Agenda una reunión o demostración en vivo con un representante Widefense

Agendar

Noticias

Email Security: ALTO, ¿quien me escribe?

Se estima que, para fines de 2019, el número de usuarios de e-mail será de más 2,9 mil millones a nivel mundial. Con ello en cuenta, y a propósito del Día Mundial del Correo, acá entregamos nuestras recomendaciones para potenciar su uso, sin comprometer la seguridad.

 

Una herramienta poderosa

En la actualidad es difícil imaginar que una persona no tenga al menos una cuenta de correo electrónico. Y es que, después de reemplazar a los servicios tradicionales de mensajería, se expandió a funciones de colaboración, almacenamiento de datos, sistemas de control, plataformas de atención al cliente, mecanismos masivos de publicidad, agencias de noticias y muchas otras funciones que se le suman a diario.

 

No obstante, visto desde la vereda de las amenazas, el e-mail mantiene el primer lugar como blanco de ataques. Solo el año pasado, más del 80% de todos los ciberataques tuvieron lugar por esta vía y, para este año, el Ponemon Institute predijo que las pérdidas por ciberataques distribuidos por correo electrónico alcanzará los 9.000 millones de dólares a nivel global.

 

Lo más preocupante es que, de acuerdo con las estadísticas, el correo electrónico seguirá siendo el medio preferido por los atacantes, fundamentalmente porque a través de esta vía pueden llegar directamente a las personas para hacerles daño, robarles, extorsionarlos o intimidarlos, comprometiendo además, la ciberseguridad de las organizaciones.

 

En ese sentido, las amenazas más frecuentes en el e-mail son: phishing, malware, ransomware, robo de identidad, robo de información y suplantación de identidad. Ante ellas, se hace necesario conjugar tecnología y buenas prácticas para mantener ágil y confiable la comunicación por este medio.

 

Persona + tecnología = correo seguro

 

Existen dos caminos para usar de manera segura el e-mail. La primera es usarlo con sentido común, responsabilidad y conciencia, siempre con la idea de que el riesgo es una constante y que todo es cuestión de saber cómo manejarlo. Para ello:

 

  1. Siga las recomendaciones: en su empresa esperan que usted sea un agente activo en la detección y prevención de amenazas, recuerde que las medidas de protección que tienen para la navegación y el correo electrónico buscan protegerlo a usted y a sus compañeros de trabajo.
    Piense antes de actuar: desconfíe de las comunicaciones que le piden que actúe de inmediato, que ofrecen algo demasiado bueno para ser verdad o que le piden información personal.
  2. Ante la duda es mejor eliminar: si parece sospechoso eliminelo, contacte al remitente a través de otro medio y verifique la autenticidad del mensaje. No olvide, haga que prevalezca su intuición sobre su curiosidad.
  3. Proteja sus cuentas: verifique que cada sitio en que le pidan su usuario y clave sea legítimo, y, no haga nada que en persona no haría.
  4. Cree claves largas y seguras: sus claves pueden ser largas, seguras, difíciles de adivinar y fáciles de recordar, para lograrlo defina un método personal para crearlas, sea creativo y constante a la vez.

El otro camino depende menos del usuario final y pretende ser más automático y preventivo. Busca ayudar a que las personas se enfrenten a mensajes de menor riesgo y se centra en tres acciones:

 

  1. Use y mantenga actualizado su software de seguridad: es peor una herramienta que no se actualiza que no tenerla. Use un antimalware de última generación. De preferencia, uno basado en Inteligencia Artificial como Cylance, el cual protege en pre-ejecución y no depende de la actualización de firmas.
  2. Automatice los mecanismos de protección en el correo: implemente un sistema para filtrar el spam, capaz de detectar el phishing y analizar los contenidos para eliminarlos si contienen amenazas (todo antes de que el mensaje sea recibido por el usuario), tal como lo logra el Email Security de Forcepoint.
  3. Piense global: es recomendable abordar otros potenciales riesgos y tener en cuenta sistemas que faciliten una navegación segura, prevengan la fuga de información, aseguren el trabajo en la nube e incluso eviten la suplantación de identidad.

 

En resumen, ser precavido y contar con una solución de ciberseguridad robusta y actualizada puede ayudarle a sacarle el máximo provecho al e-mail, tanto a nivel personal, como empresarial, y lo mejor, con menos preocupaciones.

 

Conversemos sobre cómo nuestras soluciones pueden ayudar a su empresa en: www.widefense.com/contacto

Ciberseguridad: ¿en dónde está Chile?

Desde el año 2012, cada octubre se celebra el Mes Europeo de la Ciberseguridad, con el objetivo de promover conocimiento y proporcionar recursos dentro de esta área entre ciudadanos y organizaciones.

