Entradas Etiquetadas :

ciberseguridad

roles ciberseguridad prestigia seguridad
Roles en ciberseguridad ¿Quién es quién?
1020 680 Prestigia

Los roles y títulos en el sector de la ciberseguridad a menudo implican responsabilidades que se superponen un poco y pueden ser amplios o especializados según el tamaño y las necesidades especiales de la empresa. Los roles típicos son analista de seguridad, ingeniero de seguridad, administrador de seguridad, arquitecto de seguridad, especialista en seguridad y consultor de seguridad, pero en un entorno empresarial puede haber muchos más, que te detallaremos en el siguiente punto.

Los cibercriminales dependen del error humano para infiltrarse en las organizaciones mediante ataques de ingeniería social, por lo que es tan importante tener vínculos entre los recursos humanos y los roles técnicos dentro de la ciberseguridad. Con demasiada frecuencia, el trabajo de garantizar que todos los empleados comprendan la importancia de las prácticas de seguridad recae en el departamento equivocado. Se necesitan roles de ciberseguridad no técnicos para mantener a las grandes organizaciones enfocadas en proteger sus datos.

Roles y responsabilidades en ciberseguridad

A menudo se asume que los roles de ciberseguridad serán extremadamente técnicos, pero no siempre es así. Cuando se trata de roles de liderazgo, los títulos se explican por sí mismos. El director de seguridad de la información (CISO) y el director de seguridad (CSO) son las personas que supervisan toda la ciberseguridad, cuando se trata de mantener a la empresa a salvo de las amenazas cibernéticas, la responsabilidad se detiene ahí.

Al igual que el CISO y el CSO, hay roles como el director de seguridad, que pueden tener diferentes nombres y áreas de enfoque según el tipo de empresa y su tamaño. Por ejemplo, un CISO puede tener un director de seguridad en la nube y un director de seguridad de la información o fraudes informáticos que les reporta. Otros roles de liderazgo enfocados a nivel técnico serían los siguientes:

  • Analista de seguridad: analiza y evalúa las vulnerabilidades en la infraestructura (software, hardware, redes), investiga las herramientas de hacking disponibles y las contramedidas para remediar las vulnerabilidades detectadas y recomienda soluciones y mejores prácticas. Analiza y evalúa el daño a los datos / infraestructura como resultado de incidentes de seguridad, examina las herramientas y procesos de recuperación disponibles y recomienda soluciones. Pruebas de cumplimiento de políticas y procedimientos de seguridad. Puede ayudar en la creación, implementación y / o administración de soluciones de seguridad.
  • Ingeniero de seguridad: realiza monitoreo de seguridad sobre ataques, seguridad y análisis de datos / registros, y análisis forense, para detectar incidentes de seguridad y monta la respuesta a incidentes. Investiga y utiliza nuevas tecnologías y procesos para mejorar las capacidades de seguridad e implementar mejoras.
  • Arquitecto de seguridad: diseña un sistema de seguridad o los componentes principales de un sistema de seguridad, y puede encabezar un equipo de diseño de seguridad que crea un nuevo sistema de seguridad. Puede realizar auditorías SAST y DAST.
  • Administrador de seguridad: instala y administra los sistemas de seguridad de toda la organización. También puede asumir algunas de las tareas de un analista de seguridad en organizaciones más pequeñas.
  • Criptógrafo / Criptoanalista: utiliza el cifrado para proteger la información o para crear software de seguridad. También trabaja como investigador para desarrollar algoritmos de cifrado más sólidos. Analiza la información cifrada para descifrar el código / cifrado o para determinar el propósito de software malicioso.
  • Consultor especialista en seguridad: abarca cualquiera o todos los demás roles, encargados de proteger computadoras, redes, software, datos y sistemas de información contra virus, malware, detección de intrusiones, accesos no autorizados, ataques de denegación de servicio y una lista cada vez mayor de ataques de piratas informáticos que actúan como individuos o como parte del crimen organizado o gobiernos extranjeros.

En conclusión, los roles profesionales en ciberseguridad están interconectados por la tecnología de formas que eran inimaginables hace apenas unas décadas. Los nuevos ataques, nuevas tecnologías y los potentes dispositivos que la mayoría de nosotros tenemos en el bolsillo permiten una cultura de conveniencia y la capacidad de colaborar y ser más productivos en el entorno empresarial.

En vuestra empresa, ¿tenéis definidos los roles IT? ¿valoráis diferencial roles de gestión de roles técnicos? Desde Prestigia Seguridad, nuestros expertos tienen la capacidad de realizar auditorías de aplicaciones móviles o analizar infecciones de malware en tus dispositivos desde una perspectiva 100% técnica, no dudes en contactar con nosotros para informarte.

