Entradas Por :

Prestigia Seguridad

8 vulnerabilidades que hacen tu app insegura
1024 690 Prestigia

A menudo se habla sobre los riesgos de seguridad en redes sociales, Internet en general, correos electrónicos, etc. Sin embargo, también hay que vigilar que una app sea segura, especialmente teniendo en cuenta que según el estudio anual Mobile Marketing 2017 de IAB Spain, el uso de aplicaciones es mucho más intensivo de lo que los usuarios se imaginan.

Vulnerabilidades y riesgos más frecuentes en apps móviles

Según datos de Nowsecure, el 25% de las aplicaciones móviles contiene al menos una vulnerabilidad de seguridad de alto riesgo. El uso de dispositivos móviles es más intenso que nunca por lo tanto las vulnerabilidades también son más frecuentes y tanto empresas como particulares están más expuestos a ellas. A continuación, comentamos algunas de las vulnerabilidades más comunes:

  • Intentos de copiar el código fuente. Las aplicaciones suelen recopilar data sobre los usuarios, por lo tanto son muy golosas para los hackers. En este sentido, para evitar que se copie el código fuente, se lleva a cabo una ofuscación del mismo. Aunque no es definitivo frena muchos intentos de copiarlo.
  • Controles frágiles en el servidor. Las llamadas que realiza la app al servidor y viceversa es un foco peligroso. Por ello, se trabaja la securización de las llamadas de Webservice para evitar peligros. Se trata de un foco peligroso en el ámbito de las aplicaciones móviles.
  • Fuga de datos personales involuntaria. En el código fuente de una aplicación hay funciones más sensibles y otras menos. Por ejemplo, datos como los pagos, área de usuario, contraseñas o información personal son más sensibles que los datos generados en la aplicación. En este sentido, se recomienda llevar a cabo un cambio de nombre en comandos clave para que estos datos sean difíciles de reconocer e interpretar, y con una búsqueda simple de texto no sea posible encontrarlos.
  • Carencia de SSL. Al igual que sucede en las páginas webs con el certificado SSL, si una aplicación no dispone del mismo, no es segura. Por eso es importante que cuando una empresa desarrolla una aplicación móvil, está disponga del certificado SSL. Si al usuario le llega una alerta de que está ante una aplicación no segura, lo más posible es que no la descargue o incluso la desinstale.
  • Encriptación rota o débil: Estamos ante este caso cuando la comunicación a través de la red sin ningún tipo cifrado o uno muy débil que no garantizan la privacidad y seguridad de las conversaciones. Se trata de un aspecto muy importante a tener en cuenta durante el desarrollo de la aplicación móvil ya que si el algoritmo de encriptación no es lo suficientemente fuerte será un blanco fácil para los hackers.
  • Código abierto: El desarollo de una aplicación con código abierto implica que el desarrollador da acceso a su código fuente. Por un lado, facilita más ojos que puedan detectar los fallos pero…también mayor exposición y riesgo a que manos ajenas con fines delictivos o malignos también tengan a su alcance el código de tu aplicación. De hecho, dos de cada tres aplicaciones que usan código abierto son vulnerables.

Y como sucede en cualquier ámbito digital, las aplicaciones no están exentas de sufrir ataques por parte de hackers y malwares maliciosos. Estos son algunos de los más conocidos:

  • El DDoS es un ataque por derribo muy común. Consiste en lanzar miles de consultas a un servidor hasta que este cae. Para evitarlos, se implementan métodos anti DDoS que frenen, penalicen o cancelen ataques de esta clase.
  • Ataque XSS: Con este tipo de ataque el hacker consigue es capaz de inyectar un script, normalmente Javascript, en la app. De esta forma, el ataque se produce debido a una incorrecta validación de los datos de usuario. Con el XSS el delincuente informático puede robar cookies, sesiones de usuarios, modificar la app, instalar malware o incluso dirigir al usuario a sitios malignos.

Aunque a priori las vulnerabilidades más habituales en apps sean desconocidas o invisibles para el usuario, la realidad es que pueden causar importantes estragos. Especialmente en relación al robo de datos personales. El mismo riesgo corren las empresas que, además, si son víctimas de una vulnerabilidad pueden ver cómo se pierde la confianza de los usuarios en ellas, afectando al reconocimiento y uso de la aplicación por parte de los usuarios.

Si quieres desarrollar una aplicación móvil totalmente segura para ti y para los usuarios, ¡contáctanos y descubre cómo podemos ayudarte!

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

ciberseguridad en vacaciones
Ciberseguridad en vacaciones: que nada te amargue la fiesta
1020 691 Prestigia

Bajar las persianas, cerrar puertas y ventanas a cal y canto, avisar al vecino de que nos marchamos…Estas son algunas de las cosas que hacemos cuando pasamos fuera de casa la época estival. Son una serie de medidas básicas para mantener el hogar seguro y protegido de posibles cacos que aprovechan el verano y las casa vacías para cometer sus fechorías.