Recién este 1ro de octubre se promulgó en el congreso la Ley 21113 que establece también el mes de la ciberseguridad en el país. A propósito de ello, resulta relevante preguntarse ¿en qué está Chile en materia de seguridad informática?

 

En la mira

Durante 2018, se registraron varios incidentes de ciberseguridad que generaron decenas de noticias, declaraciones y promesas de cambio. Los casos más sonados han sido los relacionados con instituciones bancarias, como el millonario ataque al Banco de Chile, la fuga de datos de 14 mil tarjetas crédito y la filtración de una lista de clientes de BancoEstado.

Sin embargo, es importante tomar en cuenta que los incidentes informáticos son una realidad a nivel mundial, pues el riesgo es siempre una constante en Internet. De hecho, afirma el gerente general de Widefense, Kenneth Daniels, que las medidas que se toman en el país no están alejadas de las que países de primera línea aplican. Lo que falta es comunicación.

Así, estos casos sirvieron para evidenciar dos puntos: en ciberseguridad, existe una gran deuda en materia legal y hace falta que empresas e individuos tomen conciencia sobre la importancia de esta área.

 

Hacia una ley actualizada

Si bien Chile posee una Política Nacional de Ciberseguridad, expertos han señalado que la misma posee grandes brechas. Por ello, tras la polémica que generaron los incidentes cibernéticos de 2018, se puso en marcha un proyecto para construir un Sistema Nacional de Ciberseguridad, en conjunto con otras acciones.

Entre tales acciones, se designó a Jorge Atton como Asesor Presidencial de Ciberseguridad;  la Superintendencia de Bancos e Instituciones Financieras (Sbif) emitió una serie normativas para potenciar la Ciberseguridad y, finalmente, Chile y EEUU sellaron un acuerdo dentro de esta materia.

 

La importancia de invertir

Chile está bajo la media en inversión en ciberseguridad. De acuerdo con la International Data Corporation (IDC), en el 2017, apenas alcanzó un 0,07% del PIB, mientras que los países desarrollados superaron el 0,12%. A su vez, el crecimiento chileno en esta materia fue solo del 4,1%  del 2016 al 2017, muy por debajo de aquellos que lideran la transformación digital a nivel mundial y que alcanzaron el 22%.

Sumado a lo anterior, la baja inversión también se refleja en el índice de ciberseguridad global 2017 publicado por el ITU. En este, Chile, con un índice de 0,367, ocupa en América el puesto 12  y el 80 a nivel mundial. Mientras tanto, las principales deudas están en: definiciones estratégicas, agencias nacionales de gestión de incidentes, definición y cumplimiento normativo, programas de investigación y desarrollo, métricas de ciberseguridad, programas de formación y educación y la falta de programas de colaboración entre países, organismos y multisectoriales.  

Para los expertos, parece insuficiente crecer un 4,1% cuando los ciberataques del 2017 al 2018 han tenido un aumento superior al 26,7%.  Sin embargo, lo más relevante no es cuánto invertir, sino, en qué invertir.

 

¿En dónde están las empresa?

Las iniciativas de ciberseguridad en Chile las lideran la banca y el retail. Asimismo, las principales preocupaciones están asociadas a fraude, pérdida o robo de información, continuidad operacional y capacidad para el manejo de incidentes. En otras palabras: proteger el capital informático. No obstante, no siempre se toman las medidas adecuadas. 

“Lo que hemos podido ver es que en general las empresas pareciera que están esperando que les pase algo para tomar acciones, de decir, sus decisiones no se centran en la importancia estratégica que tienen sus activos informáticos, sino, en las amenazas con las que están lidiando“, afirma Daniels.

Por otro lado, explica el mencionado que los recientes incidentes o ataques y su cobertura mediática, han puesto en primera plana una condición de vulnerabilidad que es alarmante y en la cual las empresas no saben por dónde partir.

“En Widefense estamos apoyando a las organizaciones a identificar en qué condición de ciberseguridad están antes de decidir en qué han de invertir. Usando un sistema desarrollado por nosotros llamado WSC, con el que a partir de una evaluación en línea y dedicando tan solo 30 minutos, una empresa (de cualquier tamaño) puede tener un panorama detallado que le permitirá establecer una estrategia de corto y mediano plazo, orientada a dosificar el esfuerzo y maximizar su inversión y en definitiva a elevar su condición de ciberseguridad”, explica.  

De esta manera, es posible ver que Chile avanza en materia de ciberseguridad, lo que se necesita es acelerar el paso y entender que este es un tema de todos. Asimismo, se requiere de un planeamiento estratégico y una visión clara y compartida en la que se cuenten con métricas y un entorno cooperativo que aporte conocimiento, capacidad de análisis y un adecuado manejo de incidentes.  