Inteligencia artificial ciberseguridad prestigia seguridad
Inteligencia artificial y ciberseguridad
1020 680 Prestigia

La IA (Inteligencia Artificial) está cambiando el mundo de la ciberseguridad, analizando cantidades masivas de datos de riesgo para acelerar los tiempos de respuesta y aumentar las operaciones de seguridad con escasos recursos.

A medida que los ciberataques aumentan en volumen y complejidad, la inteligencia artificial está ayudando a los analistas de operaciones de seguridad con escasos recursos a adelantarse a las amenazas. La IA proporciona información instantánea para ayudarte a combatir el ruido de miles de alertas diarias, lo que reduce drásticamente los tiempos de respuesta.

Como puede ayudar la IA en el ámbito de la ciberseguridad

La IA está mejorando significativamente la duración necesaria para identificar deficiencias y ataques sospechosos en sitios web. Por ejemplo, en 2016, Google incluyó en la lista negra unos 20.000 sitios por tener malware y otros 50.000 por estafas de phishing cada semana. Teniendo en cuenta estas cifras, puede determinar fácilmente que esto significa que unos 280.000 sitios se ven afectados cada mes. Ahora, si bien los humanos son rápidos, no son lo suficientemente rápidos como para escudriñar millones de sitios cada mes e identificar 280.000 sitios web sospechosos.

La IA se entrena consumiendo miles de millones de datos de fuentes estructuradas y no estructuradas, como blogs y noticias. A través de técnicas de aprendizaje automático y aprendizaje profundo, la IA mejora su conocimiento para «comprender» las amenazas de ciberseguridad y el riesgo. Recopila conocimientos y utiliza el razonamiento para identificar las relaciones entre las amenazas, como archivos maliciosos, direcciones IP sospechosas o personas con información privilegiada. Este análisis toma segundos o minutos, lo que permite a los analistas de seguridad responder a las amenazas de una forma rápida.

Gracias a la IA, elimina las tareas de investigación que consumen mucho tiempo y proporciona un análisis de riesgos curado, lo que reduce la cantidad de tiempo que los analistas de seguridad tardan en tomar decisiones críticas y lanzar una respuesta orquestada para remediar la amenaza.

Toma de decisiones mediante IA

Uno de los principales riesgos de seguridad para los sistemas de IA es la posibilidad de que los adversarios comprometan la integridad de sus procesos de toma de decisiones para que no tomen decisiones de la manera que sus diseñadores esperarían o desearían. Una forma de lograr esto sería que los adversarios tomen el control directamente de un sistema de IA para que puedan decidir qué resultados genera el sistema y qué decisiones toma. Alternativamente, un atacante podría intentar influir en esas decisiones de manera más sutil e indirecta mediante la entrega de entradas maliciosas o datos de entrenamiento a un modelo de IA.

Por ejemplo, dentro de los posibles sectores que podrían recibir un ciberataque, un adversario que quiera comprometer un vehículo autónomo para que sea más probable que sufra un accidente podría aprovechar las vulnerabilidades del software del automóvil para tomar decisiones de conducción por sí mismo. Sin embargo, acceder de forma remota y explotar el software que opera un vehículo podría resultar difícil, por lo que un adversario podría intentar hacer que el automóvil ignore las señales de alto desfigurando el área con pintadas. Por lo tanto, el algoritmo de visión por computadora no podría reconocerlos como señales de alto. Este proceso mediante el cual los adversarios pueden hacer que los sistemas de IA cometan errores al manipular las entradas se llama aprendizaje automático adversario. Los investigadores han descubierto que pequeños cambios en las imágenes digitales que son indetectables para el ojo humano pueden ser suficientes para hacer que los algoritmos de IA clasifiquen erróneamente esas imágenes por completo.

Definitivamente, cada vez podemos observar más conceptos como Inteligencia Artificial en el ámbito de la ciberseguridad, algo que hasta hace poco para nosotros era digno del cine de ciencia ficción, pero a día de hoy lo tenemos ya en nuestras redes sociales, vehículos de conducción autónoma, e incluso sistemas de ciberdefensa para la toma de decisiones ¿creéis que es el futuro? O el humano debería seguir en primera línea en la toma de decisiones.

