Seguridad en internet

redes inalambricas prestigia seguridad
Consejos de seguridad en redes inalámbricas
1020 680 Prestigia

Una vez que tu acceso WiFi se extiende conecta al mundo, puede resultar difícil proteger este tipo de redes inalámbrica tanto corporativas como domésticas de intrusiones. Explicamos los cambios simples que pueden realizar junto con las mejores prácticas para proteger tu red corporativa y doméstica de los piratas informáticos. Como la mayoría de las redes, los sistemas WiFi pueden incluir diferentes tipos de equipos y diferentes configuraciones. Para los propósitos de este artículo, asumimos una configuración de red relativamente común con un enrutador inalámbrico con un punto de acceso incorporado, os damos algunas pautas a continuación.

Configuración para una buena seguridad en redes inalámbricas

Os aconsejamos revisar todos los controles de la siguiente lista:

  • Una vez que hayas iniciado sesión en tu router inalámbrico, lo primero que debes hacer para proteger la red es cambiar la contraseña predeterminada del sistema a algo más seguro, puedes tomar como referencia nuestro artículo de contraseñas seguras.
  • El SSID (o nombre de red inalámbrica) del router inalámbrico generalmente está predefinido como «predeterminado» o se establece como el nombre de marca del router, aconsejamos cambiar este nombre.
  • Para evitar que otras computadoras en el área utilicen tu conexión a Internet, se deben cifrar las señales inalámbricas. Existen varios métodos de cifrado para la configuración inalámbrica, incluidos WEP, WPA (WPA-Personal) y WPA2 (WiFi Protected Access versión 2). WEP es un cifrado básico y, por lo tanto, inseguro (es decir, desaconsejamos su uso), mientras que WPA2 es el más seguro el cual aconsejamos su uso.
  • Ya sea que tengas un equipo portátil o un teléfono móvil con WiFi, todos tus dispositivos inalámbricos tienen una dirección MAC única, al igual que todas las computadoras conectadas a Internet tienen una dirección IP única. Para una capa adicional de protección, puedes agregar las direcciones MAC de todos tus dispositivos a la configuración de tu router inalámbrico para que solo los dispositivos especificados puedan conectarse a tu red WiFi.
  • Por último, debes consultar el sitio del fabricante de vez en cuando para asegurarte de que tu enrutador esté ejecutando el firmware más reciente y actualizado.

Saber quien esta conectado a tu red inalámbrica

Si te preocupa que un extraño pueda conectarse a Internet mediante tu red inalámbrica, la configuración de los router WiFi tienen una sección interna que buscará direcciones MAC en la red inalámbrica, así como solicitudes de DHCP. Aquí verás una lista de todas los equipos y dispositivos inalámbricos que están conectados a tu red doméstica.

También es una buena idea apagar el router por completo cuando no planeas usar el equipo por un período más largo (por ejemplo, vacaciones o fines de semana).

Asegurar la red doméstica debe ser una prioridad para todos los interesados ​​en mantener los datos seguros y protegidos. Estos pasos pueden ser realmente útiles incluso para que los soliciten personas sin conocimientos de tecnología, es decir, los consejos citados anteriormente valen también a nivel doméstico. Además, no olvides que la seguridad de tu red inalámbrica a veces puede ser débil y propensa a vulnerabilidades. Casi no importa cuán fuerte sea la contraseña o si su software está actualizado si los ciberdelincuentes pueden simplemente secuestrar tus datos conectando vía WiFi. Por eso hemos escrito esta guía sobre cómo proteger una red inalámbrica. Sin embargo, aún debes estar atento a los routers WiFi inseguros, ya que la mayoría probablemente seguirá usando WEP y no seguirá estos procedimientos de seguridad.

El uso de redes inalámbricas en pequeñas empresas como pymes o grandes compañías es usual para facilitar la conectividad con los dispositivos, desde Prestigia Seguridad, aparte de los artículos con este tipo de consejos, damos soporte para mediante auditorias inalámbricas, donde nuestros expertos revisaran deficiencias en tu red con el fin de bastionarla, no dudes en contactar con nosotros para informarte.

automatizar actualizaciones prestigia seguridad
Automatizar las actualizaciones con WSUS
1020 680 Prestigia

Todos los días salen nuevas actualizaciones y actualizaciones para todos los diferentes aspectos de los equipos personales y empresariales. Muchas de estas actualizaciones, sobre todo las de seguridad, podrían ayudar a tu computadora a evitar las ultimas amenazas. Pero mantener tu equipo o tu parque de servidores tan cerca de la perfección no es fácil, por lo que es necesario implantar un correcto sistema automatizado de actualizaciones que permitan tener tus sistemas seguros. Sigue leyendo para obtener consejos sobre cómo mantener tus equipos actualizados.

Windows Update

Windows proporciona una utilidad, acertadamente llamada Windows Update, que te permite mantener tu sistema parcheado y seguro a nivel de sistema operativo, de cualquier intento de ataque para obtener acceso y tomar el control de tu sistema aprovechando vulnerabilidades.