Con ello en cuenta, desde Widefense queremos ampliar el espacio de conversación para identificar las áreas en donde podemos aportar a las organizaciones a fortalecer su estrategia de ciberseguridad ¿El objetivo? construir juntos un Chile digital más seguro y confiable.  Escríbanos para conversar al respecto en www.widefense.com/contacto

 

También le puede interesar:

Activo informático: lo que todo buen gerente quiere cuidar

¿Qué es lo más importante de su empresa? Si cree que son sus ganancias, o su reputación, podría estar equivocado. El activo informático sustenta la continuidad, aporta a la competitividad de su negocio y, debido a esto, un buen gerente busca mantenerlo seguro en todo aspecto (y no solo en el mundo físico).

Primero que nada, vale mencionar que, en ciberseguridad, un activo es cualquier componente, dispositivo o dato del entorno que apuntala actividades afines con la generación de información.

Los activos informáticos incluyen generalmente software, hardware e información y, tal como se señaló, necesitamos protegerlos de acceso ilícito, revelación, alteración, destrucción o robo, además de mantenerlos disponibles para que puedan usarse cuando se necesiten.

Piense en ciberseguridad

Cuando se trata de la seguridad empresarial, lo que es apropiado varía de organización en organización. No obstante, independientemente del tamaño de la empresa, hoy un buen gerente en su estrategia está presente la preocupación por proteger sus activos informáticos.  

Si cambiamos la mirada de preocuparnos por las amenazas y nos centramos en la importancia y el valor de nuestros activos informáticos, podremos visualizar acciones preventivas que minimicen el riesgo de que nuestro negocio se vea afectado por dichas amenazas. Un cibercriminal busca robar datos, no evalúa la importancia de su víctima y mientras más fácil sea, más probable será que suceda.

Es necesario, entonces, implementar buenas prácticas en torno a la ciberseguridad, contar con herramientas avanzadas de protección y apoyarse en un equipo de expertos que eleve la capacidad de respuesta de la organización, es decir, pensar en serio en ciberseguridad.

Una mirada centralizada

Para gestionar la ciberseguridad de las empresas, sean pymes o gigantes del mercado, nuestro equipo de expertos desarrolló eThalamus, una plataforma de monitoreo y gestiona tecnologías de muchas marcas y da visibilidad en tiempo real y a la medida de cada necesidad, es orquestación del más alto nivel al alcance de todas las empresas.

eThalamus muestra en un “tablero de control” simple y elegante, que consolida lo que necesitamos saber de lo que está pasando con las tecnologías, los productos y las soluciones de ciberseguridad de una organización, simplifica la compleja gestión de seguridad permitiendo visualizar y tomar decisiones de forma oportuna e informada.

Piense estratégicamente y tenga presente que el riesgo siempre existirá. Por más pequeña que sea su empresa, la única manera de minimizarlo es darle importancia y proteger sus activos informáticos.

Consiga una asesoría gratuita en www.widefense.com/contacto

5 buenas prácticas de ciberseguridad para Pymes

Las pequeñas y medianas empresas (Pymes) necesitan pensar en ciberseguridad y las cifras lo avalan: datos difundidos por el Instituto Nacional de Seguridad (Incibe) relevaron que, solo en España, durante 2016 el 70% de los ciberataques se concentraron en este motor de la economía.

A pesar de estos importantes indicadores, un estudio de Enisa reveló que, aún frente a una creciente preocupación por los riesgos de seguridad de la información, el nivel de adopción de estándares de ciberseguridad en las Pymes es relativamente pequeño.

Datos publicados por diversos entes demuestran que muchos gerentes, o emprendedores, consideran que, como su empresa es pequeña y está en Latinoamérica, es poco probable que los criminales se fijen en ellas, ¡gran error!

Hoy, las pymes son mucho más vulnerables por tres razones: 1) existe escaso interés de sus directivos en tomar medidas de ciberseguridad, 2) la falsa creencia de que las soluciones son demasiado costosas para un negocio pequeño y 3) hay una legislación con muchas deudas frente al sector de la ciberseguridad.

Pymes seguras y exitosas

Para un emprendedor, un ataque cibernético no solo pone en peligro los datos personales de clientes y su privacidad. También puede resultar en pérdidas de hasta $400 millones al año para la organización, de acuerdo con Lloyd’s. Con ello en cuenta, recopilamos cinco consejos de ciberseguridad para Pymes, basado en un decálogo publicado por el Goverment Communications Headquarters de Reino Unido.