Por último, desde Prestigia Seguridad no queremos dejar de aconsejar como lectura recomendada la entrada sobre errores comunes en la gestión de la seguridad en empresa y recomendar la contratación de profesionales para ejecutar test de seguridad que eviten poner en riesgo los datos de la compañía frente a cibercriminales.

leyes ciberseguridad prestigia seguridad
Qué leyes nos afectan en el ámbito de la ciberseguridad
1020 680 Prestigia

La ciberseguridad se compone de un compendio de leyes, ya que no existe una única que regule todo. Más precisamente, las Leyes de Ciberseguridad introducen un sistema de certificación de seguridad de las TIC a cumplir por las organizaciones. Este objetivo específico, intentará resolver el problema de los numerosos esquemas de certificación existentes en algunas compañías. Hace algunos meses ya hablamos sobre el reglamento general de protección de datos (GDPR) y por ello, las leyes de Ciberseguridad proporcionarán un marco general, con un conjunto de reglas que regirán los esquemas de certificación para categorías específicas de productos y servicios, para garantizar que esos futuros esquemas de certificación serán reconocidos válidamente con el fin de seguir una unificación de pauta a seguir.

Obligaciones para las empresas

El primer paso que deben ejecutar todas las pymes o grandes organizaciones es identificar y analizar las áreas de riesgo durante el procesamiento de datos personales, mediante la preparación de un inventario de todas las actividades de tratamiento realizadas por la compañía. Este enfoque requiere una actitud proactiva de cada organización, que debe establecer las medidas necesarias para minimizar sus riesgos. En los casos en que se detecten tratamientos con un alto nivel de riesgo para los derechos y libertades de las partes interesadas, se debe realizar una Evaluación de Impacto de Protección de Datos (DPIA) y la empresa debe introducir las medidas necesarias para mitigar los riesgos.

Esta obligación también se extiende a las compañías, que pueden tener consecuencias importantes económicas. Por lo tanto, las empresas deben asegurarse de implementar todos los procedimientos que permitan detectar, informar e investigar violaciones de seguridad.

Algunas leyes que te pueden afectar

A continuación, te comentamos algunas leyes que pueden afectar a tu pyme o compañía:

  • LOPD: La LOPD establece un conjunto de principios, derechos y deberes que las organizaciones deben cumplir. Su objetivo principal es garantizar que los datos proporcionados por los usuarios se traten de la manera correcta. Por esta razón, aquellas empresas, asociaciones, administraciones o trabajadores independientes que manejan datos personales a diario.
  • GDPR: El 25 de mayo de 2016, entró en vigencia el Reglamento General de Protección de Datos (GDPR). Este nuevo Reglamento es aplicable a partir del 25 de mayo de 2018 a nivel Europeo. A diferencia de lo que sucedió con la Directiva 95/46 / CE, GDPR es directamente aplicable y, por lo tanto, no necesita ninguna ley nacional para implementarlo. Por lo tanto, desde el 25 de mayo de 2018, el GDPR se aplica a todas las empresas que operan en la Unión Europea, reemplazando a la LOPD.
  • ISO 27001: El estándar ISO 27001 está diseñado para funcionar como un marco para el sistema de gestión de seguridad de la información (SGSI) de una organización. Esto incluye todas las políticas y procesos relevantes sobre cómo se controlan y usan los datos. ISO 27001 no exige herramientas, soluciones o métodos específicos, sino que funciona como una lista de verificación de cumplimiento.
  • PCI-DSS: La normativa PCI DSS se aplica a cualquier organización (independientemente del tamaño o número de transacciones) que acepte, almacene, transmita o procese los datos del titular de la tarjeta. Si tu compañía o pyme trabaja con tarjetas de crédito, la normativa PCI-DSS te aplica. Incluso si has subcontratado todas las actividades de PCI DSS a un tercero, aún serás responsable de garantizar que todas las partes contratadas cumplan con el Estándar. Si eres un proveedor de servicios, incluido un desarrollador de software, la normativa PCI DSS te aplica si procesas, transmites o almacenas datos del titular de la tarjeta, o si tus actividades afectan la seguridad de los datos del titular de la tarjeta mientras se procesan, transmiten o almacenan.

¿Sabías que puede haber normativas que podrían afectar y desconocías? ¿Tienes dudas específicas de alguna de ellas? Desde Prestigia Seguridad, nuestros expertos pueden asesorarte en este tipo de directivas al igual que realizar distintas auditorias de seguridad para su cumplimiento, no dudes en contactar con nosotros para informarte.

extensiones para mejorar la seguridad de tu navegador
Extensiones para mejorar la seguridad de tu navegador
1024 690 Prestigia

En esta entrada vamos a escribir sobre cuáles son las mejores extensiones para mejorar la seguridad de tu navegador, mientras los utilizas en tu ordenador personal o el ordenador de tu empresa. Tus datos y los datos que gestiona tu empresa, están en una continua exposición a no ser que tomes las medidas apropiadas y cuentes con herramientas que te ayuden a mejorar tu seguridad online.

En nuestro post principales tipos de ataques hacker que existen, verás cuáles son los ataques más utilizados y en qué consisten cada uno de ellos.

¿Cuáles son los navegadores más seguros?