Si también bajas la persiana de tu empresa en agosto -o tu equipo de IT se va de vacaciones-, no está de más tomar algunas medidas de ciberseguridad para proteger tu web, tu negocio online o los datos de tu compañía. En definitiva, se trata de ser precavido con tu seguridad digital:

  1. La regla número uno: revisa las contraseñas de acceso y su fortaleza. Y tampoco dejes escrito en un papel o envies por email las contraseñas.
  2. No hagas clic en enlaces sospechosos ni descargues archivo cuya procedencia desconozcas o no sean 100% fiables. Tras este tipo de situaciones suele esconderse un virus o malware dispuesto a hacer mucho daño.
  3. Antes de hacer la maleta, haz una copia de seguridad. De esta forma podrás marcharte tranquilo. Todos tus datos estarán a salvo en caso de sufrir algún robo o percance durante las vacaciones.
  4. Chequea la seguridad de la red wifi de la empresa (WPA) y habilitar una red wifi distinta para invitados. De esta forma, los dispositivos que se conecten tendrán acceso a Internet pero no a tu red privada. Si bajas la persiana durante unas semanas, directamente puede desconectar el wifi.
  5. Aplica un filtro web o software de control de contenidos para evitar el acceso a determinadas páginas web que puedan poner en riesgo la seguridad de tu empresa.
  6. Formación del personal. En verano suelen incorporarse nuevas personas al equipo humano de una compañía. Es importante que aprendan y tenga claro las políticas de seguridad y buenas prácticas.
  7. Asegúrate de que tus proveedores tiene actualizados los datos de contacto de la persona responsable ante una posible incidencia. Y garantiza que tu plan de contingencia y recuperación ante desastres está al día antes de marcharte. Ante una ausencia, es importante que quede claro cómo actuar para actuar de forma eficaz y eficiente ante un imprevisto.
  8. Cuidado con la temperatura. Tu piel sufre ante la exposición solar y los aparatos electrónicos también son víctima de las altas temperaturas. Para evitar desperfecto o roturas de los equipos informáticos, vigila especialmente la temperatura y la humedad.

Una vez que hayas dejado la ciberseguridad de tu empresa en buenas manos, no olvides también de protegerte a ti mismo. Así que…

  1. No te fies de las conexiones externas. El Wifi suele ser un reclamo para muchos pero recuerda que no es una red segura y tu información personal puede quedar al descubierto. Si quieres evitar verte inmerso en un pishing, extrema la seguridad. No realices operaciones confidenciales con Wifi o usa sólo redes oficiales.
  2. Sé discreto en redes sociales. Sabemos que el postureo en verano está a flor de piel pero…si vas proclamando tu día a día…los delincuentes se percatarán de que tu negocio, o incluso tu casa, están vacíos.

Estas son solo algunas medidas básicas para mantener la seguridad en vacaciones. Ante la duda, recuerda la regla principal: tener sentido común. Y si tienes alguna duda más sobre cómo fortalecer tu ciberseguridad en vacaciones o quieres contratar un servicio de mantenimiento y seguridad para despreocuparte de la seguridad estas vacaciones, ¡contacta con Prestigia Seguridad!

penalización de Google
Penalización de Google: qué es, cómo detectarla y porqué afecta al SEO
1024 690 Prestigia

Ponte en situación. El tráfico en tu web va viento en popa a toda vela, como un coche por la ciudad de madrugada, sin semáforos en rojo ni caravana. De repente, un día…¡ups, caída en picado! Investigas, revisas Google Analytics, analizas el servidor y, a simple vista, no das con el origen del problema. Pues bien…quizás una penalización de Google puede ser la respuesta.

El origen de las penalizaciones de Google

Hay muchos motivos por los que tu web puede ser penalizada por Google pero a continuación os mencionamos algunos de los más habituales:

  • No tener un certificado SSL válido. Un ejemplo claro de cuándo la seguridad puede afectar al SEO lo tenemos en los certificados SSL, de cuyas ventajas y consecuencias os hemos hablado anteriormente en el blog de Prestigia Seguridad. Cuando una web no dispone de un certificado SSL, algunos navegadores (como Google Chrome o Firefox) añaden un aviso de “web no segura”. De esta forma, el usuario puede sentir desconfianza y abandonar la web, aunque esto por sí solo no conlleva una penalización de Google. Un caso más extremo es el de la página web que sí tuvo un certificado SSL pero éste ha caducado. En estos casos, la discrepancia entre el protocolo https en el que está configurado la página web y el hecho que no esté respaldado por un certificado válido es interpretado por Google como un intento (o riesgo elevado) de phishing y en la mayoría de ocasiones el buscador -o los navegadores- incluso impiden el acceso a la web. Si no se resuelve rápido, puede ocasionar una penalización.
  • Web hackeada. Hay muchos delincuentes informáticos que no buscan datos o información confidencial cuando cometen un ataque. En algunas ocasiones hackean una web para utilizar el servidor como un centro de envío masivo de Spam o para generar miles de páginas dentro de tu propia página web para que sirvan de enlaces a las suyas. Si esto sucede, ten por seguro que acabarás recibiendo una penalización de Google.
  • Técnicas de SEO agresivas: en este caso el culpable no es un agente externo a la web. Si intentas mejorar tu posicionamiento a toda costa, sin seguir las normas de Google, no tendrás escapatoria y acabarás penalizado. Las penalizaciones de Google en relación al SEO pueden estar vinculadas con contenido duplicado, keyword stuffing, el cloacking o compra de enlaces en granjas, entre otros.