Cuando creas por primera vez una cuenta con permisos de administrador en una nueva instalación de Windows, se te preguntará si deseas que las actualizaciones se descarguen e instalen automáticamente o si deseas hacerlo manualmente. Te recomendamos encarecidamente que permitas que Windows se encargue de actualizarse de forma automática a nivel de equipo para entornos domésticos.

Sin embargo, si crees que quieres manejar esta parte del mantenimiento y actualizaciones de tus equipos en un entorno empresarial, entonces necesita saber cómo usar WSUS para no perderse nunca una actualización crítica, te lo contamos en el siguiente apartado.

Automatización con WSUS

Uno de los primeros pasos que debes realizar durante la configuración inicial de un servidor Windows WSUS es establecer la comunicación entre el servidor WSUS y los clientes. Como clientes (equipos finales) asumimos que pueden ser clientes de Windows o servidores de Windows. La tarea más fundamental es indicar a cada cliente que se comunique con el servidor WSUS para buscar nuevas actualizaciones en lugar de utilizar Microsoft Update a través de Internet. A continuación, revisaremos las configuraciones individuales para programar actualizaciones, configurar alertas, etc. En general, esta configuración se puede realizar a través de la Política de grupo. Como nos referimos a una infraestructura de Active Directory, nos centraremos en la configuración de políticas de WSUS a través de la Política de grupo.

En la mayoría de los casos, se sugiere crear un nuevo objeto de directiva de grupo que solo se aplicará a la configuración de WSUS. La configuración de WSUS en el Editor de políticas de grupo se encuentra en:

  • Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Actualización de Windows

Aunque es poco común, algunas actualizaciones de software pueden causar problemas, por ejemplo, las actualizaciones más recientes de los controladores pueden provocar cambios de usuarios y las pantallas de bienvenida. Si encuentras este tipo de problemas, asegúrate de pedir ayuda al soporte de Microsoft.

Tradicionalmente, las empresas se han centrado en posponer en muchas ocasiones los parches de seguridad, exponiendo muchas veces los equipos a ataques, por ello, desde Prestigia Seguridad, aparte de los artículos con este tipo de consejos, damos soporte para mediante análisis de vulnerabilidades conocer si tus servidores necesitan algún parche de seguridad urgente, no dudes en contactar con nosotros para informarte.

calidad contraseñas prestigia seguridad
La calidad de tus contraseñas
1020 680 Prestigia

La calidad de nuestras contraseñas es fundamental para que nadie pueda acceder a nuestras cuentas, datos o sistemas, como indicamos en nuestro artículo de consejos de seguridad en pymes. En este articulo vamos a dar no solo consejos sobre la robustez de nuestras contraseñas, sino cuanto pueden tardar en obtenerlas los cibercriminales si no utilizamos unos mínimos de seguridad.

Existen proyectos bastante interesantes, como por ejemplo Google, ha agregado una nueva función a su navegador web Chrome que alertará a los usuarios si sus credenciales de inicio de sesión se han visto comprometidas en una brecha de seguridad.

La funcionalidad se basa en la extensión del navegador de verificación de contraseña de Chrome, que se lanzó en febrero de 2020 y desde entonces se ha descargado más de un millón de veces. En octubre de 2020, Google integró la función en las cuentas de Google, brindando a los usuarios una manera fácil de verificar si sus contraseñas guardadas pueden haber sido filtradas o robadas, así como también determinar si sus credenciales de inicio de sesión son débiles o se reutilizan en varias cuentas.

Características de una contraseña segura

Una contraseña segura es aquella que es más segura en virtud de que es difícil de adivinar para una máquina, como indicamos en los principales ataques que realizan los hackers o un humano. La seguridad de la contraseña se puede lograr incorporando las siguientes características y cuantas más características incorpore en su contraseña, más fuerte será:

  • Al menos 12 caracteres: cuantos más caracteres, mejor
  • Una mezcla de letras mayúsculas y minúsculas
  • Una mezcla de letras y números.
  • Inclusión de al menos uno o dos caracteres especiales, por ejemplo: ! @ # ? ]

Al hilo de la fortaleza, debemos tener en cuenta siempre las siguientes pautas:

  • Cámbiala con regularidad, una vez cada tres meses.
  • Cámbiala si tienes la menor sospecha de que la contraseña ha sido obtenida por un tercero.
  • Nunca la uses para otros sitios web.
  • Evita escribirla en equipos en los que no confías, por ejemplo, en un cibercafé.
  • Nunca la guardes para en un formulario web en un equipo que no controles o que es utilizada por más de una persona.
  • Nunca se la proporciones a nadie.
  • Nunca la escribas.

Cuanto tiempo pueden tardar en obtener nuestra contraseña

Cuando se trata de contraseñas, una cosa es segura, la longitud importa y dificulta su obtención. Agregar un solo carácter a una contraseña aumenta su seguridad de manera exponencial. En el llamado «ataque de diccionario», un descifrador de contraseñas utilizará una lista de palabras de contraseñas comunes para discernir la correcta.

Por ejemplo, si tienes una contraseña extremadamente simple y común de siete caracteres de longitud («abcdefg»), un hacker podría descifrarla en una fracción de milisegundo. Agrega solo un carácter más («abcdefgh») y ese tiempo aumentará a cinco horas. Las contraseñas de nueve caracteres tardan cinco días en romperse, las palabras de 10 caracteres tardan cuatro meses y las contraseñas de 11 caracteres tardan 10 años. Si tiene hasta 12 caracteres, verá 200 años de seguridad, nada mal para una letra pequeña.

