas variados sobre los que votan y el seleccionado se produce y publica como video de concienciación de ese mes. Lo enviamos por el correo electrónico interno de la empresa y generamos expectativa con correos electrónicos del tipo “trailers” y “coming soon” antes del lanzamiento del video final.”

En esta pieza veréis que Ian utiliza como hilo conductor al “Dr. Who”, la serie mundialmente famosa de la BBC.

Un gran trabajo detrás para hacer de la ciberseguridad algo divertido

Como se puede apreciar, son campañas que requieren de una preparación muy concienzuda, cuidar mucho los detalles y en ellas interviene un equipo de creativos que incluye guionistas, directores de fotografía, editores, productores, directores, etc. “Seguimos un briefing que acordamos con el cliente -explica Murphy. En general, tratamos de cubrir el mayor número de temas de concienciación de tantas maneras diferentes como sea posible para mostrar lo que se puede hacer para conseguir que la ciberseguridad resulte divertida y sea atractiva.”

¿Apuestan las empresas por el sentido del humor?

Pero ¿cuál es la reacción de las empresas ante este nuevo enfoque de la concienciación en ciberseguridad a través del humor? Según Ian, su percepción está cambiando. “Para empezar, muchas empresas temen mostrar su lado divertido para evitar que nadie se sienta ofendido. Una vez que les muestro el impacto y acordamos actuar dentro de sus límites morales (palabrotas, insinuaciones, etc.) “compran”  la idea. Curiosamente, después del COVID-19 la mayoría de las organizaciones parece haber encontrado su sentido del humor. Entienden que la vida es demasiado corta para tanto formalismo asfixiante.

La involucración de la alta dirección marca la diferencia

Un aspecto clave siempre es la involucración de la alta dirección, como explico extensamente en “Ciberseguridad para directivos”.

Para Ian es un tema en curso, sobre el que hay que seguir trabajando. “Trato de alentar a los ejecutivos a involucrarse lo más posible en el resultado. Reconozco que no muchos de ellos quieren pero aquellos dispuestos a estar frente a la cámara comprueban que el plus de que su gente los vea comportarse como un ser humano hace maravillas.”

Para medir el impacto de su enfoque para la concienciación en ciberseguridad a través del humor, Ian se basa en los indicadores de éxito de su engagement en LinkedIn donde “se sorprenden de que tanta gente se tome tan en serio la concienciación sobre ciberseguridad”.

El humor maximiza los resultados

En definitiva, está demostrado que el humor, bien utilizado, maximiza el aprendizaje y atrae la atención de la gente sobre contenidos que, de otra forma, serían insoportables o al menos no resultarían prioritarios. Ya se utiliza en la publicidad, en la comunicación política, en las aulas… así que ¿por qué no utilizar el humor también en ciberseguridad?

La anécdota del general Maxwell Taylor en la guerra de Corea

Para quien piense que su uso es una forma de banalizar el tema y le resta importancia quiero recordar la famosa anécdota del general Maxwell Taylor en la guerra de Corea.

Las tropas de las Naciones Unidas se encontraban en una situación crítica. El ejército aliado chino-norcoreano los había sitiado completamente y disponía de una abrumadora superioridad de medios. Cundía la desesperación y la resignación: nadie tenía confianza en que se pudiese evitar una derrota catastrófica. En ese momento, el general Taylor, jefe del ejército, convocó  una reunión con su desmoralizado estado mayor, consciente de que era necesario un empujón moral o serían barridos.

En el briefing, después de que los oficiales subalternos explicaran en detalle la gravedad del momento, Taylor tomó la palabra: “Veamos: están a nuestra derecha, a nuestra izquierda, delante y detrás de nosotros… esta vez no se nos van a escapar”.

El humor de Taylor salvó la situación. Si estaba dispuesto a gastar bromas era porque mantenía la cabeza fría, lejos de estar desesperado. Transmitió a sus hombres una confianza en sus propias fuerzas que nadie tenía. Eso los ayudó a romper el sitio y evitar el desastre.

Por tanto, utilicemos el humor en la concienciación y en las situaciones de crisis de ciberseguridad de la misma forma. Y cuanto más lo hagan los altos directivos, mucho mejor. No habrá mejor firewall, red team o pentester que un directivo con la cabeza fría y sentido del humor para liderar a su gente.

Imagen y videos: Cyberoff

Subtítulos vídeo: Víctor Deutsch y Fernando Rodríguez Cabello

Boletín semanal de ciberseguridad, 1 — 7 de octubre

Telefónica Tech    7 octubre, 2022

Lazarus apunta a Dell mediante un nuevo rootkit FudModule

Investigadores de ESET han informado acerca de una nueva campaña de Lazarus apuntando hacia un controlador de hardware de Dell mediante un nuevo rootkit denominado FudModule.

El rootkik abusa de una técnica denominada bring your own vulnerable driver (BYOVD) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez. Esta técnica conocida como BYOVD, se produce cuando los actores maliciosos cargan controladores legítimos y firmados en Windows que cuentan con vulnerabilidades conocidas.

La campaña, cuyo objetivo es el espionaje y robo de datos, se llevó a cabo mediante spear-phishing desde otoño de 2021, afectando a objetivos en Países Bajos y Bélgica. Los correos maliciosos enviados se presentaban como ofertas de trabajo, y desplegaban cargadores de malware (droppers), y puertas traseras personalizadas.

La herramienta más notable fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551. Esta vulnerabilidad afectaba a un controlador de hardware de Dell legítimo (dbutil_2_3.sys) y ha permanecido explotable durante 12 años hasta que el fabricante ha emitido actualizaciones de seguridad para corregirla. 