¿Cómo detectar penalizaciones de Google?

Como decíamos al principio de este post, a veces es posible que hayas sido “víctimas de las penalizaciones de Google” pero no seas capaz de detectarlo o no te hayas enterado. Para saber si estás ante una penalización, tienes varias opciones:

  1. Busca tu web en Google. Si apareces…puedes respirar tranquilo. Pero si no te encuentras es posible que el gigante de Internet te haya desterrado de los resultados de búsqueda.
  2. Revisa tu contenido indexado. Con la búsqueda “site:tupaginaweb.com” en el buscador podrás ver qué páginas tienes indexadas. Si echas en falta muchas páginas o Google no tiene indexada ninguna puede ser que esté penalizado (o que alguna otra herramienta esté bloqueando la indexación de tu web en Google).
  3. Presta atención a Google Analytics. Una caída inusual del tráfico orgánico que se detecta con el análisis de métricas puede ser una primera señal de alarma.
  4. Consulta con Google Search Console. Ante una incidencia o sospecha de penalización, conviene siempre revisar los “errores de rastreo” y otros avisos en el Google Search Console: ahí podrás encontrar posibles errores en tu web para solucionarlos. Recuerda que esto sólo podrás hacerlo si tu webmaster te ha dado de alta previamente en esta herramienta gratuita de Google.

¿Cómo arreglar las penalizaciones de Google?

Salir de la penalización es sin duda el paso más laborioso y dependerá de diversos factores, por ejemplo, el tipo de penalización. Tienes diversas alternativas para hacerlo:

  • Arreglando lo que motivó la penalización sea cual sea tu caso (disavow de enlaces entrantes tóxicos, limpiar la página web de virus, rehacer el contenido, actualización de certificado SSL, etc.)
  • Valoración de daños: para ver el mejor modo de arreglar una penalización tendrás que analizar cuál ha sido el impacto de la misma. En algunos casos basta con arreglar el desaguisado; en casos más complicados puede que incluso haya afectado a la autoridad de tu dominio y sea necesario empezar de cero con un dominio nuevo para poder recuperar el nivel de tráfico orgánico previo a la penalización.
  • Enviar una solicitud de reconsideración a Google. Esto llevará su tiempo porque la solicitud pasa por diferentes fases. De hecho, es el último paso tras arreglar primero lo que motivó la penalización. Además, esta solicitud solo está disponible para los casos de penalización manual.

En definitiva, si ya has detectado que has recibido una penalización de Google, no pierdas más tiempo y ponte manos a la obra. Desde Prestigia Seguridad podemos ayudarte para que recuperes tu posicionamiento y visibilidad. ¡Contáctanos!

seguridad en redes sociales
10 consejos de seguridad en redes sociales
1024 692 Prestigia

En nuestro último post os hablábamos sobre los riesgos de seguridad en redes sociales. Internet es el caldo de cultivo perfecto para miles de hackers que atacan bajo el anonimato y aprovechan nuestra desprotección.

Para evitar los riesgos no hay nada mejor que tener sentido común y actuar de forma preventiva. Si un ataque te pilla con la guardia alta será más fácil que puedas combatirlo y frenarlo. Así que aquí os dejamos con 10 consejos de seguridad en redes sociales:

  1. Utiliza contraseñas seguras. Es el más repetido de nuestros consejos pero es que es una verdad como un templo. Olvídate de nombres, día de nacimiento o fechas de aniversarios. Crea una contraseña única, de al menos ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales (asterisco, barra,…). A eso se le llama contraseña robusta y es la que mejor te protege.
  2. No guardes tus contraseñas en el navegador. De nada sirve tener una contraseña fuerte si tu ordenador las tiene guardadas de forma automática. Es muy cómodo pero cualquiera que hackee tu ordenador o si te lo roban, podría acceder a ellas y a toda tu información y contactos.
  3. Desconfía de los sitios que no empiecen por https. Implementar un certificado SSL tiene sus ventajas y no hacerlo sus desventajas. Si estás en una web cuya URL no incorpora el certificado de seguridad, ándate con más ojo, el riesgo es mayor.
  4. ¿Compartes ordenador? Usa sesión privada y no olvides cerrar la sesión en todas tus redes sociales para evitar que alguien pueda acceder a tus datos personales.
  5. Lee antes de autorizar. Seguro que en más de una ocasión Facebook, Instagram o cualquier red social que tienes instalada en tu móvil te ha solicitado permisos por parte de alguna app asociada a estas redes antes de realizar algún tipo de acción. Destierra la mala costumbre de aceptar sin leer y tu seguridad en redes sociales será más fiable. Existen apps maliciosas que logrando estos permisos de tus principales redes, te roban la información.
  6. Configura tu privacidad. Como en el punto anterior de estos consejos de seguridad en redes sociales, es probable que no te hayas preocupado mucho de tu privacidad. ¡Hazlo! Tan solo te llevará cinco minutos acceder a la configuración y ver hasta qué punto están tus datos expuestos. Revisa y actualiza en función de tus necesidades o preferencias. Y sobretodo, si de verdad no quieres que algo se sepa, no lo cuelgues porque no hay medio digital que sea infranqueable.
  7. Piensa y luego publica. Las redes sociales ofrecen anonimato pero también exposición a tu vida personal y privada. Todo lo que publiques quedará registrado en Internet y algún día puede ser público.
  8. Cuidado con la localización y el GPS. Tu actividad deja rastro en la red y no es muy difícil rastrear dónde has estado o qué has hecho con tan solo leer algunos comentarios o ver tus imágenes. Especialmente si también usas las opciones de localización. Por ejemplo, ¿estás seguro de publicar a cada minuto tu ubicación? Podrías estar alertando a posibles ladrones de que no estás en casa.
  9. ¡Ojo con los links! En redes sociales circulan miles de links al día que ocultan malware. Antes de hacer clic, fíjate en el enlace y quien te lo ha enviado. Ante cualquier sospecha, mejor no lo abras.
  10. Sentido común. El menos común de los sentidos y el que más flojea cuando nos dejamos llevar por la inmediatez y la rapidez en las redes sociales. La mayoría de malware o ataques requiere interacción por parte del usuario para llevarse a cabo…así que afina tu olfato en internet y no se lo pongas fácil a los delincuentes que circulan por la red.

¿Qué te han parecido estos 10 consejos de seguridad en redes sociales? Sencillos, ¿verdad? Son fáciles de aplicar así que ya no tienes excusas para navegar tranquilo por las redes sociales. ¡Disfrútalas pero con precaución!

redes sociales seguridad
Las redes sociales ponen en riesgo la seguridad de tu empresa
1024 690 Prestigia

Que las redes sociales forman parte de nuestra vida es una realidad innegable. De hecho, han llegado incluso a colarse en nuestro trabajo. Algo que para muchos es un error y no les gusta. Sobre si el uso de las redes sociales en el trabajo es bueno o malo…no debatiremos en este post. Lo que nos atañe hoy es hablar sobre la seguridad en las redes sociales que usamos durante la jornada laboral.

Existen millones de usuarios con un perfil en Facebook, Twitter, Instagram, LinkedIn, WhatsApp, Telegram y otras decenas de redes sociales habidas y por haber. En las redes se publican a diario millones de contenidos e información. Por eso, no es de extrañar que sea un nicho muy atractivo para hackers deseosos de llevar a cabo algún tipo de actividad maliciosa. Y los perfiles en redes sociales de las empresas no están exentos de estos riesgos de seguridad.

Riesgos en el uso de redes sociales en el trabajo

WhatsApp: A pesar de disponer email o de poder realizar llamadas telefónicas, hay quien comenta cuestiones laborales a través de los grupos de WhatsApp. Sabemos que es realmente cómodo y rápido, sobre todo desde que existe WhatsApp Web, sin embargo, también es arriesgado. De hecho, hasta el CNI cuenta con un informe sobre los riesgos de uso de WhatsApp.

En primer lugar, esta aplicación no fue diseñada para compartir información confidencial o delicada de los negocios. En este sentido, a pesar de que los mensajes están encriptados, la empresa no tiene ningún tipo de control sobre la información que se comparte. Eso sin tener en cuenta el uso del metadata en este tipo de plataformas, lo que puede dar pie a revelar más información de la que nos gustaría.

Por otra parte, para los que usan la versión de escritorio de WhatsApp, cabe recordar que se desconoce si las conversaciones están realmente protegidas en el ordenador. Además, existe el riesgo de no cerrar la sesión al marcharte de la oficina y que las conversaciones, tanto personales como laborales, estén al alcance todos.

Telegram. Se ha convertido en un canal de riesgo para empresas y usuarios que pueden caer en manos de ciberdelincuentes. Un informe del CNI alerta de riesgos de seguridad especialmente en dos puntos: el protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat.

Una de las grandes ventajas de Telegram es que los grupos de chat, es decir, los canales, permiten enviar mensajes a un número ilimitado de suscriptores. Sin embargo, la respuesta a cualquier mensaje público es privada. Por lo tanto, los hackers lo tienen fácil para esconderse y atacar en esta red social. En este sentido, según un artículo de Check Point, en la red social se pueden encontrar anuncios de usuarios ofreciéndose a cometer delitos cibernéticos, lo que facilita que, bajo mensajes cifrados y con una personalidad anónima, puedan contactar de forma segura y fácil con interesados en este tipo de  “servicios”.