Este cuadro, creado por hivesystems con datos obtenidos de HowSecureIsMyPassword.net muestra cuánto tiempo le tomaría a un hacker entrar por fuerza bruta en tu cuenta, dependiendo de la longitud de su contraseña y del tipo de caracteres que incluye. Lo que harían es ejecutar un programa que intenta sistemáticamente todas las posibles permutaciones de las letras, números y símbolos involucrados en la contraseña hasta que da con la correcta, siendo una potencial victima para un ciberataque.

¿En tu compañía utilizáis una política de contraseñas segura? Desde Prestigia Seguridad, nuestros expertos utilizan técnicas de fuerza bruta en los test de intrusión para identificar posibles contraseñas débiles, no dudes en contactar con nosotros para informarte.

fraudes informáticos covid19 prestigia seguridad
Fraudes informáticos en época de covid19
1020 680 Prestigia

La pandemia mundial de COVID-19 (Coronavirus) sigue afectando a nuestra sociedad de muchas formas. En particular, ha cambiado fundamentalmente la forma en que operan las empresas. De acuerdo con los consejos gubernamentales recientes, muchas empresas ahora operan (en cierta medida o en su totalidad) de forma remota. En tiempos tan inciertos, es importante no perder de vista los riesgos involucrados cuando el personal opera fuera de una organización, en particular la amenaza y los riesgos de los ataques de tipo fraude cibernético.

Para comprender mejor los impactos del COVID-19 en los consumidores, se realizó una encuesta a 9.215 adultos en países tan diversos como EE. UU., Canadá, Colombia, Hong Kong, India, Sudáfrica y el Reino Unido.

Casi tres de cada 10 encuestados (29%) dijeron que habían sido blanco de fraudes informáticos relacionados con COVID-19, siendo los jóvenes los más atacados con un 34%.

Principales tipos de fraudes informáticos a causa del covid19

Con la incertidumbre económica financiera y con un gran número de la población que trabaja desde casa, con redes más o menos seguras, los ciber estafadores han adaptado sus delitos a las circunstancias actuales. Ante la prevención y reacción de los ciberataques conocidos, os dejamos algunos de los fraudes relacionados con la COVID-19 reportados, han incluido:

  • Estafas de compras en línea: relacionadas con la venta de mascarillas faciales y desinfectantes de manos falsos o inexistentes, curas de virus, tratamientos y kits de prueba.
  • Estafas de subvenciones del gobierno: a las empresas se les envían mensajes de texto y correos electrónicos que pretenden ser del gobierno y ofrecen subvenciones y ayudas. Las víctimas siguen un enlace a un sitio web falso del gobierno donde los estafadores capturan su información confidencial.
  • Estafas de inversión: las víctimas reciben consejos de inversión fraudulentos y se les anima a aprovechar la recesión económica invirtiendo su dinero en esquemas falsos.
  • Fraude de facturas: los ciber estafadores se hacen pasar por proveedores y usan el COVID-19 como una razón para cambiar los detalles de la cuenta del beneficiario legítimo por los que pertenecen a los estafadores.
  • Sitios web de proveedores falsos: mientras los proveedores luchan por satisfacer la demanda, las empresas luchan por obtener suministros, los estafadores enumeran las existencias en demanda en sitios web falsos y aceptan el pago sin proporcionar los productos.
  • Estafas de alquiler: los estafadores se hacen pasar por propietarios que ofrecen contratos de alquiler a cambio de depósitos, que se pagan directamente a los responsables del fraude.

Próximos pasos

A pesar de ser uno de los delitos más comunes en todo el mundo, realizar una denuncia y la posterior investigación por un fraude cibernético no es, de ninguna manera, una tarea sencilla. Esto, junto con el hecho de que la dificultad para trazar y perseguir los fondos robados fraudulentamente, pueden ser desproporcionados a la cantidad robada, significa que, tomar cualquier medida puede resultar prohibitivo económicamente para las víctimas. Para los casos más sencillos, presentar una reclamación será lo más efectivo, siempre que se tomen medidas con rapidez.

Por desgracia, no sabemos cuánto durará la situación actual, pero podemos estar en esto a largo plazo y los impactos pueden ser duraderos, por lo que las empresas requerirán ajustes a largo plazo en las prácticas y la cultura de trabajo y la concienciación en ciberseguridad para sus empleados. Y no solo para empleados, ya comentamos algunos consejos a tener en cuenta en el sector educativo mismamente.

Si bien, indudablemente habrá más concienciación y regulación en muchas áreas, las empresas deberán ser proactivas, invertir en ciberseguridad, al igual que evaluar y abordar los nuevos riesgos emergentes y las prioridades cambiantes, adaptándonos a los tiempos que nos toca vivir.

