FacebookXLinkedInEmailWhatsAppInstagram

About Vanessa Collado

This author has not yet filled in any details.
So far Vanessa Collado has created 500 blog entries.

CryWiper, el falso ransomware

diciembre 12, 2022|

CryWiper, el falso ransomware

El nuevo malware CryWiper corrompe de forma irreversible los archivos haciéndose pasar por ransomware.

Kaspersky Lab ha ubicado un nuevo troyano al que ha denominado CryWiper. A simple vista, este malware, que parece un ransomware, modifica los archivos, les añade una extensión adicional y guarda un archivo llamado README.txt con una nota de rescate. Sin embargo, lo cierto es que este malware es un wiper (borrador), ya que un archivo modificado por CryWiper no se puede restaurar a su estado original. Esto es porque a diferencia de cuando un ransomware cifra los archivos, este troyano los sobrescribe con datos generados de forma pseudoaleatoria.

Entonces, si ve una nota de rescate y los archivos tienen la nueva extensión .CRY, no se apresure a pagar el rescate, es inútil.

Qué busca CryWiper

El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll, .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se centra en bases de datos, archivos y documentos de usuario.

Cómo funciona

Además de sobrescribir el contenido de los archivos con basura, CryWiper también:

  • Crea una tarea que reinicia el wiper cada cinco minutos usando el Programador de tareas.
  • Envía el nombre del equipo infectado al servidor de mando y control, y espera un comando para iniciar un ataque.
  • Detiene los procesos relacionados con servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible corromperlos).
  • Elimina las instantáneas (shadow copies) de los archivos para que no se puedan restaurar (pero por alguna razón solo en la unidad C).
  • Desactiva la conexión al sistema afectado a través del protocolo de acceso remoto RDP.

El propósito de este último punto no está del todo claro. Tal vez con esta desactivación, los autores del malware intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría tener acceso remoto al equipo afectado; en su lugar, tendrían que obtener acceso físico.

Cómo mantenerse a salvo

Para proteger los equipos tanto del ransomware como de los wiper, los expertos recomiendan:

  • Controlar minuciosamente las conexiones de acceso remoto a la infraestructura, prohibir las conexiones desde redes públicas, permitir el acceso RDP solo a través de un canal VPN y usar contraseñas seguras y únicas, así como  también la autenticación en dos pasos.
  • Actualizar el software crítico de manera oportuna, prestando especial atención al sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto.
  • Capacitar a los empleados en materia de seguridad, por ejemplo, utilizando herramientas online especializadas.
  • Emplear soluciones de seguridad avanzadas para proteger tanto los dispositivos de trabajo como el perímetro de la red corporativa.

Le invitamos a ponerse en contacto con nosotros para proveerle información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y otras herramientas corporativas.

Fuente https://www.kaspersky.es/blog/crywiper-pseudo-ransomware/28163/

¿Qué es el ransomware?

diciembre 7, 2022|

¿Qué es el ransomware?

De acuerdo con información publicada por Kaspersky Lab, el ransomware es un mecanismo digital de extorsión. Siendo el escenario más común el cifrado de la información en el equipo de la víctima.

El malware moderno utiliza esquemas de cifrado que parecen ser impenetrables. Las víctimas se enfrentan a la opción de pagar o perder sus archivos para siempre.

Ya que los cibercriminales se han dado cuenta de que las víctimas suelen estar dispuestas a pagar por la liberación de sus valiosos archivos, la frecuencia de ransomware y sus variaciones va en aumento.

Un escenario común: la víctima recibe un email de un “amigo” con un archivo adjunto ejecutable. Disfrazado como un documento inofensivo, abre el archivo, el cual ejecuta una descarga inmediata de malware, y los archivos de la víctima se cifran.

De acuerdo a una entrevista dirigida por el Centro Interdisciplinario de Investigación en Seguridad Cibernética de la Universidad de Kent más del 40% de las víctimas de CryptoLocker aceptaron pagar el rescate.

Así mismo, un informe de Dell SecureWorks, muestra que el mismo malware sustrae hasta 30 millones de dólares cada 100 días.

Los métodos criminales se vuelven más sofisticados año tras año.

El primer crypto-malware utilizó un algoritmo de clave simétrica, utilizando la misma clave para cifrar y descifrar. Generalmente, con algo de ayuda de los fabricantes anti-malware, la información corrompida podía descifrarse con éxito.