Facebook: Según Kaspersky, el 60% del phishing en redes sociales se relaciona con páginas falsas de esta red social. Estas cifras son realmente alarmantes y nos ponen al día sobre la necesidad de ser más  precavidos con nuestra actividad en redes sociales.

Tampoco podemos olvidarnos sobre los riesgos de privacidad, sobre todo desde que se supiera el escándalo de Facebook y Cambridge Analytica. Otro riesgo también habitual es el scamming, es decir, la estafa en medios electrónicos. Lo habitual en estos casos es que la cuenta de Facebook (o de otra red social) sea infectada con un virus que comparte imágenes y contenido que enlazan a webs fraudulentas. En el momento en que alguno de los usuarios haga clic en ese enlace malicioso, correrá el riesgo de que sus datos personales sean robados.

Tampoco podemos olvidarnos de los fallos de seguridad. No hace mucho tiempo que Facebook informó que las webs que ofrecen la opción de registrarse con Facebook pueden contener scripts con acceso a los datos del usuario.

Si no quieres que los datos de tu perfil o empresa caigan en las manos equivocadas, no peques de ingenuo y preocúpate por tu seguridad en las redes sociales. En nuestro siguiente post de Prestigia Seguridad, te daremos algunos consejos para conseguirlo.

gestion-de-la-seguridad-en-la-empresa
10 errores en la gestión de la seguridad en la empresa
1024 690 Prestigia

No hace mucho os hablamos en el blog de Prestigia Seguridad sobre los principales riesgos de la pyme en ciberseguridad. En ocasiones, algunos de estos riesgos derivan no sólo de una falta de seguridad y precaución sino de errores en la gestión de la seguridad en la empresa. Y aunque equivocarse es de sabios, mejor es aprender de los errores.

Hoy en el blog queremos hablaros de algunos errores en la gestión de la seguridad que las empresas cometen a menudo. Toma nota y…¡evítalos!

  1. La información de mi empresa no interesa a nadie. Este es uno de los grandes errores que suelen cometer muchas empresas, especialmente las más pequeñas. Creen que por ser pequeñas no son objetivo de hackers. Se confían y bajan los niveles de seguridad, convirtiéndose así en un blanco fácil. En este sentido, también es muy común infravalorar, por ejemplo, la importancia de la confidencialidad, como si no fuera necesario proteger la información a través de acuerdos de confidencialidad con todos los grupos de interés (clientes, proveedores, empleados,…)
  2. La seguridad es una cuestión puramente informática. La gestión de la seguridad en una compañía va más allá de los controles técnicos e informáticos. Los aspectos legales y organizativos, si se descuidan también hay que vigilarlos si no puede pasar que, por ejemplo, seamos víctimas de phishing.
  3. Con un antivirus y un firewall ya estoy protegido. Aunque son dos productos básicos para estar protegido, también es cierto que no es suficiente. Existen muchísimas amenazas que no se evitan únicamente con un antivirus.
  4. Los problemas de seguridad vienen del exterior. A menudo las empresas consideran que los riesgos de seguridad son ajenos a la compañía. Sin embargo, algo tan sencillo como utilizar un USB infectado o abrir un enlace malicioso que nos llega al e-mail puede poner en jaque la seguridad de la empresa. Por eso, es importante sensibilizar y concienciar al personal sobre medidas y hábitos para proteger la seguridad de la empresa. Es importante que conozcan las amenazas a las que se enfrentan.
  5. Descuidar el mantenimiento es algo muy habitual entre pequeñas empresas para las que la seguridad está en el última escalón de la compañía. No llevar un control y mantenimiento de la red y los sistemas puede derivar en una red vulnerable que sea fácil de atacar para acceder a la información corporativa. Lo mismo sucede con programas o software que se pasan meses sin actualizar, facilitando ser víctima de un ataque porque, al no haber actualizado, tu programa o sistema no dispondrá de los últimos parches de vulnerabilidad que se hayan aplicado.
  6. Copias de seguridad. Si no las tienes, estás perdido. Pero también lo estarás si no se mantienen ni realizan de forma periódica.
  7. No comprobar que el plan de recuperación funciona. Es posible que muchas compañías ni siquiera tengan plan de recuperación ante desastres. Pero casi peor es tenerlo y no haber probado si funciona correctamente.
  8. Utilizar contraseñas débiles. Sí, sabemos que nunca te olvidarás del día de tu cumpleaños pero es una contraseña tan previsible que no te protege de los ciberataques. Recuerda: usa contraseñas largas, combinando letras minúsculas y mayúsculas y también símbolos y números. Tampoco utilices la misma contraseña para diferentes cuentas.
  9. El Wi-Fi público no es seguro. Conectarse a cualquier Wi-Fi para ahorrar algunos datos en nuestra tarifa telefónica puede salirte caro. Recuerda que el Wi-Fi público no es tan seguro como el de tu oficina o de tu casa. Por eso, evita usar las redes Wi-Fi para realizar acciones como consultar tu saldo o hacer una transferencia. Los piratas informáticos pueden estar al acecho.
  10. Fiarse de los desconocidos. ¿Recuerdas cuando de pequeño tus padres te decían que no te fueras con desconocidos? Aplica esta norma básica en el día a día de tu empresa: no abras emails de remitentes desconocidos o sospechosos porque puede contener enlaces maliciosos ni descargues apps de fuentes no oficiales. Evita también visitar páginas que te adviertan de que no tienen el certificado SSL.