Por último, desde Prestigia Seguridad, podemos implementar en tu empresa las medidas de seguridad mencionadas en el presente artículo, con el fin de mejorar la seguridad y visibilidad de tu compañía y adicionalmente, realiza Test de Intrusión de forma perimetral para minimizar los riesgos de Seguridad de tu compañía, no dudes en contactar con nosotros para informarte.

ataque de ingeniería social prestigia seguridad
Ataque de ingeniería social, qué es y cómo protegerte
1020 680 Prestigia

Son las 11 de la mañana y recibes una llamada del servicio técnico de Microsoft. Un amable operador te solicita información sobre si tu equipo informático utiliza un sistema Windows, a lo cual asientes que sí. Seguidamente, este amable operador te comenta que ha recibido una notificación, indicando que tu equipo podría estar en peligro por una potencial infección, contactando contigo para darte soporte, ante esto, te sientes respaldado por una de las mayores compañías de software del mundo ¿Qué podría pasar? Seguidamente, te solicitan datos personales de tu equipo, usuarios, contraseñas, ¿Qué hacemos en este momento? ¿estamos siendo víctimas de un ataque de ingeniería social? ¿Cuáles podrían ser las consecuencias? Y por último, añadiendo otros ejemplos ¿es normal que nuestro banco nos llame solicitándonos algún tipo de PIN o información confidencial? Si te sientes identificado en con las preguntas citadas anteriores, te recomendamos que leas este articulo donde hablamos sobre los ataques de ingeniería social, uno de los variados ataques de hackers que puedes sufrir.

¿Qué es un ataque de ingeniería social?

La ingeniería social es el término utilizado para una amplia gama de actividades ilícitas realizadas a través de la interacción humana, utilizando la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o entreguen información confidencial.

Los ataques de ingeniería social ocurren en uno o varios pasos. Un ciber atacante investiga primero a la víctima, cara a recopilar información necesaria, como posibles puntos de entrada y protocolos de seguridad débiles, necesarios para continuar con el ataque. Posteriormente, el atacante contacta para ganarse la confianza de la víctima y proporcionar confianza o estímulos para acciones posteriores que rompan las buenas prácticas de seguridad, como revelar información sensible u otorgar acceso a recursos críticos. En este momento habríamos sido victimas de un ataque de ingeniería social, con la posterior repercusión. Ante esto y cara a informar, os dejamos a continuación una serie de ataques para que podáis estar prevenidos.

Ejemplos de ataques

  • Phishing: las tácticas incluyen correos electrónicos, sitios web y mensajes de texto engañosos para robar información. En este caso un filtro antiphishing podría ser una gran solución.
  • Spear Phishing: el correo electrónico se utiliza para llevar a cabo ataques dirigidos contra personas concretas, empresas, pymes o grandes compañías, aquí recomendamos la lectura sobre los ataques de tipo Advanced Persistent Threat.
  • Ataques telefónicos: se engaña a las víctimas haciéndoles creer que un malware está instalado en su equipo para poder robar información del mismo.
  • Tailgating: se basa en la confianza humana para brindar al atacante acceso físico a un edificio o área segura.
  • Vishing: los mensajes de voz urgentes convencen a las víctimas de que deben actuar con rapidez para protegerse del arresto u otro riesgo.
  • Ataque del CEO: otro ejemplo más, donde tras haber obtenido acceso a un correo electrónico de la compañía de un alto cargo, se solicitan transferencias de dinero urgentes a departamentos económicos.

Como protegerte de un ataque de ingeniería social

A continuación, te dejamos una serie de consejos o pautas que podrían ayudar a dar consejos de ciberseguridad básicos, para evitar ser víctimas de este tipo de ataques:

  • No abras ningún correo electrónico de fuentes no confiables. Realiza una verificación incluso telefónica con la persona que te envía el correo, si recibes un mensaje de correo electrónico sospechoso de ellos.
  • No le des a extraños el beneficio de la duda. Si parece demasiado bueno para ser verdad, probablemente no lo sea.
  • Bloquea tu equipo, ya sea portátil o sobremesa siempre que te alejes de tu estación de trabajo.
  • Utiliza un antivirus. Ninguna solución antivirus puede defenderte de todas las amenazas que buscan poner en peligro la información que posees, pero pueden ayudar a protegerse contra algunas. Recomendamos nuestro artículo sobre cómo prevenir malware en tu ordenador.

El único hilo común que une estas técnicas de ingeniería social, es el elemento humano. Los ciberdelincuentes saben que aprovechar las emociones humanas es la mejor forma de robar información a los usuarios.

Tradicionalmente, las empresas se han centrado en los aspectos técnicos de la ciberseguridad, pero ahora es el momento de adoptar un enfoque centrado en las personas para la conciencia de la seguridad cibernética, por ello, desde Prestigia Seguridad, aparte de los artículos con este tipo de consejos, tenemos varias formaciones a empresas y compañías sobre ciberseguridad, concienciación, etc, no dudes en contactar con nosotros para informarte.

sandbox prestigia seguridad
Qué es una Sandbox
1020 680 Prestigia

Una sandbox es un entorno de prueba aislado, que permite a los usuarios ejecutar programas o ejecutar archivos sin afectar la aplicación, el sistema o la plataforma en la que se ejecutan. Los desarrolladores de software usan sandboxes para probar el nuevo código de programación. Los profesionales de ciberseguridad usan las sandbox para probar software potencialmente malicioso. Sin las técnicas de sandboxing, una aplicación u otro proceso del sistema podría tener acceso ilimitado a todos los datos del usuario y los recursos del sistema.