Después, los cibercriminales comenzaron a implementar algoritmos de clave pública que utilizan dos claves por separado, la pública para cifrar archivos, y la privada para descifrar.

En 2008, los expertos de Kaspersky Lab consiguieron crackear una clave RSA de 660-bits utilizada por el troyano GPCode, pero sus autores actualizaron rápidamente la clave a 1,024 bits, haciéndolo prácticamente imposible de descifrar.

Es imposible descifrar archivos cifrados por un crypto-malware moderno, por lo tanto, una medida de precaución para mantener los datos del usuario seguros es hacer una copia de seguridad.

Es un buen punto de partida pero podría no ser suficiente, ya que dejan desprotegidos a los archivos que han tenido cambios recientemente.

Además, algunas variantes de ransomware incluso logran cifrar cada copia de seguridad que sean capaces de encontrar, incluyendo aquellas localizadas en redes compartidas.

Es por ello que Kaspersky Lab ha desarrollado alternativas para la protección de sus usuarios mediante la herramienta System Watcher, integrada en las soluciones Kaspersky.

También se incluye Kaspersky Security Network (KSN) que cuenta con más de 60 millones de voluntarios alrededor del mundo. Este sistema de seguridad basado en la Nube procesa más de 600,000 solicitudes por segundo. De esta manera los usuarios proveen información en tiempo real sobre amenazas detectadas y eliminadas.

Estos datos y otras investigaciones se analizan por un grupo de expertos en seguridad, cuyo objetivo es el descubrimiento y análisis de nuevas armas cibernéticas. Todo ello con la finalidad de ofrecer mayor seguridad ante las nuevas amenazas.

El año pasado Kaspersky Lab participó en 93 pruebas independientes junto con otras otras compañías del sector, obteniendo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3 y ha obtenido el primer lugar 51 veces.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

4 Razones para los recursos en la Nube

noviembre 24, 2022|

4 Razones para los recursos en la Nube

Cuatro de las principales razones para migrar los recursos de una empresa a la Nube. Desde simples archivos hasta grandes sistemas administrativos:

Disponibilidad

Actualmente, es necesaria la consulta de archivos e información desde distintos dispositivo en cualquier momento. Si la información se encuentra en la Nube, solo necesitaremos una conexión a Internet para tener acceso las 24 horas del día, los 365 días del año.

Crecimiento

Aunque inicialmente no se cuente con una gran cantidad de información en la Nube, siempre se contará con la posibilidad de incrementar rápidamente los recursos para procesamiento y almacenaje, necesarios para la operación de nuestro negocio.

Pago por uso

Es decir, sólo pagaremos por el consumo de los recursos alojados en la Nube.

De este manera, se libran costos asociados a otros tipos de soluciones tecnológicas, como las licencias de software o la inversión en hardware.

Seguridad

La migración a una solución de Cloud Computing suele aportar un extra a la seguridad digital de las empresas, como la realización automática de backups o la encriptación de datos.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa en servicios de Cómputo en la Nube.

Transformación digital, cambio de cultura

noviembre 18, 2022|

Transformación digital, cambio de cultura

La Transformación Digital conlleva una serie de retos para las organizaciones. Por esta razón, algunas empresas se muestran reacias a implementar los cambios digitales que los nuevos tiempos exigen.

¿Cuáles son los principales retos que se deben considerar ante el cambio digital?

Execoach, la consultora especializada en la transformación cultural de las empresas, ha identificado una serie de características comunes:

Resistencia al cambio

La oposición a cualquier cambio es el principal escollo para el cambio digital en una empresa.

Muchos empleados ven a la digitalización más como una amenaza para sus puestos de trabajo que como una herramienta útil para desarrollar sus funciones. Además, hay personas que tienen verdaderas dificultades para adaptarse a las nuevas circunstancias.

Convencer y facilitar la adaptación de los trabajadores es una tarea complicada y que puede llevar más tiempo del esperado.

La forma de evitarlo es preparar muy bien la implementación de las nuevas herramientas, comunicando los beneficios de la digitalización de forma clara y constante, y ayudarles en su formación.

Falta de liderazgo de los directivos

El cambio digital requerirá el trabajo de equipos multidisciplinarios trabajando en paralelo pero de forma coordinada.

En este sentido, un problema serio es que los directivos no tengan las habilidades necesarias de liderazgo y organización.