Confiésalo…¿cuántos de estos errores en la gestión de la seguridad cometes en tu empresa? Esperamos que este post te sirva de ayuda pero si necesitas protegerte de posibles riesgos y ciberataques, consulta nuestros servicios de seguridad en Internet o contáctanos.

consecuencias no implementar certificado ssl
Consecuencias negativas de no implementar un certificado SSL
1024 690 Prestigia

Hace unas semanas os hablamos en el blog de Prestigia Seguridad sobre las ventajas de implementar un certificado SSL. Hoy, queremos poner el foco en las consecuencias de no implementarlo porque, sí, las tiene 😉

Aquello de lo que no se ve o lo que no se habla, no existe. En seguridad en Internet esta máxima sería totalmente opuesta: los ataques en Internet están al acecho aunque no seamos realmente conscientes de ello. Por eso tan importante como mantener la seguridad en los CMS es proteger nuestra página web con un certificado SSL.

Riesgos de no contar con un certificado SSL

¿Tienes un patrón de seguridad en tu móvil para que nadie pueda usarlo? ¿Tienes protegida tu red de Internet con una contraseña para que nadie tenga acceso? ¿Cuando te marchas de casa cierras con llave? Si en tu día a día eres precavido y tomas ciertas medidas de seguridad para garantizar tu privacidad…¿por qué no hacerlo con tu página web? No implementar un certificado SSL puede dar lugar a consecuencias como las siguientes:

  1. Dudas sobre la identidad de tu web. El certificado SSL viene a ser como el DNI para las personas, es decir, un sistema o documento que acredita tu identidad. En el caso de las páginas web, sin un certificado SSL no hay garantías que certifiquen tu identidad y credenciales, algo que desde el punto de vista del usuario genera desconfianza.
  2. Web segura. Hace tiempo que cuando los buscadores detectan una página web sin certificado SSL la catalogan como “No segura”. Y así se lo hacen saber al usuario a través de un mensaje en el que avisan de que la web en la que está navegando no es segura y en la que recomiendan no ofrecer información confidencial ya que no hay garantías de que los atacantes pudieran robarla. También en la barra de dirección se indica que la página web no es segura. Además, en la mayoría de casos se impide el acceso a la web.  
  3. Problemas de posicionamiento y rentabilidad. Esta es una consecuencia directa de la anterior. Al ser advertido el usuario de que no está en una web segura, lo más probable es que la abandone. Por lo tanto, aumentará la tasa de rebote y se reducirá el tiempo de permanencia. Esto afectará al tráfico de la web que, al disminuir, también se traduce en la pérdida de posición en la página de resultados de búsqueda de motores como Google, Explorer, etc.
  4. En el punto de mira de los hackers. Cuando una web no dispone de certificado SSL es más vulnerable a los ataques informáticos. Al no estar la información encriptada, el cifrado de la página no es del todo seguro y los hackers pueden utilizar este “agujero” en la seguridad para robar datos, instalar malware, etc.

¿Qué más necesitas para convencerte de lo importante que es implementar un certificado SSL? ¿Tienes alguna duda? Desde Prestigia podemos ayudarte.

seguridad en los cms
Seguridad web, talón de Aquiles de los mejores CMS
1024 690 Prestigia

Al poner en marcha una web, blog o negocio online es fundamental plantear bien el desarrollo, la programación web. En muchos casos, y por las características del proyecto, convendrá una programación web a medida. En otros, sin embargo, puede ser suficiente trabajar con alguno de los CMS (Content Management System) open source que nos ofrece el Mercado: WordPress, Drupal, ….. En este sentido, uno de los factores olvidados a la hora de escoger un sistema de gestión de contenidos es la seguridad. Nos centramos en aspectos como el diseño, la usabilidad, la capacidad… olvidándonos de la seguridad web en los CMS.

Según un informe de Sucuri, los tres CMS más infectados en 2017 fueron WordPress (83%), Joomla! (13.1%) y Magento (6.5%). Son tres de las plataformas más utilizadas (WordPress es el CMS más usado del mundo) por pequeñas empresas, tiendas, bloggers, etc. Por eso, no es de extrañar que también estén en el punto de mira de hackers y delincuentes.