Las sandboxes también se usan para ejecutar de forma segura código malicioso, como hemos comentado, para evitar dañar el dispositivo en el que se ejecuta el código, la red u otros dispositivos conectados. El uso de una sandbox para detectar malware ofrece una capa adicional de protección contra amenazas de seguridad, como ataques APT y exploits que utilizan vulnerabilidades de tipo 0day.

Beneficios de usar una Sandbox

El uso de un entorno limitado para probar los cambios de software, antes de que se activen en entornos productivos, significa que hay menos problemas durante y después de las pruebas, ya que el entorno de prueba está totalmente separado del entorno de producción.

Las técnicas de sandboxing también es ideal para poner en cuarentena las amenazas de tipo 0day (día cero) que explotan vulnerabilidades no reportadas. Aunque no hay garantía de que el sandboxing detendrá las amenazas de día cero, ofrece una capa adicional de seguridad al separar las amenazas del resto de la red. Cuando se ponen en cuarentena las amenazas y el malware, los expertos en ciberseguridad pueden estudiarlos para identificar patrones, lo que ayuda a prevenir futuros ataques e identificar otras vulnerabilidades de la red. También complementa otros programas de seguridad, incluidos el monitoreo de comportamiento y los programas de malware. Ofrece protección adicional contra ciertas cepas de malware que un programa antivirus puede no detectar.

Tipos de Sandbox

A continuación, te comentamos algunos tipos de sandbox que se utilizan usualmente:

  • Navegadores web: un navegador web confiable puede ejecutarse dentro de un sandbox para que, si un sitio web explota una vulnerabilidad en ese navegador, el daño se limita al sandbox y se minimiza.
  • Protección del software: existen herramientas que permiten a los usuarios ejecutar software en el que no confían en entornos limitados para que el software no pueda acceder a sus datos privados o dañar sus dispositivos. Debido a que una sandbox parece ser un sistema completo, el software malicioso generalmente no puede detectar que está restringido a un entorno virtual.
  • Investigación de seguridad: los profesionales de seguridad de la información usan sandbox para la investigación o para detectar código malicioso. Por ejemplo, una herramienta de seguridad podría visitar sitios web para monitorear qué archivos finalmente se modifican o podrían instalar y ejecutar software malicioso.
  • Virtualización: una máquina virtual es básicamente un tipo de sandbox. Este enfoque utiliza un entorno limitado basado en una máquina virtual para contener y examinar programas sospechosos.
  • Aplicaciones móviles: las plataformas móviles ejecutan sus aplicaciones en un entorno limitado. Las aplicaciones para iOS, Android y Windows 8 no pueden hacer muchas de las cosas que pueden hacer las aplicaciones de escritorio estándar. Tienen que validar permisos si quieren hacer algo como acceder a tu ubicación. A cambio, obtenemos algo de seguridad, la sandbox también aísla las aplicaciones entre sí, por lo que no pueden manipularse entre sí.

Hay algunos ejemplos como por ejemplo el sandboxing basado en la nube, el cual ha eliminado por completo la necesidad de servidores localizados. La creación de entornos de sandbox virtuales es ahora una tarea que los departamentos de IT de cualquier empresa pueden realizar.

¿En tu compañía utilizáis estos sistemas para evitar ser infectados? ¿Conocías estos sistemas de contención para evitar que te afecten ciertas vulnerabilidades? Desde Prestigia Seguridad, nuestros expertos utilizan este tipo de sistemas para identificar Malware y adicionalmente somos expertos en eliminar infecciones de sistemas WordPress, no dudes en contactar con nosotros para informarte.

ciberseguridad sector educativo prestigia seguridad
Ciberseguridad en el sector educativo
1020 680 Prestigia

Si eres padre, entonces sabes lo complejo que puede ser explicar ciberseguridad a un niño o adolescente, cuando muchos no entienden completamente cómo funciona Internet, y mucho menos los peligros que Internet puede tener mediante un mal uso. Afortunadamente, tenemos excelentes recursos para compartir con los más pequeños y muchos consejos para que su educación en este aspecto, desde pequeños, sea lo más idónea ante las nuevas tecnologías.

También deben ser advertidos sobre los riesgos que acompañan a todas las aplicaciones para teléfonos móviles y computadoras, que cada día vemos en auge. Con demasiada frecuencia, esto no está sucediendo, los maestros de escuela primaria deberían incluir estos conceptos básicos de ciberseguridad en sus planes de estudio anuales. Como mínimo, cada niño o adolescente debería saber cómo mantener su información privada, abstenerse de responder a extraños e informar sobre cualquier cosa inusual a un adulto. Hoy, muchos no lo hacen y es esto lo que debemos poco a poco ir mejorando.

Los niños pueden absorber esta información como esponjas, en solo un día, a través de varias iniciativas internacionales, existen centros como puede ser INCIBE en España o las propias FCSE que aconsejan a los niños y adolescentes sobre cómo evitar, las contraseñas más comunes, qué información se recopila cada vez que usan las redes sociales y sus peligros al igual que tipo de información deben o no compartir.