Seguramente en tu empresa utilizas Google Chrome o Mozilla Firefox, por este motivo vamos a enseñarte a configurar las mejores extensiones para mejorar la seguridad de tu navegador, así proteger tus datos personales y los datos que gestiona tu empresa.

Antes de mostrar cuáles son dichas extensiones, te daremos información sobre los distintos navegadores mencionados en el párrafo anterior, para que puedas valorar cuál utilizar en relación a la seguridad que proporcionan.

Google Chrome

Google Chrome es el navegador más utilizado en todo el mundo, esto es debido, entre otras cosas, a sus buenas prácticas para proteger al usuario de ciberataques. Como pudiste ver en nuestro anterior post 5 ventajas de implementar un certificado SSL, Google Chrome te avisa si estás navegando por una página web que no tenga un protocolo HTTPS. Gracias a esta función Google Chrome te avisa frente a posibles amenazas por páginas web con código malicioso o cuando haya altas probabilidades de sufrir un ataque phishing.

Mozilla Firefox

En el 2017 Firefox lanzó la versión Quantum. Esta actualización dedica mayor atención a la seguridad de navegación del usuario y su privacidad. Mediante la implementación de una capa de seguridad basada en sandbox, Firefox pasa de ejecutar todo el código en el mismo proceso, a que sean varios procesos limitados en acceso los que ejecuten el código. Otra de las mejoras incluidas para mejorar la seguridad delnavegador Firefox, es la navegación privada con protección contra rastreo que se encarga de bloquear el contenido por posibles amenazas y evitar trazabilidad por parte de terceros.

Otro navegador como Internet Explorer, ha sufrido una devastadora caída a causa de sus problemas con la ciberseguridad.

¿Cuáles son las mejores extensiones para mejorar la seguridad de tu navegador?

Una vez repasados los dos navegadores más utilizados en el mundo, te mostraremos cuáles son las mejores extensiones compatibles con ambos navegadores, para mejorar la seguridad de tu equipo. Con estas extensiones podrás delimitar cuáles son los datos que recogen las páginas web por las que navegas y junto a un buen antivirus y nuestros consejos para mejorar la ciberseguridad de tu pyme, lograrás una mejor protección ante posibles ciberataques.

LastPass 

LastPass es una de las extensiones imprescindibles para mejorar la seguridad de tu navegador. Esta extensión, es un gestor de contraseñas gratuito encargado de almacenar todas tus contraseñas y las contraseñas que utilizas para tus gestiones empresariales en la nube de forma cifrada.

El panel de control donde se almacenan las contraseñas está protegido con una contraseña maestra, desde Prestigia Seguridad recomendamos no almacenar esta contraseña en ningún ordenador o dispositivo conectado a una red, así evitarás que sea robada y puedan acceder a las contraseñas guardadas.

Otras funciones que ofrece la extensión para mejorar tu seguridad online, es la posibilidad de sincronizar tu cuenta con otros navegadores y la capacidad de compartir contraseñas de manera cifrada con otros usuarios que la utilicen.

HTTPS Everywhere

Es una extensión de código abierto que se encarga de forma automática que las páginas web que visitas con tu navegador, utilicen siempre que sea posible conexión HTTPS en lugar de HTTP.

Esta extensión incluye una función denominada observatorio SSL, utilizada para determinar una vez analizados los certificados de clave pública, si eres vulnerable a un ciberataque.

Privacy Badger

Privacy Badger es otra de las extensiones que te ayudan a mejorar la seguridad de tu navegador, con la intención de mejorar tu privacidad ante el proveedor de contenido, bloqueando cookies y anuncios de terceros que buscan rastrear tus movimientos en Internet.

Esta extensión te ofrece la posibilidad de sincronizarla con otro navegador, así tus preferencias de bloqueo se mantienen siempre que estés navegando por internet.

Como usuario tienes la posibilidad de marcar los límites dentro de la extensión, bloqueando completamente a los rastreadores o solo las Cookies.

Y tú, ¿Qué navegador utilizas para mantener una buena seguridad online?, ¿has utilizado alguna extensión para mejorar la seguridad de tu navegador?, ¿conocías las extensiones de seguridad?, ¿te sientes protegido cuando navegas por internet?

Recuerda, en Prestigia Seguridad ofrecemos servicios de seguridad en Internet como: Seguridad de entornos Web, Seguridad en servidores Linux, seguridad en E-mail y Seguridad en WordPress para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

ciberseguridad en vacaciones
Ciberseguridad en vacaciones: que nada te amargue la fiesta
1020 691 Prestigia

Bajar las persianas, cerrar puertas y ventanas a cal y canto, avisar al vecino de que nos marchamos…Estas son algunas de las cosas que hacemos cuando pasamos fuera de casa la época estival. Son una serie de medidas básicas para mantener el hogar seguro y protegido de posibles cacos que aprovechan el verano y las casa vacías para cometer sus fechorías.