Estos datos no implican que WordPress, Joomla! o Magento sean más o menos seguras que otras plataformas. De hecho, desde Sucuri explican que los riesgos o compromisos registrados en estos gestores de contenidos estaban relacionados con “un despliegue, configuración y mantenimiento general inadecuado por los webmasters y no con el núcleo de la aplicación CMS en sí”. Sea como sea, es importante que tengas en cuenta aspectos de la seguridad en los CMS a la hora de escoger uno y que también sepas protegerlo.

Problemas de seguridad en los CMS

Pueden ser muchas las causas que provocan que un CMS sea infectado o atacado. Sin embargo, como decíamos, en la mayoría de ocasiones estos ataques están relacionados con una mala gestión de la plataforma desde una óptica de seguridad y protección.

Por ejemplo, el informe de Sucuri revela que muchas de las plataformas estaban desactualizadas en el momento de la infección. De hecho, en 2016, el 61% de las webs desarrolladas con WordPress que fueron hackeadas registraron instalaciones desactualizadas. También en años anteriores, el 80,3% de los sitio Magento estaban en su mayoría desactualizados (80.3%) en el momento en que se infectaron.

Otra de las formas más habituales entre los hackers para infectar un CMS es a través de los ataques de fuerza bruta. Este tipo de ataque consiste en consiste en probar sistemáticamente diferentes credenciales hasta que….¡voilà! encuentran la combinación correcta. En otras palabras, sería como intentar abrir un candado con 1001 opciones posibles. Te llevaría muchísimo tiempo pero en algún momento darás con la combinación acertada. Y, cuando quién lo hace es un robot de forma automatizada, el tiempo deja de ser un problema.

Otra variante de este método muy conocida es el ataque diccionario. En este caso, se deja de lado el intento sistemático de encontrar la combinación de acceso para probar únicamente aquellas combinaciones con más probabilidad de éxito. En este punto no está de más recordarte la importancia de tener una contraseña fuerte y segura para ponérselo difícil a los hackers.

Los ataques de fuerza bruta pueden afectar a cualquier web. Sin embargo, WordPress repite como uno de los objetivos favoritos de los hackers.

¿Y qué sucede cuando descubren el usuario y contraseña? El hacker puede entrar en el panel de administración y hacerse con el control de la web. De esta manera, puede desde robar datos y credenciales hasta alojar archivos maliciosos o hacer que la página web se convierta en parte de una infraestructura de malware específica.

10 consejos para fortalecer la seguridad en los CMS

En algún momento de este artículo se ha comentado que bloggers, pequeños empresarios, propietarios de tiendas, etc suelen utilizar CMS de código abierto. Lo hacen porque son fáciles de usar, rápidos, gratuitas y no requieren grandes conocimientos. Sin embargo, estamos ante un arma de doble filo porque, como decíamos, también los hace más vulnerables ante un posible ataque.

En este contexto, es importante tener a mano unos consejos de seguridad en los CMS para garantizar que tu plataforma esté protegida:

  1. Mantén actualizado el CMS. Si, es la norma más básica y es una cuestión de sentido común. Si no actualizas tu gestor de contenidos no estarás protegido ante riesgos que se hayan detectado recientemente.

  2. Usa una contraseña fuerte y segura: que sea aleatoria y poco común. En este sentido, ten en cuenta que sea de al menos 12 caracteres y no la utilices en diferentes sitios a la vez.

  3. Descarga contenidos solo de webs oficiales

  4. Introduce Captchas en tus formularios para que sean más seguros. Esto te ayudará también a evitar que te envían spam o se infiltren en tu aplicación.

  5. Haz revisiones periódicas para detectar vulnerabilidades y anomalías. Ya sabes, mejor prevenir que curar.

  6. Intenta escoger un CMS con una comunidad online fuerte, es decir, que tenga un equipo de desarrolladores a los que consultar dudas y problemas.

  7. Configura tu hosting de forma segura, con unos parámetros básicos de segurida en los CMS y en relación a los permisos y accesos al servidor.

  8. Controla los permisos de usuario y contraseñas de acceso

  9. Suscríbete a foros y newsletter relacionadas con la seguridad en los CMS. Mientras más informado estén, con más rapidez podrás actuar ante un riesgo.

  10. Contacta con Prestigia Seguridad si quieres más garantías de seguridad en los CMS que utilizas 😉

eloi-font-reglamento-general-de-proteccion-de-datos
Todo lo que debes saber sobre el Reglamento General de Protección de Datos
1024 690 Prestigia

Si tienes una pyme y has oído hablar que el próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos y no sabes muy bien qué significa ni si te afecta, muy probablemente te interesará continuar leyendo este artículo.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Es una nueva regulación europea que, como Reglamento comunitario que es, se aplicará de forma directa y por igual en todos los Estados Miembros y afectará a organizaciones de la Unión Europea (UE), con independencia de dónde se realiza el tratamiento de sus datos, así como a organizaciones de fuera de la UE, cuando traten datos de ciudadanos de la UE derivados de una oferta de bienes o servicios o a causa  de una monitorización y seguimiento de su comportamiento.