Ciberseguridad en el sector educativo, las escuelas

Aprender ciberseguridad, tanto en general como como parte de una carrera profesional, es algo que beneficia a los niños y adolescentes desde una edad muy temprana. Además, los maestros y las escuelas pueden desempeñar un papel importante y fundamental al enseñarles los principios sobre la privacidad y las tecnologías que los pueden mantener seguros.

Los maestros pueden comenzar modelando una buena formación en ciberseguridad, particularmente dado que el conocimiento de la tecnología, es ahora un requisito laboral para la mayoría de empleos y un futuro donde se implanta cada vez más día a día. La educación es un objetivo de alto valor para los padres, que, además del uso de los equipos tecnológicos en la escuela, deberían está mucho más supervisado en el hogar, lo que presenta oportunidades para que los niños desarrollen buenos hábitos que llevan a sus vidas hogareñas.

En definitiva, las escuelas son un lugar ideal para formar conceptos de ciberseguridad de los más pequeños. No solo les permite aprender los principios básicos, sino también formar buenos hábitos y aprender las tecnologías en evolución relacionadas con la ciberseguridad.

Consejos para padres

A continuación, te dejamos una serie de consejos o pautas que podrían ayudar a dar consejos de ciberseguridad básicos a los más pequeños y para vosotros, como padres o tutores:

  • Asegúrate de que todos los dispositivos estén protegidos con las últimas actualizaciones de software y contraseñas robustas para cualquier servicio, aplicaciones, correo, etc.
  • Ten cuidado con lo que acceden en redes Wi-Fi abiertas.
  • Enseña a compórtate en Internet como te gustaría que se comportaran tus hijos.
  • Asegúrese de que cada niño tenga su propia cuenta con los mínimos privilegios posibles.
  • Mantén un equipo solo para niños, en un área que puedas vigilar y ayudarles con cualquier duda.

Estas son solo algunas ideas para ayudar a los más pequeños a mantenerse seguros y saludables mientras crecen en la era digital. Ayudar a los niños a proteger sus vidas digitales les proporciona las herramientas para usar Internet de manera respetuosa y responsable como adultos. Es una oportunidad no solo para asegurar que los niños crezcan para evitar los desafíos que enfrentaron sus padres en los primeros años de Internet, sino también para ser el cambio que queremos ver en el futuro.

Por último, desde Prestigia Seguridad, aparte de los artículos con este tipo de consejos, tenemos varias formaciones a empresas y compañías sobre ciberseguridad, concienciación, etc, no dudes en contactar con nosotros para informarte.

teletrabajar ataques prestigia seguridad
Consejos de Ciberseguridad para teletrabajar y evitar ataques
1020 680 Prestigia

Un número cada vez mayor de empresas está adoptando el teletrabajo, una práctica de rápido crecimiento que es popular entre los empleados y más aún, desde el inicio de la pandemia por el Covid-19. No obstante, las empresas que adoptan esta tendencia deben tomar algunas precauciones de ciberseguridad para teletrabajar, así evitar sorpresas desagradables en términos de protección de datos y ataques.

Cuando utilizas equipos comerciales fuera de los perímetros de seguridad de TI de tu organización, puedes crear un punto de vulneración en la infraestructura de IT de tu organización. Si no estás protegido adecuadamente, estas conexiones remotas desde casa pueden ser explotadas por atacantes o cibercriminales. Es importante proteger tus dispositivos móviles, portátiles, así como cualquier información y datos confidenciales. Las amenazas pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de la información de tu compañía.

Riesgos del teletrabajo

En una encuesta reciente de ciberseguridad, el 86% de los empleados entrevistados dijeron que usaron su equipo personal para fines de trabajo. Al mismo tiempo, el 42% dijo que no actualizaba sus equipos regularmente. Por lo tanto, el desarrollo del teletrabajo, donde los empleados tienen acceso regular a información confidencial, podría ser una pesadilla para los gerentes de TI de la organización.

Se deben planificar tres tipos de riesgo en particular para:

  • Los empleados no puedan acceder a los recursos desde sus equipos personales.
  • Infección de la red organizativa por una brecha de seguridad en el equipo del empleado, donde ya comentamos en los pasos para prevenir malware en tu ordenador.
  • Datos filtrados o perdidos hacia sitios externos a la organización.
  • El acceso físico a dispositivos perdidos, donde recomendamos como borrar de forma correcta tus dispositivos
  • Ingeniería social mediante la cual, los atacantes engañan para que comparta información u otorgue acceso a sus dispositivos.

Para evitar este tipo de problemas, es claramente esencial sensibilizar a los usuarios sobre los problemas de seguridad relacionados con el teletrabajo. Los teletrabajadores necesitan recordatorios periódicos sobre buenas prácticas.

