AUTORA INVITADA: Alicia Fernández Rich snippets, la fórmula para conseguir más clics Si en mi anterior post me centraba en el Black Hat SEO y en sus técnicas más comunes, en este me voy a centrar en los rich snippets (formatos...
Alvaro Sandoval Comunicación empresarial: 5 tips para un plan exitoso La comunicación empresarial siempre ha sido un recurso importante para el funcionamiento de las grandes empresas. Sin embargo, en la era de la globalización y la transformación digital, la comunicación es fundamental...
Mercedes Blanco Tengo un cliente de la Unión Europea, ¿cómo le facturo? Imagínate que eres autónomo y tienes un cliente cuyo domicilio fiscal está en Irlanda. La pregunta es obligada: ¿cómo le facturas tu trabajo? Lo primero que debes saber es...
Ideas Locas, CDO de Telefónica LUCA Talk: Enseña a tu IA a jugar Breakout de Atari con OpenAI y Deep Learning Escrito por Enrique Blanco (Investigador en CDO) y Fran Ramírez (Investigador de seguridad informática en Eleven Paths) En el segundo webinar de nuestra serie de OpenAI Gym, Enseña a tu IA a jugar Breakout de Atari con...
Área de Innovación y Laboratorio de Telefónica Tech Nueva investigación: descubrimos cómo eludir SmartScreen a través de un COM Hijacking y sin privilegios La técnica de COM Hijacking tiene una base teórica muy simple, similar a la de DLL Hijacking: ¿Qué ocurre cuando una aplicación busca un objeto COM inexistente en el equipo...
David Vara Cómo se regulan la nube y los datos que contiene La migración a la nube es un proceso que requiere confianza y la participación de diversos actores, y la ciberseguridad juega un papel muy importante en ella.
David del Val Innovación para transformar Telefónica Probablemente, uno de los cambios más notorios en la forma en la que las empresas hacen innovación es el, cada vez mayor, papel de la innovación transformacional, frente a...
Paloma Recuero de los Santos Manual sobre utilidades del big data para bienes públicos Como ocurre con muchas tendencias tecnológicas, todo el mundo habla del big data, pero pocas personas sabrían definirlo de forma precisa. Este manual, publicado recientemente por Goberna (Escuela de...
El reto de la identidad online (I): la identidad es el nuevo perímetroAndrés Naranjo 12 noviembre, 2020 A menudo nos encontramos ante situaciones en las que nos enfrentamos una misión y, a medida que ésta avanza, nos damos cuenta de que las primeras elecciones que tomamos a la hora de llevarla a cabo no fueron buenas. Justo en ese momento, tenemos dos opciones: volver a empezar desde cero o bien paliar esa mala toma de decisiones con trabajo y esfuerzo adicional. Internet se creó de forma no segura Ésta es una frase que seguramente habremos oído decir alguna vez a los profesionales de la ciberseguridad. Este apasionante cambio que ha significado la transformación digital, uno de los más drásticos en la historia de la humanidad, se ha ido construyendo siempre en base a cosas que no se habían hecho antes. Por el camino, hemos tomado elecciones que, en ocasiones, han demostrado ser poco acertadas. Pero, como decíamos antes, nos encontramos en el caso de que no podemos “resetear” internet y partir de cero. Una de esas malas elecciones que arrastramos desde los albores de internet es la gestión de la identidad, o dicho de otro modo, cómo sabe un sistema quién es el usuario que lo está usando. Por ejemplo, quién es la persona que accede a su correo electrónico y cómo se diferencia éste de otro individuo. Tradicionalmente esto se ha basado en el uso de contraseñas, que sólo debería (es necesario repetir, debería) saber el usuario en cuestión. Pero, bien sea por la propia seguridad de los sistemas (donde la contraseña puede ser interceptada o robada tanto en la red como en el dispositivo donde se usa) o bien porque el usuario no hace un uso responsable de ellas, este sistema ha demostrado ser extremadamente frágil. El usuario, el eslabón más débil de la cadena Este punto es extremadamente fácil de comprobar: sólo hay que darse un paseo por los canales “underground” de Telegram o de la Deep Web (o Dark Net) para ver la cantidad de cuentas de servicios premium que existen a la venta: Netflix, Spotify, PrimeVideo, Twitch Gaming y casi de cualquier tipo. Es lógico inferir que estas cuentas low cost y sin caducidad han sido robadas a otros usuarios cuya gestión de credenciales y por ende, de su identidad es claramente mejorable, bien en el servicio online o bien en su uso personal. Tanto es así que en prestigiosos