  1. Piense quién o qué empresa gestionará su ciberseguridad y asegúrese de que todo su equipo conozca la importancia  
  2. Mantenga sus dispositivos actualizados. Un antivirus tradicional no es suficiente para estar al día frente a las crecientes ciber-amenazas.
  3. Controle quién tiene acceso a qué. Tome en cuenta que no todas las amenazas son externas. A veces son los empleados que, por desconocimiento, o maliciosamente, pueden poner en riesgo su negocio.
  4. Proteja los endpoints. Es importante que incluso los dispositivos móviles de sus colaboradores estén protegidos, cifrados, que pueda rastrearlos y borrarlos de forma remota en caso de extravío o robo, teniendo en cuenta que los empleados deben informar de cualquier incidente similar a la empresa.
  5. Monitoree sus redes. Existen herramientas como eThalamus que pueden ayudarle a detectar fallos de hardware o actividad inusual dentro de su pyme desde su celular.

Tenga en cuenta que cualquier eventualidad que comprometa los activos informáticos de su empresa interfiere en la actividad del negocio. Es importante establecer con tiempo qué se debe hacer y qué no. Adicionalmente, en caso de duda, puede ser una buena idea que conversemos y le ayudemos con su ciberseguridad. 

Consiga una asesoría gratuita en www.widefense.com/contacto

Daniels: Los datos deben estar encriptados

Ante la confirmación de que existen altas probabilidades de que la masiva fuga de datos de 14mil tarjetas de crédito se haya originado en Miami por un proveedor externo de Correos de Chile, el gerente general de Widefense, Kenneth Daniels, explicó en el programa Qué Hay de Nuevo que los servicios de terceros deben tener cumplir una serie de requerimientos para preservar los activos informáticos de personas y empresas en la web.

“Los datos deben estar encriptados. La transformación digital tiene ver con mejorar la calidad de vida de las personas al permitirles conectarse desde cualquier parte. Pero lo que muchas empresas no han visto es que la información es un activo muy importante y, en la web, está en riesgo”, explicó Daniels, este jueves 13 de septiembre, desde Radio Infinita.

Daniels señaló que existe una preocupación generalizada en el país en torno a la ciberseguridad, pero los actores involucrados -instituciones públicas, organismos privados e individuos- no han tomado las acciones pertinentes, pues “pareciera que el problema es de otros”.

“A mí lo que más me preocupa es la imagen que estamos dando al exterior, como país. Chile está mal, esto o lo otro. Pero no es así. Las medidas que se toman aquí no están alejadas de las que países de primera línea aplican. Lo que falta es comunicación. Falta involucrarse, que sintamos la responsabilidad de decir esto me pasó e incluso decir no sé qué hacer para que no nos vuelva a pasar y me hace falta apoyo”, afirmó.

Las recomendaciones

Daniels señaló que los incidentes de seguridad, como la fuga de datos de las 14 mil tarjetas de crédito, tienen que ver con la velocidad con la que a veces se quiere salir al mercado para presentar propuestas innovadoras.

“Por la misma celeridad, se transgreden algunas normas básicas de seguridad. Y yo no veo mal eso. Lo entiendo. No obstante, lo critico de este asunto es que, si se hace de esa manera, luego es fundamental volver sobre lo caminado. Decir `sí, salí a tiempo, tuve buenos resultados, pero ahora tengo que tomar cartas en el asunto: volver, corregir e implementar medidas de seguridad`”, precisó.

Señaló que las fugas de información no son solo un asunto de Correos de Chile y precisó que tiene que ver en mayor medida con los servicios que prestan terceros.

“La norma PCI es muy rígida y pide una serie de requisitos, pero si nos apegamos a ella y comenzamos a regularizar con base a una normativa que se mantenga actualizada, estaríamos en condición de protección desde el que emite, hasta el que me pide que ingrese mi numero de tarjeta”, señaló, con respecto a las medidas que deben tomar en cuenta las empresas.

Afirmó que falta la obligación de informar lo que sucede, para prevenir que vuelva a ocurrir. Tanto a nivel de organismos, como de personas.

“Necesitamos que haya un proceso colaborativo. Más que clases de Excel y Word, deberían enseñar en los colegios cómo cuidar y acceder de forma segura a Internet y respaldar nuestros datos”, señaló.

La fuga de información

Correos de Chile confirmó esta semana, mediante un comunicado oficial, que existen altas probabilidades de que la fuga de datos de 14 mil tarjetas de crédito haya tenido su origen en el servicio Casilla Virtual Miami.

Lo anterior concuerda con la conclusión del grupo de especialistas de Widefense, quienes en el momento calificaron como una fuga de información de algún agente externo e hicieron un llamado a la calma, separándose de la hipótesis de un hackeo masivo a los bancos nacionales.

Conozca qué es una fuga de información y cómo protegerse de ellas en este enlace. 

Fiestas Patrias: Así disfrutará de unas festividades seguras

Las Fiestas Patrias incrementan el número de transacciones bancarias, por lo que, más que nunca debemos estar prevenidos de los delitos informáticos y pensar en ciberseguridad

Las Fiestas Patrias, que este año comprenden (incluyendo el fin de semana) desde el 15 al 19 de septiembre, es tiempo de celebrar, vacacionar o descansar. Naturalmente, esto viene acompañado de hacer más transacciones bancarias y, para los cibercriminales, también es un buen momento para hacer de las suyas y robar información.