Medidas y trucos de Ciberseguridad para Teletrabajar

Las empresas necesitan implementar medidas prácticas y soluciones técnicas para limitar los riesgos de TI derivados del teletrabajo, te comentamos algunas:

  • Alertar a los empleados sobre posibles intentos de phishing o ataques APT.
  • Es esencial planificar con anticipación y establecer los perfiles de los teletrabajadores, en función de sus atribuciones y la información confidencial a la que pueden tener acceso o no.
  • Implementar la doble autenticación en todas las conexiones VPN para aumentar la seguridad. La principal forma de evitar el ataque de la red comercial es establecer un sistema para identificar a los teletrabajadores cuando inician sesión.
  • Protegiendo los sistemas informáticos, más allá del software antivirus básico, la forma más fácil de evitar la infección cruzada entre la computadora del empleado y la red organizativa es minimizar los derechos de gestión. Esto significa proporcionar a los teletrabajadores un equipo que es estrictamente para uso profesional y que el departamento de TI actualiza regularmente, desde el punto de vista de la seguridad.
  • Garantizar el acceso seguro a los datos cifrados, para asegurar el flujo de datos entre el equipo de trabajo del empleado y la red organizativa, por ejemplo, puedes implementar una VPN (Red Privada Virtual) para evitar fallos en SSL y TLS como ya comentamos en este artículo.

La seguridad para dispositivos es esencial, para proteger tus sistemas y datos, se alienta a los teletrabajadores y a las pequeñas organizaciones a configurar los dispositivos de red teniendo como una buena base de seguridad para evitar que un beneficio como e teletrabajo, pueda tener más perjuicios para a empresa que beneficios.

Por último, desde Prestigia Seguridad, podemos implementar en tu empresa las medidas de seguridad mencionadas en el presente artículo, con el fin de mejorar la seguridad y visibilidad de tu compañía y adicionalmente, realiza Test de Intrusión de forma perimetral para minimizar los riesgos de Seguridad de tu compañía, no dudes en contactar con nosotros para informarte.

fake news prestigia seguridad
Cómo combatir las Fake News
1020 680 Prestigia

Los expertos recomiendan evitar el término fake news o noticias falsas, o al menos limitar su uso, ya que el término fake news está estrechamente relacionado con la política y esta asociación puede limitar el enfoque de la terminología. El término desinformación es preferible ya que puede referirse a una amplia gama de hitos que cubre temas como salud, medio ambiente y economía en todas las plataformas y géneros, mientras que fake news se entiende más estrechamente como noticias políticas, aunque día a día vemos como se extiende mas el uso de esta palabra.

Qué son las Fake News

Muchas de las noticias que lees en Internet, especialmente en tus redes sociales, pueden parecer ciertas, pero a menudo no lo son. Las fake news son noticias, historias o engaños creados para desinformar deliberadamente a los lectores. Por lo general, estas historias se crean para influir en las opiniones de las personas o causar confusión y, a menudo, pueden ser un negocio rentable para los editores de las noticias. Las fake news puede engañar a las personas al parecer sitios web confiables o al usar nombres y direcciones web similares a organizaciones con buena reputación y evitar incluso que tu reputación se vea afectada.

El termino fake news no es nuevo, sin embargo, se ha convertido en un tema candente desde 2017. Tradicionalmente, recibimos nuestras noticias de fuentes confiables, periodistas y medios de comunicación que deben seguir estrictos códigos de práctica. Sin embargo, Internet ha permitido una nueva forma de publicar, compartir y consumir información y noticias con muy poca regulación o estándares editoriales. Muchas personas ahora reciben noticias de las redes sociales y, a menudo, puede ser difícil contar si las historias son creíbles o no. La sobrecarga de información y la falta general de comprensión sobre cómo funciona Internet por las personas también ha contribuido a un aumento de fake news o noticias falsas. Las redes sociales pueden desempeñar un papel importante para aumentar el alcance de este tipo de historias.

Consejos para detectar las Fake News

A continuación, comentamos los principales consejos:

  • Desarrollar una mentalidad crítica: Una de las principales razones por las que las fake news son un problema tan grande que a menudo son creíbles, lo que significa que es fácil ser engañado. Muchas fake news también se escriben para crear un valor de «choque», esto significa que es esencial que mantengas tu respuesta emocional a tales historias bajo control. En cambio, acercarte a lo que ves y oyes de manera racional y crítica seria lo ideal.
  • Verificar la fuente de la noticia: Si te encuentras con una historia de una fuente de la que nunca has oído hablar antes o no esté bien posicionada, ¡duda! Investiga más sobre el editor. Siempre dudar de URL extrañas que terminan en extensiones como «.infonet» y «.offer», en lugar de «.com» o «.co.uk», o que contienen errores ortográficos, pueden significar que la fuente es sospechosa.
  • Verificar quién más está informando la historia: Comprobar si la historia ha sido recogida por otros editores de noticias conocidos. Las historias de organizaciones como Reuters, CNN y BBC, habrán sido revisadas y verificadas de antemano. Si la información que tienes no proviene de una fuente conocida como estas, existe la posibilidad de que pueda ser falsa.
  • Examinar las evidencias: Una noticia creíble incluirá muchos hechos: citas de expertos, datos de encuestas y estadísticas oficiales, por ejemplo. Si faltan o la fuente es un experto desconocido o un «amigo», ¡duda!
  • Buscar imágenes falsas: El software de edición de imágenes moderno ha facilitado a las personas la creación de imágenes falsas que se ven profesionales y reales. De hecho, la investigación muestra que solo la mitad de nosotros puede saber cuándo las imágenes son falsas. Sin embargo, hay algunas señales de advertencia que puede tener en cuenta. Sombras extrañas en la imagen, bordes irregulares alrededor de una figura, etc.
  • Comprobar que «suene bien»: Finalmente, usa tu sentido común, si una historia suena increíble, probablemente lo sea. Tened en cuenta que las fake news están diseñadas para alimentar sus prejuicios o miedos.