Si también bajas la persiana de tu empresa en agosto -o tu equipo de IT se va de vacaciones-, no está de más tomar algunas medidas de ciberseguridad para proteger tu web, tu negocio online o los datos de tu compañía. En definitiva, se trata de ser precavido con tu seguridad digital:

  1. La regla número uno: revisa las contraseñas de acceso y su fortaleza. Y tampoco dejes escrito en un papel o envies por email las contraseñas.
  2. No hagas clic en enlaces sospechosos ni descargues archivo cuya procedencia desconozcas o no sean 100% fiables. Tras este tipo de situaciones suele esconderse un virus o malware dispuesto a hacer mucho daño.
  3. Antes de hacer la maleta, haz una copia de seguridad. De esta forma podrás marcharte tranquilo. Todos tus datos estarán a salvo en caso de sufrir algún robo o percance durante las vacaciones.
  4. Chequea la seguridad de la red wifi de la empresa (WPA) y habilitar una red wifi distinta para invitados. De esta forma, los dispositivos que se conecten tendrán acceso a Internet pero no a tu red privada. Si bajas la persiana durante unas semanas, directamente puede desconectar el wifi.
  5. Aplica un filtro web o software de control de contenidos para evitar el acceso a determinadas páginas web que puedan poner en riesgo la seguridad de tu empresa.
  6. Formación del personal. En verano suelen incorporarse nuevas personas al equipo humano de una compañía. Es importante que aprendan y tenga claro las políticas de seguridad y buenas prácticas.
  7. Asegúrate de que tus proveedores tiene actualizados los datos de contacto de la persona responsable ante una posible incidencia. Y garantiza que tu plan de contingencia y recuperación ante desastres está al día antes de marcharte. Ante una ausencia, es importante que quede claro cómo actuar para actuar de forma eficaz y eficiente ante un imprevisto.
  8. Cuidado con la temperatura. Tu piel sufre ante la exposición solar y los aparatos electrónicos también son víctima de las altas temperaturas. Para evitar desperfecto o roturas de los equipos informáticos, vigila especialmente la temperatura y la humedad.

Una vez que hayas dejado la ciberseguridad de tu empresa en buenas manos, no olvides también de protegerte a ti mismo. Así que…

  1. No te fies de las conexiones externas. El Wifi suele ser un reclamo para muchos pero recuerda que no es una red segura y tu información personal puede quedar al descubierto. Si quieres evitar verte inmerso en un pishing, extrema la seguridad. No realices operaciones confidenciales con Wifi o usa sólo redes oficiales.
  2. Sé discreto en redes sociales. Sabemos que el postureo en verano está a flor de piel pero…si vas proclamando tu día a día…los delincuentes se percatarán de que tu negocio, o incluso tu casa, están vacíos.

Estas son solo algunas medidas básicas para mantener la seguridad en vacaciones. Ante la duda, recuerda la regla principal: tener sentido común. Y si tienes alguna duda más sobre cómo fortalecer tu ciberseguridad en vacaciones o quieres contratar un servicio de mantenimiento y seguridad para despreocuparte de la seguridad estas vacaciones, ¡contacta con Prestigia Seguridad!

seguridad en redes sociales
10 consejos de seguridad en redes sociales
1024 692 Prestigia

En nuestro último post os hablábamos sobre los riesgos de seguridad en redes sociales. Internet es el caldo de cultivo perfecto para miles de hackers que atacan bajo el anonimato y aprovechan nuestra desprotección.

Para evitar los riesgos no hay nada mejor que tener sentido común y actuar de forma preventiva. Si un ataque te pilla con la guardia alta será más fácil que puedas combatirlo y frenarlo. Así que aquí os dejamos con 10 consejos de seguridad en redes sociales:

  1. Utiliza contraseñas seguras. Es el más repetido de nuestros consejos pero es que es una verdad como un templo. Olvídate de nombres, día de nacimiento o fechas de aniversarios. Crea una contraseña única, de al menos ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales (asterisco, barra,…). A eso se le llama contraseña robusta y es la que mejor te protege.
  2. No guardes tus contraseñas en el navegador. De nada sirve tener una contraseña fuerte si tu ordenador las tiene guardadas de forma automática. Es muy cómodo pero cualquiera que hackee tu ordenador o si te lo roban, podría acceder a ellas y a toda tu información y contactos.
  3. Desconfía de los sitios que no empiecen por https. Implementar un certificado SSL tiene sus ventajas y no hacerlo sus desventajas. Si estás en una web cuya URL no incorpora el certificado de seguridad, ándate con más ojo, el riesgo es mayor.
  4. ¿Compartes ordenador? Usa sesión privada y no olvides cerrar la sesión en todas tus redes sociales para evitar que alguien pueda acceder a tus datos personales.
  5. Lee antes de autorizar. Seguro que en más de una ocasión Facebook, Instagram o cualquier red social que tienes instalada en tu móvil te ha solicitado permisos por parte de alguna app asociada a estas redes antes de realizar algún tipo de acción. Destierra la mala costumbre de aceptar sin leer y tu seguridad en redes sociales será más fiable. Existen apps maliciosas que logrando estos permisos de tus principales redes, te roban la información.
  6. Configura tu privacidad. Como en el punto anterior de estos consejos de seguridad en redes sociales, es probable que no te hayas preocupado mucho de tu privacidad. ¡Hazlo! Tan solo te llevará cinco minutos acceder a la configuración y ver hasta qué punto están tus datos expuestos. Revisa y actualiza en función de tus necesidades o preferencias. Y sobretodo, si de verdad no quieres que algo se sepa, no lo cuelgues porque no hay medio digital que sea infranqueable.
  7. Piensa y luego publica. Las redes sociales ofrecen anonimato pero también exposición a tu vida personal y privada. Todo lo que publiques quedará registrado en Internet y algún día puede ser público.
  8. Cuidado con la localización y el GPS. Tu actividad deja rastro en la red y no es muy difícil rastrear dónde has estado o qué has hecho con tan solo leer algunos comentarios o ver tus imágenes. Especialmente si también usas las opciones de localización. Por ejemplo, ¿estás seguro de publicar a cada minuto tu ubicación? Podrías estar alertando a posibles ladrones de que no estás en casa.
  9. ¡Ojo con los links! En redes sociales circulan miles de links al día que ocultan malware. Antes de hacer clic, fíjate en el enlace y quien te lo ha enviado. Ante cualquier sospecha, mejor no lo abras.
  10. Sentido común. El menos común de los sentidos y el que más flojea cuando nos dejamos llevar por la inmediatez y la rapidez en las redes sociales. La mayoría de malware o ataques requiere interacción por parte del usuario para llevarse a cabo…así que afina tu olfato en internet y no se lo pongas fácil a los delincuentes que circulan por la red.

¿Qué te han parecido estos 10 consejos de seguridad en redes sociales? Sencillos, ¿verdad? Son fáciles de aplicar así que ya no tienes excusas para navegar tranquilo por las redes sociales. ¡Disfrútalas pero con precaución!

redes sociales seguridad
Las redes sociales ponen en riesgo la seguridad de tu empresa
1024 690 Prestigia

Que las redes sociales forman parte de nuestra vida es una realidad innegable. De hecho, han llegado incluso a colarse en nuestro trabajo. Algo que para muchos es un error y no les gusta. Sobre si el uso de las redes sociales en el trabajo es bueno o malo…no debatiremos en este post. Lo que nos atañe hoy es hablar sobre la seguridad en las redes sociales que usamos durante la jornada laboral.

Existen millones de usuarios con un perfil en Facebook, Twitter, Instagram, LinkedIn, WhatsApp, Telegram y otras decenas de redes sociales habidas y por haber. En las redes se publican a diario millones de contenidos e información. Por eso, no es de extrañar que sea un nicho muy atractivo para hackers deseosos de llevar a cabo algún tipo de actividad maliciosa. Y los perfiles en redes sociales de las empresas no están exentos de estos riesgos de seguridad.

Riesgos en el uso de redes sociales en el trabajo

WhatsApp: A pesar de disponer email o de poder realizar llamadas telefónicas, hay quien comenta cuestiones laborales a través de los grupos de WhatsApp. Sabemos que es realmente cómodo y rápido, sobre todo desde que existe WhatsApp Web, sin embargo, también es arriesgado. De hecho, hasta el CNI cuenta con un informe sobre los riesgos de uso de WhatsApp.

En primer lugar, esta aplicación no fue diseñada para compartir información confidencial o delicada de los negocios. En este sentido, a pesar de que los mensajes están encriptados, la empresa no tiene ningún tipo de control sobre la información que se comparte. Eso sin tener en cuenta el uso del metadata en este tipo de plataformas, lo que puede dar pie a revelar más información de la que nos gustaría.

Por otra parte, para los que usan la versión de escritorio de WhatsApp, cabe recordar que se desconoce si las conversaciones están realmente protegidas en el ordenador. Además, existe el riesgo de no cerrar la sesión al marcharte de la oficina y que las conversaciones, tanto personales como laborales, estén al alcance todos.