Desde el equipo de Widefense, le invitamos a considerar algunas medidas para disfrutar de unas festividades ciberseguras. Tome en cuenta que desde la Asociación de Bancos e Instituciones Financieras (Abif) se destacó que “la seguridad es un desafío permanente que bancos y clientes deben enfrentar de manera conjunta”.

Proteja claves, tarjetas y cuentas bancarias

  1. Renueve sus claves regularmente.
  2. Use contraseñas únicas y seguras para cada producto.
  3. Sus claves deben ser fáciles de recordar, NO fáciles de descubrir, no use nombres, fechas de nacimiento o secuencias de letras o números.
  4. Tenga en cuenta que los bancos insisten en que ellos “nunca le llamarán o enviarán un correo para pedirle sus claves”
  5. No realice operaciones de compra o transferencia en computadores públicos a través de redes de WIFI abiertas.
  6. No ingrese a links desconocidos o sospechosos, menos si le llegan al correo. Si tiene dudas, digítelos en el buscador o ingrese usted mismo a la dirección web para evitar ser víctima del phishing.
  7. Realice sus transacciones dieciocheras (y cualquier otra) desde dispositivos que cuenten con medidas mínimas de seguridad como antimalware y compruebe que está en un sitio web seguro (que tenga un candado al lado del URL y que empiece con “https”).
  8. Recuerde que los pagos realizados a través de Webpay, u otros sistemas conocidos, reducen la posibilidad de que los datos sean capturados por desconocidos.
  9. Mantenga todos sus equipos actualizados para evitar ser víctima de ataques.
  10. Instale softwares de seguridad como antispam, antivirus y antimalwares.

Por último, durante septiembre se incrementa el spam con “ofertas dieciocheras”, por lo que debemos estar atentos sobre la procedencia de los correos. En caso de que no conozca la dirección, o le parezca sospechosa, evitela, pues puede contener malware.

Si quiere proteger sus activos informáticos, le recomendamos pensar en inteligencia artificial, pues hemos comprobado que funciona muy bien. De hecho, con Cylance muchos usuarios ya están protegidos contra  incidentes cibernéticos que aún no existen.

Agende una asesoría gratuita para su empresa aquí: www.widefense.com/contacto  

Claves para entender la polémica fuga de información de 14 mil tarjetas de crédito

  Al menos 12 bancos afectados, decenas de usuarios en redes sociales preocupados y un “contexto de paranoia” pusieron en evidencia la necesidad de dar prioridad al área de la ciberseguridad

El pasado miércoles 25 de julio, datos de 14.007 tarjetas de créditos se filtraron en la red. Tras ello, distintos entes bancarios del país procedieron a bloquear los plásticos activos y los comentarios de usuarios descontentos no se hicieron esperar en las redes sociales.

A una semana del evento, y tras una entrevista realizada a nuestro gerente general, Kenneth Daniels, en el programa Qué hay de nuevo, transmitido por Radio Infinita, le contamos cuatro claves sobre el incidente y nuestra visión experta sobre cómo protegerse en estas situaciones.

 

  • Al menos 12 bancos nacionales afectados

De acuerdo con información preliminar publicada por la Superintendencia de Bancos e Instituciones Financieras (Sbif) el número de bancos afectados serían 12. Entre ellos, Bci, Banco de Chile, BancoEstado, Banco Santander, Itaú y Scotiabank.

Asimismo, publica el diario El Mercurio, cerca del 10% de los plásticos estaban vigentes, según la Asociación de Bancos e Instituciones Financieras (Abif), lo que se traduce en unas 1.600 tarjetas activas. En ese sentido, desde el BancoEstado se reportaron 701; Banco de Chile señaló que tenía 497 activas; el Bci habló de 270 y en Santander reconocieron 200 casos. Tal como se mencionó anteriormente, estas instituciones aseguraron que bloquearon todos los productos apenas se enteraron de la situación.

Por otra parte, Banco Itau y Scotiabank no dieron a conocer el número, mientras que la empresa Transbank, operadora de tarjetas, aseveró en un comunicado que la información filtrada no provenía de sus registros y que la seguridad de sus transacciones no estaba comprometida.

 

  • Expertos creen que hubo fuga de información y no hackeo

Distintos expertos rechazaron calificar el incidente como un hackeo a las entidades bancarias del país. Por su parte, Daniels, en entrevista con Radio Infinita, explicó que, al analizar la base de datos publicada por los cibercriminales, descubrió inconsistencias

En ese sentido, Daniels explicó que, contrario a lo que se decía en redes sociales, el caso parecía estar más relacionado con fuga de información -que ocurre cuando los datos son compartidos intencionalmente o por error y se filtran- y no con un hackeo, que se da cuando alguien vulnera deliberadamente las medidas de seguridad. Aún así, el experto aclaró que no descartaron del todo que hubiese otros elementos relacionados.