En conclusión, las fake news o noticias falsas se refieren a falsedades o historias deliberadas que contienen algo de verdad, pero que no son completamente precisas. Algunas personas también afirman que las historias verdaderas son «noticias falsas», simplemente porque no están de acuerdo con ellas.

Por último, desde Prestigia Seguridad, nuestro equipo tiene la capacidad de analizar en fuentes abiertas este tipo de noticias y estamos especializados en posicionamiento en Internet, con el fin de mejorar la seguridad y visibilidad de tu compañía.

herramientas sast dast prestigia seguridad
Qué son las herramientas SAST y DAST
1020 680 Prestigia

Se estima que el 90 por ciento de los incidentes de seguridad son el resultado de atacantes que explotan errores de software conocidos. Debemos decir que, eliminar esos errores en la fase de desarrollo del software, podría reducir los riesgos de seguridad que enfrentan muchas organizaciones hoy en día. Para hacer eso, hay varias tecnologías disponibles para ayudar a los desarrolladores a detectar fallas de seguridad, antes de que se conviertan en una versión final de software, donde incluiríamos SAST (Static application security testing) y DAST (Dynamic Application Security Testing).

Conceptos de SAST y DAST

SAST y DAST son metodologías de pruebas de seguridad de aplicaciones que se utilizan para encontrar vulnerabilidades o deficiencias de seguridad que pueden hacer que una aplicación, sea susceptible a ataques. La prueba de seguridad de aplicaciones estáticas (SAST) es un método de prueba de caja blanca, donde se examina el código fuente para encontrar fallos y debilidades del software, como las inyecciones de SQL y otras que figuran en el Top 10 de OWASP.

Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una metodología de pruebas de caja negra que examinan una aplicación mientras se ejecuta, para encontrar vulnerabilidades que un atacante podría aprovechar.

A esto debemos sumar elegir un alojamiento web seguro, protegido e implementando siempre los últimos parches de seguridad.

SAST vs DAST

A continuación, comentamos las principales diferencias:

  • SAST: es una prueba de seguridad de aplicaciones estáticas, es decir, analiza una aplicación sin ejecutarla. Hay una variedad de formas de hacerlo, desde la revisión manual hasta análisis de métricas con herramientas automáticas, análisis de patrones y análisis de flujos de datos. Esto se considera prueba de caja blanca. Con mayor frecuencia, los usuarios de SAST se preocupan por el análisis del flujo de datos porque les permite buscar problemas de seguridad, como datos no validados antes de que se ejecute en la aplicación.

Las pruebas anteriores son mejores, porque cuestan mucho menos, por lo que la principal ventaja de SAST es que se puede auditar antes, mucho antes de que la aplicación o el sistema completo esté listo. Con el análisis SAST, se tiene un profundo conocimiento interno del código fuente para que se sepa exactamente qué código está involucrado con un fallo de seguridad y poder solventarlo.

  • DAST: DAST es prueba de seguridad de aplicaciones dinámico. Esto significa que auditaremos una aplicación (o dispositivo) en funcionamiento, generalmente a través de sus entradas e interfaces (aplicación web, móvil, etc). Esto es una prueba de caja negra, en el sentido de que está utilizando la aplicación sin mirar sus componentes internos (código fuente).

La mayor ventaja de DAST es que obviamente serán pruebas realistas que tendrán en cuenta la aplicación completa y su uso por parte del usuario final para identificar vulnerabilidades. En segundo lugar, las pruebas DAST no dependen de un conocimiento profundo del código fuente.

Tener una estrategia SAST sólida que incorpore revisiones y auditorias de código de detección temprana de vulnerabilidades y estándares de codificación seguros, como CERT es la forma más completa de asegurar una aplicación y dejar de tener los mismos problemas de seguridad una y otra vez. Pero, para complementar, con una auditoria de tipo DAST podemos conectar SAST con lo que DAST está haciendo y ejecutando en tiempo real, reportando nuestras actividades SAST con información obtenida de DAST y evitar por ejemplo que nuestros sistemas formen parte de una Botnet por un ataque.

Al usar SAST y DAST combinados, trabajas con lo que nos gusta pensar como una mentalidad a prueba de fallos de seguridad, previniendo a futuro incidentes de seguridad. En un entorno seguro por diseño, a prueba de fallos, es interesante también que adoptamos el enfoque de la arquitectura, ciframos bases de datos, aplicando parches de vulnerabilidades, etc. De esa manera, el comportamiento de nuestra aplicación o proyecto, de forma predeterminada será seguro o minimizaremos de forma considerable potenciales fallos o vulnerabilidades, gracias a las pruebas de SAST y DAST.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad tanto a nivel de código (SAST) como auditorias dinámicas (DAST) a una de aplicaciones web y CMS, que contemplan auditorias en sistemas de acceso con Smart Cards, con el fin de mejorar la seguridad de tu compañía.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.