Leer más

* * *

Evolución del malware Bumblebee

El equipo de investigadores de Checkpoint ha publicado una investigación en la que destacan la constante evolución de este software malicioso, descubierto a principios del presente año.

Checkpoint subraya varias características que confirman los constantes cambios producidos por Bumblebee. Entre ellos se destaca el vector de entrada utilizado para su distribución, el más común ha sido inyectar una DLL dentro de un archivo ISO, sin embargo, esto fue modificado en el pasado al utilizar un archivo VHD, y nuevamente han vuelto a la entrega en formato ISO mediante campañas de malspam.

En consecuencia, los investigadores señalan la inclusión de mecanismos de comprobación en entornos de sandbox, con el propósito de evitar un análisis de malware. Asimismo se estima que, hasta el pasado mes de julio, los servidores de Command & Control (C2) de Bumblebee solo aceptaban una víctima infectada en la misma dirección IP, es decir, si varios equipos en una organización que acceden a internet con la misma IP pública están infectados, el servidor C2 solo aceptaba una, actualmente ya pueden comunicarse con múltiples sistemas infectados en la misma red.

En último lugar, los investigadores indican que es muy probable que, según las características de la red del sistema infectado, en fases posteriores Bumblebee despliegue stealers o herramientas más complejas de post explotación como CobaltStrike. 

Leer más ⇾ 

* * *

​Vulnerabilidad crítica en el repositorio de paquetes PHP Packagist

El equipo de Sonar ha publicado el hallazgo de una nueva vulnerabilidad crítica que afecta a Packagist, repositorio oficial de paquetes que usa Composer, el administrador de paquetes PHP más grande del mundo. El fallo de seguridad, catalogado como CVE-2022-24828, CVSS de 8,8, permite ejecutar comandos arbitrarios en el servidor que ejecuta la instancia de Packagist.

Explotando esta vulnerabilidad un atacante podría modificar la información de los paquetes de software PHP existentes, llegando a cambiar la ruta de la descarga de estos, este tipo de ataques es conocido como ataques a la cadena de suministro (supply chain attack), una de las técnicas más efectivas.

Según informan los investigadores, de los dos mil millones de descargas de componentes que se realizan con Composer al mes, aproximadamente 100 millones de estas necesitan los metadatos que ofrece Packagist. La vulnerabilidad fue corregida de manera inmediata en una actualización en las versiones 1.10.26, 2.2.12 o 2.3.5. de Composer.  

Leer más ⇾ 

* * *

ProxyNotShell: Fallos y correcciones para vulnerabilidades en Exchange

El equipo de Microsoft ha realizado publicaciones acerca de las vulnerabilidades en Microsoft Exchange Server, catalogadas como CVE-2022-41040 y CVE-2022-41082 aunque todavía no se han publicado parches que corrijan estos fallos. A la espera de dichos parches, Microsoft publicó un script para aplicar mitigaciones basadas en la reescritura de URLs que, tal y como publicaron algunos investigadores, podían ser eludibles.

Ante esto, Microsoft corrigió dichas mitigaciones temporales cuyas condiciones, sin embargo, han vuelto a quedar en entredicho después de que el investigador Peter Hiele haya demostrado que una de ellas, el filtrado de strings en identificadores URI no tenía en cuenta la codificación de caracteres, lo que hacía que las medidas de Microsoft no funcionaran.

Este descubrimiento fue confirmado por otros investigadores, lo que ha llevado a que Microsoft tenga que volver a corregir una vez más sus mitigaciones. Asimismo, el investigador Kevin Beaumont ha apuntado que las publicaciones de Microsoft sobre las vulnerabilidades están enfocadas a proteger servidores on-premise, dejando fuera los de configuración híbrida.

Entre tanto, se han detectado intentos de escaneo en búsqueda de sistemas vulnerables a los fallos, conocidos como ProxyNotShell, desde IPs identificadas como maliciosas. Finalmente, se han empezado a registrar los primeros intentos de venta de exploits para las vulnerabilidades a través de la plataforma GitHub.

Sin embargo, estos exploits estarían resultando ser falsos, constituyendo intentos de estafa a cambio de altas sumas de dinero en criptomonedas sin que el código sirva para explotar ProxyNotShell. 

Leer más

* * *

Vulnerabilidad en macOS recientemente publicada

La empresa especializada en análisis de software de Apple, Jamf, ha publicado detalles de una investigación realizada por su investigador Ferdous Saljooki acerca de una vulnerabilidad que afecta al sistema operativo macOS.

En concreto se trata de un fallo en la función Archive Utility que podría permitir la ejecución de aplicaciones maliciosas no autorizadas y sin firmar, y que se saltaría todas las protecciones y advertencias incluidas por Apple habitualmente.

El fallo se debe a que esta función Archive Utility no añade la etiqueta de cuarentena diseñada por Apple a los archivos cuando trata de descomprimir archivos con dos o más carpetas o subarchivos en su directorio root.

Las etiquetas de cuarentena son normalmente incluidas por el sistema cuando se trata de ejecutar un software que no es de confianza o que no da información sobre su desarrollador, y hace que se someta análisis y que el usuario tenga que autorizarlo manualmente para evitar la instalación de programas no deseados. Al no incluirse estas etiquetas, los atacantes podrían ejecutar software malicioso sin control de la víctima.

La vulnerabilidad ha recibido el identificador CVE-2022-32910 y, aunque fue parcheada por Apple en boletines de mayo y julio, se ha dado a conocer en los últimos días. 

Leer más