 

  • Usuarios y empresas deben tomar precauciones

Ante lo que calificó como un “contexto de histeria” por todos los acontecimientos que han ocurrido, Daniels recalcó que el caso tenía más que ver con una fuga de información y brindó una serie de recomendaciones para usuarios y empresas.

En ese sentido, señaló que, a la hora de hacer compras virtuales, es importante asegurarse de que el vendedor es confiable; hacer uso de los recursos que dan los emisores de tarjeta, como credenciales seguras y finalmente no perder de vista que los criminales están tanto en el mundo físico, como en el virtual.

Asimismo, señaló que, a pesar de lo que se cree, las empresas pequeñas también pueden ser víctimas de los cibercriminales, por lo que deberían tener al día sus medidas de ciberseguridad.

“Todos los entes tienen algo que los cibercriminales quieren y eso se llama información. Aquí es donde entran en juego las empresas chicas que probablemente creen que no son objeto de ataques, pero resulta que tienen datos relevantes de sus clientes”, señaló.

 

  • La ley de ciberseguridad está en deuda

Tras la filtración de los datos de las 14 mil tarjetas,Daniels reconoció la respuesta eficiente de la Superintendencia de Bancos y señaló que los emisores y operadores han tomado acciones previamente en términos de tarjeta de crédito.  No obstante, explicó que aún hace falta que el país se ponga al día en material legal, tal como lo ha hecho la Comunidad Europea con el Reglamento General de Protección de Datos (GDPR).

“En la actualidad quienes emiten y operan tarjetas almacenan datos de clientes y deben cumplir con la normativa PCI DSS que es muy exigente. Entonces, las acciones ahí ya se están tomando. Pero robar una tarjeta física debería ser penado igual que robar una tarjeta digital, o en un medio virtual. Y es el ámbito cibernético en el que aún está en deuda”, dijo.  

Al respecto, en días recientes, de acuerdo con El Mercurio, fuentes del gobierno confirmaron que impulsarán una nueva ley de ciberseguridad, y que crearían una Agencia Nacional contra Ataques Cibernéticos, este proyecto ingresará al Congreso con “suma urgencia”, tras los eventos que han ocurrido en los últimos meses.

“Si consideramos una ley diseñada para un mundo de hace 25 años, sumada a que en el mismo período hemos vivido un desarrollo tecnológico inédito en la historia de la humanidad, un contexto legal como el actual puede resultar en una evidente ventaja para los cibercriminales”, señaló el titular de la Sbif, Mario Farren.

Finalmente, Daniels explicó que el riesgo siempre estará, pero una pérdida de confianza en el sistema podría estancar el país. Al respecto, destacó que Chile lidera la transformación digital en la región, por lo que una nueva mirada al área de la ciberseguridad es esencial para el desarrollo nacional.

 

 

Lee más sobre fugas de información y cómo evitarlas aquí: https://www.widefense.com/que-es-una-fuga-de-informacion-y-como-protegerse/

DevSecOps o cómo impulsar el desarrollo de aplicaciones seguras

C.A Technologies advierte que el 77% de las apps que pasan a la fase de producción son vulnerables a ciberataques. Esto se debe a que, con la premura de posicionar sus productos, muchas empresas dejan de lado la seguridad. No obstante, ello es un error lamentable pues, más tarde, conduce a costosos errores y, finalmente, a que los clientes pierdan la confianza en las instituciones. 

En ese sentido, en el mundo empresarial, integrar la seguridad en el ciclo de desarrollo produce aplicaciones robustas, a menor costo. Es por ello que surge el DevSecOps, una práctica emergente que se enfoca en integrar la seguridad desde las primeras fases del proceso, hasta el despliegue final de las apps.

 “El objetivo de DevSecOps es mejorar la situación global de la seguridad. Esto se busca a través de un conjunto de controles integrados que no afecten a la agilidad y colaboración propias de la filosofía DevOps. Añadir simplemente una capa de herramientas y procesos de seguridad estándar al ciclo DevOps no funciona. Es preciso aplicar controles, pruebas y verificaciones de seguridad de forma automática y transparente tanto en el desarrollo como en la entrega y la operativa de las aplicaciones”, explica Gartner.

El futuro: Códigos de calidad

Hoy las ciberamenazas mutan a una velocidad vertiginosa y estudios reportan que las vulnerabilidades digitales han aumentado en un 120% entre 2016 y 2018, año a año. Para enfrentar esto, la tendencia DevSecOps se ha enfocado en uno de los grandes desafíos de la actualidad: códigos seguros y de calidad.