Telegram. Se ha convertido en un canal de riesgo para empresas y usuarios que pueden caer en manos de ciberdelincuentes. Un informe del CNI alerta de riesgos de seguridad especialmente en dos puntos: el protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat.

Una de las grandes ventajas de Telegram es que los grupos de chat, es decir, los canales, permiten enviar mensajes a un número ilimitado de suscriptores. Sin embargo, la respuesta a cualquier mensaje público es privada. Por lo tanto, los hackers lo tienen fácil para esconderse y atacar en esta red social. En este sentido, según un artículo de Check Point, en la red social se pueden encontrar anuncios de usuarios ofreciéndose a cometer delitos cibernéticos, lo que facilita que, bajo mensajes cifrados y con una personalidad anónima, puedan contactar de forma segura y fácil con interesados en este tipo de  “servicios”.

Facebook: Según Kaspersky, el 60% del phishing en redes sociales se relaciona con páginas falsas de esta red social. Estas cifras son realmente alarmantes y nos ponen al día sobre la necesidad de ser más  precavidos con nuestra actividad en redes sociales.

Tampoco podemos olvidarnos sobre los riesgos de privacidad, sobre todo desde que se supiera el escándalo de Facebook y Cambridge Analytica. Otro riesgo también habitual es el scamming, es decir, la estafa en medios electrónicos. Lo habitual en estos casos es que la cuenta de Facebook (o de otra red social) sea infectada con un virus que comparte imágenes y contenido que enlazan a webs fraudulentas. En el momento en que alguno de los usuarios haga clic en ese enlace malicioso, correrá el riesgo de que sus datos personales sean robados.

Tampoco podemos olvidarnos de los fallos de seguridad. No hace mucho tiempo que Facebook informó que las webs que ofrecen la opción de registrarse con Facebook pueden contener scripts con acceso a los datos del usuario.

Si no quieres que los datos de tu perfil o empresa caigan en las manos equivocadas, no peques de ingenuo y preocúpate por tu seguridad en las redes sociales. En nuestro siguiente post de Prestigia Seguridad, te daremos algunos consejos para conseguirlo.

gestion-de-la-seguridad-en-la-empresa
10 errores en la gestión de la seguridad en la empresa
1024 690 Prestigia

No hace mucho os hablamos en el blog de Prestigia Seguridad sobre los principales riesgos de la pyme en ciberseguridad. En ocasiones, algunos de estos riesgos derivan no sólo de una falta de seguridad y precaución sino de errores en la gestión de la seguridad en la empresa. Y aunque equivocarse es de sabios, mejor es aprender de los errores.

Hoy en el blog queremos hablaros de algunos errores en la gestión de la seguridad que las empresas cometen a menudo. Toma nota y…¡evítalos!

  1. La información de mi empresa no interesa a nadie. Este es uno de los grandes errores que suelen cometer muchas empresas, especialmente las más pequeñas. Creen que por ser pequeñas no son objetivo de hackers. Se confían y bajan los niveles de seguridad, convirtiéndose así en un blanco fácil. En este sentido, también es muy común infravalorar, por ejemplo, la importancia de la confidencialidad, como si no fuera necesario proteger la información a través de acuerdos de confidencialidad con todos los grupos de interés (clientes, proveedores, empleados,…)
  2. La seguridad es una cuestión puramente informática. La gestión de la seguridad en una compañía va más allá de los controles técnicos e informáticos. Los aspectos legales y organizativos, si se descuidan también hay que vigilarlos si no puede pasar que, por ejemplo, seamos víctimas de phishing.
  3. Con un antivirus y un firewall ya estoy protegido. Aunque son dos productos básicos para estar protegido, también es cierto que no es suficiente. Existen muchísimas amenazas que no se evitan únicamente con un antivirus.
  4. Los problemas de seguridad vienen del exterior. A menudo las empresas consideran que los riesgos de seguridad son ajenos a la compañía. Sin embargo, algo tan sencillo como utilizar un USB infectado o abrir un enlace malicioso que nos llega al e-mail puede poner en jaque la seguridad de la empresa. Por eso, es importante sensibilizar y concienciar al personal sobre medidas y hábitos para proteger la seguridad de la empresa. Es importante que conozcan las amenazas a las que se enfrentan.
  5. Descuidar el mantenimiento es algo muy habitual entre pequeñas empresas para las que la seguridad está en el última escalón de la compañía. No llevar un control y mantenimiento de la red y los sistemas puede derivar en una red vulnerable que sea fácil de atacar para acceder a la información corporativa. Lo mismo sucede con programas o software que se pasan meses sin actualizar, facilitando ser víctima de un ataque porque, al no haber actualizado, tu programa o sistema no dispondrá de los últimos parches de vulnerabilidad que se hayan aplicado.
  6. Copias de seguridad. Si no las tienes, estás perdido. Pero también lo estarás si no se mantienen ni realizan de forma periódica.
  7. No comprobar que el plan de recuperación funciona. Es posible que muchas compañías ni siquiera tengan plan de recuperación ante desastres. Pero casi peor es tenerlo y no haber probado si funciona correctamente.
  8. Utilizar contraseñas débiles. Sí, sabemos que nunca te olvidarás del día de tu cumpleaños pero es una contraseña tan previsible que no te protege de los ciberataques. Recuerda: usa contraseñas largas, combinando letras minúsculas y mayúsculas y también símbolos y números. Tampoco utilices la misma contraseña para diferentes cuentas.
  9. El Wi-Fi público no es seguro. Conectarse a cualquier Wi-Fi para ahorrar algunos datos en nuestra tarifa telefónica puede salirte caro. Recuerda que el Wi-Fi público no es tan seguro como el de tu oficina o de tu casa. Por eso, evita usar las redes Wi-Fi para realizar acciones como consultar tu saldo o hacer una transferencia. Los piratas informáticos pueden estar al acecho.
  10. Fiarse de los desconocidos. ¿Recuerdas cuando de pequeño tus padres te decían que no te fueras con desconocidos? Aplica esta norma básica en el día a día de tu empresa: no abras emails de remitentes desconocidos o sospechosos porque puede contener enlaces maliciosos ni descargues apps de fuentes no oficiales. Evita también visitar páginas que te adviertan de que no tienen el certificado SSL.