El líder debe desarrollar las habilidades de coach, facilitando el trabajo en equipo y colaboración entre empleados, para maximizar el talento y aprovechar la inteligencia colectiva de la organización.

Si no existe esta cultura de colaboración, la empresa perderá oportunidades de negocio directas.

Desmotivación y estrés

La era de la comunicación ha traído nuevas oportunidades de comunicación y negocio. Sin embargo, también genera cierta incertidumbre entre los empleados. Puede surgir en ellos un sentimiento de incompetencia, si no son capaces de adaptarse rápidamente a la nueva situación.

Por otro lado, la hiperconectividad puede tener un impacto negativo en la salud de los empleados. La fatiga crónica, la falta de eficacia, la depresión o el insomnio son algunas de las enfermedades derivadas de forma directa del estrés. Pueden alcanzar hasta el 30% de las bajas laborales.

Fuente https://www.pymesyautonomos.com/tecnologia/transformacion-digital-cambio-cultura-principales-desafios-a-que-se-enfrenta-toda-empresa-su-digitalizacion

Por qué se necesita un gerente de proyectos

noviembre 16, 2022|

Por qué se necesita un gerente de proyectos

En una publicación del sitio IDC Online se informa del incremento en la demanda por cubrir el puesto de gerente de proyectos, conocido también como project manager.

La principal causa de esto son sus aportaciones a las empresas al encargarse de organizar, supervisar y ayudar a alcanzar objetivos y metas estratégicas.

Se estima que para 2027 habrá una demanda de 87.7 millones de gerentes de proyectos en el mundo, según Project Management Institute.

De acuerdo con la plataforma de selección de talento evaluar.com, este año en México las industrias de Banca, Financieras, Seguros, Consumo Masivo, Restaurantes y Retail son las de mayor demanda para reclutar líderes o gerentes.

A medida que avanza la Transformación Digital en las organizaciones, las empresas se han dado cuenta de la importancia que tiene el rol del gerente de proyecto. Quien se acerca a una posición de liderazgo estratégico para asegurar la implementación de cambios e innovaciones en una compañía.

Algunas de las habilidades que deben desarrollar las empresas en sus gerentes de proyecto para llevar a sus corporativos al éxito:

Planificación

Estructurar una serie de acciones/actividades orientadas al logro de objetivos. Teniendo como prioridad los recursos, el tiempo establecido para cada acción, los responsables y cualquier otro factor que influya en el resultado.

Priorizar

Hace referencia a la capacidad para actuar rápidamente. Una decisión personal que permite generar más y de mejor manera en el menor tiempo posible. También la realización de múltiples tareas es esencial para que los proyectos tengan éxito.

Creatividad

El project manager se da a la tarea de compartir ideas nuevas e inusuales para resolver problemas diversos. Dando pie a la innovación, que es la capacidad de generar valor a través del conocimiento, creando, modificando o mejorando procesos, productos y/o servicios.

Finalmente, el gerente de proyectos debe contar con alta capacidad de atención al detalle, precisión y meticulosidad al desempeñar sus funciones. Con la finalidad de examinar información de interés o cumplir con los deberes encomendados.

Fuente https://idconline.mx/laboral/2022/11/14/por-que-necesitas-un-gerente-de-proyectos-en-tu-empresa

Tipos de ciberataques Parte 1

noviembre 6, 2022|

Tipos de ciberataques Parte 1

La Oficina de Seguridad del Internauta ha incluido en su sitio web una guía con los tipos y características de ciberataques ante los que cualquier usuario podría verse sorprendido.

Esta guía está dividida en cuatro grandes categorías: ataques a contraseñas, ataques por ingeniería social, ataques a las conexiones y ataques por malware.

  1. Ataques a contraseñas.

1.1 Fuerza bruta, intentan adivinar la contraseña probando diferentes combinaciones con nuestros datos personales, en caso de conocerlos por otras vías. Luego, continúan haciendo combinaciones de palabras al azar, conjugando nombres, letras y números, hasta dar con el patrón correcto.

1.2 Ataque por diccionario, mediante software tratarán de averiguar nuestra contraseña. Para ello, realiza diferentes comprobaciones, empezando con letras simples como “A”, “AA” o “AAA” y, progresivamente, va cambiando a palabras más complejas.

¿Cómo me protego? Mejorar la seguridad de las cuentas utilizando contraseñas robustas. Además, es conveniente aplicar el factor de autenticación múltiple, siempre que el servicio lo permita, y utilizar gestores de contraseñas.