Entre otras cosas, un código seguro ofrece máxima protección posible a los datos críticos y a los sistemas; ayuda a las empresas a disminuir los riesgos desde el primer momento; y finalmente evita costosas correcciones, de cara al futuro.

Con lo anterior en cuenta, cuando se piensa en desarrollo de aplicaciones seguras, el DevSecOps se ha traducido como una evolución natural en la construcción ágil y ha generado soluciones como C.A Veracode.

Rápido, mejor y seguro”

C.A Veracode es una plataforma versátil y fácil de administrar que soporta diversos lenguajes. Con la integración esta, se añade seguridad código y al ciclo de desarrollo porque las pruebas de seguridad de las aplicaciones se hacen desde el principio y a lo largo de todo el proceso. En concreto, esta herramienta se enfoca en:

  • Análisis del código en distintas fases del desarrollo
  • Evaluación y mejora de la seguridad en las apps.
  • Generación de resultados a partir de informes concretos
  • Administración de políticas
  • Entrenamiento de los desarrolladores en torno a la codificación segura
  • Proponer soluciones o mitigaciones

 

Es este punto debe tener en cuenta que la seguridad de las apps. no se traduce en una acción única. Al contrario, se trata de un ejercicio en curso en el que un marco ágil se ha convertido en la ruta al éxito.

Finalmente, el DevSecOps ha mostrado a las empresas grandes oportunidades, pero también desafíos. No obstante, entender y aceptar el cambio podría permitir incrementar las ganancias de la empresa, sin ser afectado por las vulnerabilidades.

Si quiere aprender cómo implementar el DevSecOps y C.A Veracode en su empresa, podemos ayudarlo aquí: www.widefense.com/contacto

¿Cómo garantizar la seguridad sin afectar la experiencia del usuario?

Uno de los objetivos principales de los ciber atacantes hoy día es comprometer dos aspectos vulnerables: uno, la identidad de los usuarios en la web; el otro, la seguridad de las aplicaciones móviles.

Al respecto, los gobiernos han comenzado a aplicar medidas para proteger tanto la seguridad, como la privacidad en la web. No obstante, muchas veces estas impactan directamente en la experiencia del usuario, siempre que se complica para los desarrolladores brindar la máxima eficiencia de la app, sin saber desde dónde se conecta la persona, entre otros aspectos básicos.

Afortunadamente, existen métodos, o mecanismos para garantizar la seguridad, sin afectar la experiencia y evitar tres fraudes muy comunes:

  1. Fraude Sim Swap: Robo de datos mediante técnicas de phishing, en donde el cibercriminal accede a información personal, como el número telefónico. En este caso, el estafador pasa a recibir toda la comunicación entre la institución y el cliente, como por ejemplo SMS OTP, códigos de transacción para pagos, entre otros.
  2. Fake Geolocation: Ataque que consiste en falsificar la geolocalización del dispositivo, con el objetivo de evitar una elevación de nivel de autenticación, o lograr permisos de autenticación y autorización de transacción. Un ejemplo muy común de ello fue el mal uso que ciertos usuarios dieron a Uber al manipular las tarifas por medio de una app.
  3. App Emulator: Ataque que consiste en ejecutar una aplicación en un emulador, con el fin de capturar información referente a la comunicación con los servidores, volcado de memoria, breakpoint analysis, comunicación por túnel de autenticación, permiso de autenticación y autorización de transacción.

Construyendo patrones de comportamiento

Con el objetivo de enfrentar tales fraudes cibernéticos, C.A Technologies desarrolló lo que llamaron C.A Rapid App Security. Este software captura información, datos y variables sobre usuarios, aplicaciones y dispositivos, con el objetivo de crear ciertos patrones de comportamiento y garantizar la identidad.

“CA Rapid App Security captura más de 200 variables, aplica diversos atributos y utiliza un algoritmo patentado por C.A Technologies”, explica Juan Huaman, consultor de la mencionada empresa, en el webinar Estrategias Móviles.

C.A Rapid App Security tiene en cuenta ¿Dónde está el usuario? ¿Qué dispositivo está utilizando? ¿Qué está intentando hacer el usuario? Y finalmente, si la acción es consistente con el historial del usuario.

Con esta herramienta, es posible identificar si el usuario intenta ingresar desde un dispositivo totalmente distinto al usual; si se usa un “anoninimizador”; si está activado el modo desarrollador; entre otras variables.

De esta manera, C.A Technologies apuesta por crear una “sospecha” en torno al comportamiento sospechoso del usuario y “desafiarlo” a comprobar su identidad mediante tareas como enviar una clave desde un correo alterno, entre otros.