estudios al respecto, como el de Forrester en su The Identity And Access Management Playbook for 2020, nos advierten de que el 81% de las brechas de seguridad tienen origen en una contraseña débil, robada o usada por defecto. Esto ocurre por multitud de razones, tanto por responsabilidad del usuario como por defectos de diseño o de implementación de seguridad. En buena parte, esto se debe al desconocimiento o la falta de celo del usuario, que piensa que a nadie puede interesar vulnerar su seguridad como usuario particular. Algo que adquiere mucho mayor impacto cuando la identidad del usuario supone la puerta de entrada a una entidad mayor como una empresa y organización. Tal es así que, a día de hoy, ha demostrado ser el eslabón más débil de la cadena: un usuario vulnerable a ciberataques hace a una empresa vulnerable. Esto puede estar provocado, sin ir más lejos, por el uso de una contraseña excesivamente fácil de adivinar, demasiado común o bien reutilizada en más de un sitio o servicio online. Recomiendo leer también este otro artículo sobre el buen uso de las contraseñas. Para estos usos no apropiados de las contraseñas, los cibercriminales han diseñado técnicas de las que hablaremos en la segunda parte de esta serie de artículos. De modo que, para no delegar esa confianza en el usuario final, las empresas de ciberseguridad como ElevenPaths se esfuerzan en evitar este tipo de riesgos en los usuarios, diseñando productos y servicios que añadan una capa de seguridad adicional a la tradicional y obsoleta dupla usuario/contraseña. Además de incluir mejoras innovadoras a los servicios de identidad que también trataremos en el volumen 3 de esta serie de artículos. El camino hacia una gestión de identidad robusta: SmartPattern ¿Dónde está el reto, por tanto? En ser capaz de desarrollar tecnología que garantice esa capa de seguridad adicional sin perjudicar la experiencia de usuario y sin obligar al usuario que aprenda o se adapte a un nuevo sistema de identificación. Llamamos identidad robusta o autenticación de nivel 3 a: Algo que tú tienes: por ejemplo, un dispositivo o tarjeta física.Algo que tú sabes: por ejemplo, un pin o contraseña.Algo que tú eres: por ejemplo, tu huella digital. De modo que, como colofón y, en cierto modo, spoiler de a dónde nos lleva este viaje de la transformación digital en cuanto a la gestión de la identidad, pondremos un ejemplo de gestión de identidad robusta a la par que cómoda y usable por el usuario común de tecnología: SmartPattern. SmartPattern es un nuevo concepto en el proceso de autenticación robusta, así como en el de autorización y firma de documentos mediante un gesto simple de patrón de móvil, que puede usarse en cualquier smartphone, tablet o touchpad de portátil como servicio de identidad. Dicho de otro modo, el usuario no necesita recordar o guardar cientos de contraseñas, sino simplemente recordar un único patrón para todos los servicios online, mediante el cual el servicio usa un motor de machine learning que es capaz de detectar características únicas en el trazado, que incluso mostrado intencionadamente a otro usuario, éste fallará en el 96% de las ocasiones, como pudimos comprobar en un estudio de campo en la universidad de Piraeus, Grecia. Entrenamiento de la Inteligencia Artificial de SmartPattern Gracias a su versatilidad, SmartPattern puede integrarse con multitud de servicios de autenticación y autorización. Por ejemplo, loguearse y/o autorizar una transacción bancaria, como ya hemos demostrado en el portal demo de Nevele Bank: ¡un banco sin contraseñas! La web de SmartPattern ofrece más información al respecto, pero sirva este elemento innovador y avanzado para demostrar que el camino hacia una identidad segura tendrá muchas más vías al margen de la conocida dupla que hasta ahora habíamos considerado segura. Esto es todo por el momento. En el siguiente volumen hablaremos sobre el cibercrimen y el mercado de credenciales robadas que sigue creciendo, tanto en la Deep Web como en canales clandestinos de Telegram. Piedra, papel o tijera y otras formas de comprometerte ahora y revelar el compromiso luegoNoticias de Ciberseguridad: Boletín semanal 7-13 de noviembre
Telefónica Tech ¿Es hora de empezar a plantar semillas digitales para el futuro? Preparar las operaciones empresariales para el futuro del trabajo es uno de los problemas que definen nuestra época. Las organizaciones de todo el mundo se encuentran ahora en una...
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