Confiésalo…¿cuántos de estos errores en la gestión de la seguridad cometes en tu empresa? Esperamos que este post te sirva de ayuda pero si necesitas protegerte de posibles riesgos y ciberataques, consulta nuestros servicios de seguridad en Internet o contáctanos.

consecuencias no implementar certificado ssl
Consecuencias negativas de no implementar un certificado SSL
1024 690 Prestigia

Hace unas semanas os hablamos en el blog de Prestigia Seguridad sobre las ventajas de implementar un certificado SSL. Hoy, queremos poner el foco en las consecuencias de no implementarlo porque, sí, las tiene 😉

Aquello de lo que no se ve o lo que no se habla, no existe. En seguridad en Internet esta máxima sería totalmente opuesta: los ataques en Internet están al acecho aunque no seamos realmente conscientes de ello. Por eso tan importante como mantener la seguridad en los CMS es proteger nuestra página web con un certificado SSL.

Riesgos de no contar con un certificado SSL

¿Tienes un patrón de seguridad en tu móvil para que nadie pueda usarlo? ¿Tienes protegida tu red de Internet con una contraseña para que nadie tenga acceso? ¿Cuando te marchas de casa cierras con llave? Si en tu día a día eres precavido y tomas ciertas medidas de seguridad para garantizar tu privacidad…¿por qué no hacerlo con tu página web? No implementar un certificado SSL puede dar lugar a consecuencias como las siguientes:

  1. Dudas sobre la identidad de tu web. El certificado SSL viene a ser como el DNI para las personas, es decir, un sistema o documento que acredita tu identidad. En el caso de las páginas web, sin un certificado SSL no hay garantías que certifiquen tu identidad y credenciales, algo que desde el punto de vista del usuario genera desconfianza.
  2. Web segura. Hace tiempo que cuando los buscadores detectan una página web sin certificado SSL la catalogan como “No segura”. Y así se lo hacen saber al usuario a través de un mensaje en el que avisan de que la web en la que está navegando no es segura y en la que recomiendan no ofrecer información confidencial ya que no hay garantías de que los atacantes pudieran robarla. También en la barra de dirección se indica que la página web no es segura. Además, en la mayoría de casos se impide el acceso a la web.  
  3. Problemas de posicionamiento y rentabilidad. Esta es una consecuencia directa de la anterior. Al ser advertido el usuario de que no está en una web segura, lo más probable es que la abandone. Por lo tanto, aumentará la tasa de rebote y se reducirá el tiempo de permanencia. Esto afectará al tráfico de la web que, al disminuir, también se traduce en la pérdida de posición en la página de resultados de búsqueda de motores como Google, Explorer, etc.
  4. En el punto de mira de los hackers. Cuando una web no dispone de certificado SSL es más vulnerable a los ataques informáticos. Al no estar la información encriptada, el cifrado de la página no es del todo seguro y los hackers pueden utilizar este “agujero” en la seguridad para robar datos, instalar malware, etc.

¿Qué más necesitas para convencerte de lo importante que es implementar un certificado SSL? ¿Tienes alguna duda? Desde Prestigia podemos ayudarte.

  • 1
  • 2

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.