Ventajas para desarrolladores

Para los desarrolladores de aplicaciones, este software presenta dos ventajas concretas adicionales. Una que ayuda a capturar mucha información del cliente de manera totalmente imperceptible para el usuario, de tal modo que no se compromete su experiencia. La otra es que permite acelerar el tiempo de desarrollo, siempre que le brinda librerías y componentes preconstruidos como chats, almacenamiento cifrado, entre otros.

Finalmente, resalta que es posible proporcionar una experiencia conveniente, sin fricción y que agregue de una forma rápida seguridad a sus aplicaciones. El secreto es conocer las herramientas adecuadas para lograrlo.

En Widefense, como expertos en ciberseguridad, contamos con las certificaciones y la expertise necesaria para asesorarlo y ayudarle a implementar las mejores soluciones de C.A Technologies en su empresa.

 

¿Qué hace un experto en ciberseguridad?

La compañía de seguros británica Lloyd’s estimó que actualmente los ciberataques cuestan a las empresas hasta US$400 mil millones al año, lo que incluye daños directos e interrupciones al curso normal de los negocios posterior a los incidentes. Por ello, la demanda de especialistas en torno a la privacidad de las empresas y el desarrollo de medidas contra ciberataques se ha incrementado en los últimos años.

 

Ante tal situación surge la Ciberseguridad, un término que abarca el control de redes, software y la estructura digital por la que viajan datos relevantes, tanto para las personas como empresas.

 

También están los expertos de la Ciberseguridad, personas con estudios en Ingeniería, Informática o Telecomunicaciones que han decidido especializarse en el análisis, prevención y testeo constante ante posibles ataques maliciosos en la web, cuyas funciones además destacan por su capacidad de hacer un análisis mas amplio del contexto.

 

En Widefense, tenemos como premisa que nuestros expertos en ataques cibernéticos, además de la formación especializada, reúnan tres características claves para brindar una gestión y asesoría de calidad a nuestros clientes:

1-Experiencia en la resolución efectiva de contingencias de ciberseguridad

2-Capacidad de brindar asesoría en términos comprensibles para aquellos que no están enfocados en esta especialidad

3-Habilidad y destreza en conjugar diversas soluciones para lograr los objetivos previstos

 

Hoy los expertos en Ciberseguridad son sumamente importantes para cualquier organización en especial para la banca, empresas de servicios y empresas financieras, porque suelen ser el primer objetivo de cualquier cibercriminal.

 

¿Cuáles son sus tareas?

De acuerdo con la empresa o el tipo de servicio que se necesita cubrir, hay seis tareas concretas en las que se desempeña un profesional de la Ciberseguridad. Explica el portal Universia:

 

  • Planificación y desarrollo de medidas de seguridad.
  • Auditorías internas o externas en temas de Ciberseguridad.
  • Gestión de equipos encargados de establecer las medidas de seguridad.
  • Detección y prevención ante posibles amenazas o ciberataques.
  • Administración y mejora de los mecanismos de seguridad.
  • Asegurar el cumplimiento de normativas en especial las relacionadas con la protección y almacenamiento de datos.

 

En esta línea, los últimos acontecimientos tecnológicos han resaltado la importancia de mantener a salvo datos e información digital, en donde los expertos en Ciberseguridad son uno de los perfiles laborales más demandados, pero aún con escasos profesionales que dominen la materia.

 

Retos para las empresas

En enero de 2016, la revista Forbes publicó que para el 2019 los costos por delitos cibernéticos se proyecta que alcanzaran los US$2 mil millones a nivel mundial. En ese sentido, Steve Morgan (cybercrime Magazine) considera que es atenuante llamar a esto una “ola de crímenes” debido a los costos que las empresas ya están teniendo como resultado de este tipo de amenazas.

 

Incluso, Morgan afirma que la palabra “epidemia” es la más adecuada para describir el panorama actual de los ciberataques, a la vez que el CEO y presidente de IBM Corp., Ginni Rometty, señala que el delito cibernético puede ser hoy la mayor amenaza para todas las compañías en el mundo.

 

Por tanto, el reto es encontrar suficientes profesionales que hagan frente a este panorama. Según el diario La Tercera, para Excequiel Matamala, presidente del Núcleo de Ciberseguridad de ACTI, una meta relevante para Chile debe ser la conformación de capacidades locales, “que se refleje en una sólida industria local de ciberseguridad”.

 

Con ello en mente, desde Widefense apostamos desde hace 30 años por fortalecer la seguridad, a través de la asesoría en materia de Ciberseguridad, la implementación de distintas herramientas que conversen entre sí para proteger a las empresas de ataques maliciosos incluyendo el desarrollo de eThalamus, un software creado en Chile que permite orquestar y gestionar la infraestructura de protección y una adecuada gestión de incidentes.

 

Conozca más de nuestras soluciones aquí: https://www.widefense.com/soluciones/