2. Ataques por Ingeniería Social.

Se basan en un conjunto de técnicas dirigidas a los usuarios con el objetivo de conseguir información personal o tomar el control de sus dispositivos.

2.1 Phishing, Vishing y Smishing. De forma general, el ciberdelincuente enviará un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública. Estos mensajes suelen ser de carácter urgente o atractivo, para evitar que apliquen el sentido común y se lo piensen dos veces.

Phishing – Suele emplearse el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.
Vishing – Se lleva a cabo mediante llamadas de teléfono.
Smishing – El canal utilizado son los SMS.

En ocasiones, traen consigo un enlace a un sitio web fraudulento, fingiendo ser un enlace legítimo, o bien se trata de un archivo adjunto malicioso con malware. Cuando se trata de un ataque dirigido a una persona en concreto, se conoce como Spear phishing. Esta modalidad centra en una persona específica las técnicas de manipulación, recabando información sobre ella previamente para maximizar las probabilidades de éxito a la hora de hacerse con su información o dinero.

¿Cómo me protejo? Ser precavido y leer el mensaje detenidamente, especialmente si se trata de entidades con peticiones urgentes o promociones demasiado atractivas. Además, otras pautas que se pueden seguir son:

• Detectar errores gramaticales en el mensaje. Y, si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude.
• Revisar que el enlace coincide con la dirección a la que apunta. Y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar.
• Comprobar el remitente del mensaje, o asegurarnos de que se trata de un teléfono legítimo.
• No descargar ningún archivo adjunto y analizarlo previamente con el antivirus.
• Nunca contestar al mensaje y eliminarlo.

2.2 Bating. Valiéndose de un medio físico y nuestra curiosidad o avaricia, los atacantes consiguen infectar nuestros equipos o que compartamos información personal.

El medio más utilizado son los dispositivos USB infectados que los atacantes colocan en sitios estratégicos, como lugares públicos con mucha afluencia de personas o en la entrada de las empresas. Otro método consiste en utilizar anuncios y páginas web para promocionar concursos y premios que nos incitan a compartir nuestros datos o descargar software malicioso.

¿Cómo me protego? No conectar dispositivos desconocidos de almacenamiento externo o con conexión USB a nuestros equipos. Además, debemos mantener nuestro sistema actualizado y las herramientas de protección, como el antivirus, activadas y actualizadas.

2.3 Shoulder surfing. Valiéndose de un medio físico y nuestra curiosidad o avaricia, los atacantes consiguen infectar nuestros equipos o que compartamos información personal.

El medio más utilizado son los dispositivos USB infectados que los atacantes colocan en sitios estratégicos, como lugares públicos con mucha afluencia de personas o en la entrada de las empresas. Otro método consiste en utilizar anuncios y páginas web para promocionar concursos y premios que nos incitan a compartir nuestros datos o descargar software malicioso.

¿Cómo me protego? No conectar dispositivos desconocidos de almacenamiento externo o con conexión USB a nuestros equipos. Además, debemos mantener nuestro sistema actualizado y las herramientas de protección, como el antivirus, activadas y actualizadas.

2.4 Dumpster Diving. Se conoce como el proceso de “buscar en nuestra basura” para obtener información útil sobre nosotros o nuestra empresa, y que pueda utilizarse para otro tipo de ataques.

¿Cómo me protego? La única medida de protección que debemos seguir es la eliminación segura de información. Desde una trituradora de papel para el formato físico, hasta seguir los pasos para la eliminación segura de información digital.

2.5 Spam. Es el envío de grandes cantidades de mensajes o envíos publicitarios a través de Internet sin haber sido solicitados, es decir, se trata de mensajes no deseados. La mayoría tienen una finalidad comercial, aunque puede haberlos que contengan algún tipo de malware.

¿Cómo me protego? La recomendación es nunca utilizar la cuenta de correo electrónico principal para registrarnos en ofertas o promociones por Internet. Además, es fundamental configurar el filtro antiSpam para evitar la recepción de este tipo de mensajes. Otros medios, como las redes sociales, también cuentan con medidas de protección similares pero lo mejor es ignorar y eliminar este tipo de mensajes.