Como consecuencia de la próxima aplicación del RGPD, se está reformando la Ley Orgánica de Protección de Datos (LOPD), aunque está previsto que, pronto, se apruebe una nueva ley española de protección de datos que esté totalmente alineada con el RGPD.

¿Qué nuevas obligaciones tendrá tu empresa a partir de ahora?

La regulación europea crea un nuevo marco en el que se introducen cambios, no solamente a nivel jurídico, sino también de tipo técnico y organizativo para tratar de introducir la “cultura de la privacidad” en las organizaciones. Vayamos por partes.

Hasta ahora, si una empresa trataba datos personales de, por ejemplo, clientes, proveedores, empleados o usuarios de la página web o la App corporativas, tenía que notificar los correspondientes “ficheros” a la Agencia Española de Protección de Datos (AEPD) mediante la cumplimentación de unos formularios para su inscripción en el Registro General. Con el RGPD, esta obligación desaparece y muta a una nueva que es la de tener que implementar unos documentos, denominados “Registros de Actividades de Tratamiento” (RAT), en los que deben reflejarse los aspectos básicos de los tratamientos de datos. A diferencia de los ficheros, los RAT no se tienen que notificar ni inscribir en la AEPD, sino implementar.

Hasta ahora, también era necesario implementar cláusulas y políticas en los canales de recogida de datos (por ejemplo, en los contratos con clientes o proveedores, en contratos laborales, pero también en formularios de contacto de la web o la app de la empresa) para informar, entre otros aspectos, de la finalidad del tratamiento, si se iban a comunicar datos a terceros o dónde se podían ejercer determinados derechos, como los derechos de acceso, rectificación, cancelación y oposición. El RGPD refuerza dicha obligación y añade nuevos requisitos como, por ejemplo, tener que informar del plazo de conservación de los datos, si se van a transferir fuera de la UE y de las posibilidades de revocar el consentimiento prestado o de reclamar ante la Autoridad de Control. Ello implica que, antes del 25 de mayo es necesario volver a informar a todos los interesados (clientes, proveedores, empleados, etc.) de los nuevos requisitos que prevé el RGPD si se desea continuar tratando sus datos.

Dado que hay más información a ofrecer/notificar y que el RGPD también prevé que las comunicaciones se hagan con un lenguaje sencillo y claro, es recomendable que todo se realice a través de un sistema de doble nivel o capa. Así, por ejemplo, si tu empresa recoge datos personales a través de una página web o una app, será necesario incluir, debajo del formulario de datos, una versión resumida de la política de privacidad e informar de cómo el usuario puede acceder a una versión más detallada, que deberá estar en un segundo nivel.

Teniendo en cuenta que el RGPD exige un consentimiento inequívoco (en el que se exige una acción afirmativa por parte del interesado) y, en algunos casos, explícito, para tratar los datos con carácter general, es necesario revisar si en el pasado hemos tratado datos con consentimiento tácito de los interesados y, en consecuencia, proceder a regularizarlo antes del 25 de mayo.

Además, es necesario revisar los contratos suscritos con proveedores que accedan o traten datos por cuenta de la empresa (como, por ejemplo, las gestorías, asesoría o empresas de hosting) y suscribir con todos ellos un nuevo contrato para recoger los requisitos introducidos por el RGPD. Igualmente, es recomendable proceder a realizar un análisis de riesgos con una empresa especializada, que determine las medidas de seguridad más adecuadas para el tipo de tratamientos de datos que realiza la empresa, ya que con el RGPD desaparece el listado detallado de medidas de seguridad que había hasta ahora.

Además, si tu empresa lleva a cabo tratamientos de datos sensibles masivos o realiza evaluaciones de perfiles a gran escala, será necesario determinar si estás obligado a llevar a cabo una auditoría específica, denominada “Evaluación de Impacto”, para tratar de adaptar el producto o servicio a los requisitos del RGPD y de tener que designar un Delegado de Protección de Datos, figura que podrá ser interna o externa a la organización, que se encargará de supervisar de forma continuada el cumplimiento del RGPD por parte de la empresa.

Finalmente, a partir del 25 de mayo, habrá que notificar a la AEPD, en un plazo máximo de setenta y dos horas, las violaciones de seguridad que sufra la empresa cuando afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados. Ello se deberá realizar a través del canal de comunicaciones electrónicas habilitado por la misma AEPD. Además, si es probable que la violación de seguridad ocasione daños de entidad a los interesados, por ejemplo, porque se desvela información confidencial como contraseñas o se difunden datos sensibles de forma masiva, también será necesario notificarlo a los afectados.

¿Qué sucede si no cumples con el RGPD?

Además de perder la oportunidad de ofrecer una ventaja competitiva a los titulares de los datos, el incumplimiento del RGPD también puede acarrear la imposición de importantes sanciones administrativas que, en el peor de los casos, pueden llegar a ser de 20 millones de euros o, en el caso de las empresas, del 4% del volumen de negocio global del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocatspartner legal de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.