2.6 Fraudes online. La ingeniería social es utilizada en todo tipo de fraudes y estafas online para que revelemos nuestros datos personales, o con las que obtengan un beneficio económico a nuestra costa. Existen una gran variedad de fraudes, para aprender a identificarlos y a actuar ante ellos, la OSI pone a disposición una guía para identificar fraudes online, donde se incluye: falsos préstamos, tiendas online fraudulentas, falsos alquileres, falso soporte técnico, sextorsión y muchos otros.

Fuente https://www.osi.es/es/guia-ciberataques

Destreza digital

octubre 26, 2022|

Destreza digital

La transformación digital está llevando a muchas empresas a un nuevo escenario plagado de retos. Esto implica adaptarse a nuevas necesidades, principalmente una serie de competencias en el campo digital que los profesionales deben tener.

¿Qué es la destreza digital?

El término ‘destreza’ se refiere a la habilidad para actuar con eficacia y velocidad ante una situación determinada. También puede significar una característica de alguna cosa o de alguien en un oficio o arte.

En consecuencia, la destreza digital se define del siguiente modo:

“La destreza digital es un nuevo diseño de organización y una mezcla de talentos para un nuevo entorno de trabajo. En otras palabras, un lugar de trabajo digital de alto rendimiento que obliga a las empresas a cambiar internamente para cambiar externamente”.

Esta destreza digital implica que las empresas tengan una cultura digital activa en tres focos: tecnología, compromiso y diversidad.

Ocho competencias digitales que los profesionales diestros digitales deberían tener:

-Conocimiento digital

Se trata de la capacidad de los profesionales para moverse con soltura en el entorno digital de manera que es capaz de usar los recursos y herramientas digitales al trabajar. Esto le permitirá encontrar soluciones desde una perspectiva diferente y digital.

El conocimiento digital aporta a la compañía un aumento en la productividad.

-Gestionar la información

En un entorno digital es crucial poder buscar, evaluar, organizar y compartir información sobre todos los procesos digitales que puedan aparecer en la compañía.

No se trata únicamente de usar correctamente Internet para encontrar una solución a nuestro problema, sino ser capaz de adaptar otras soluciones a las nuestras.

Además, esta habilidad requiere el evaluar correctamente la calidad de la información, ya que en Internet en ocasiones se mezcla la información buena y mala, creando falsas expectativas que acaban por perjudicar.

-Trabajo en equipo

La fragmentación de procesos en la empresa se conoce como la filosofía Agile. Esta habilidad ha sido tomada como referencia por muchas empresas hasta convertirse en una de las destrezas digitales primordiales.

Ya no sólo se requiere trabajar en equipo, sino trabajar en red y de manera colaborativa.

-Comunicación digital

La comunicación ahora debe generar valor y las opiniones que vertimos en nuestras comunicaciones deben generar debate dentro del sí de las compañías.

Esto trae un aumento de la transparencia interna, evitando los riesgos de crisis y favoreciendo la construcción de la marca de cara a los empleados.

-No dejar de aprender nunca

En el mundo empresarial de la transformación y la destreza digital, ser capaces de aprender constantemente es algo tan deseable como necesario.

-El liderazgo en la red

El liderazgo debe fomentar el uso de las herramientas digitales y ser capaz de enviar y recibir las comunicaciones de manera eficiente en cualquier plataforma digital.

Esto genera confianza en los miembros del equipo porque hace desaparecer la jerarquía vertical tradicional y aporta a las empresas la construcción de equipos fuertes, así como mejor optimizar los recursos y talentos de los miembros de nuestro equipo.

-Visión estratégica

Se trata de estar al día de las nuevas tendencias digitales, comprender cómo influye esta estrategia sobre los miembros del equipo y al cliente, así como promover una visión general de la información para lograr que los objetivos de la organización estén correctamente integrados en la política digital de la compañía.

-El cliente, en el centro

El profesional digital debe saber entender lo que quiere y espera el cliente, satisfaciendo las necesidades de los clientes actuales y comprendiendo a los nuevos.

En este sentido, la Inteligencia Artificial brinda una gran oportunidad para comprender a través del análisis de datos, el perfil de los clientes y qué mecanismos se crean entre la compañía y sus usuarios.

Así, la empresa puede generar valor añadido para sus clientes, orientar todas las políticas de la empresa hacia ellos y mejorar la calidad a través de la excelencia con la innovación y la mejora continua.

Fuente https://www.ambit-bst.com/blog/que-es-la-destreza-digital-y-como-fomentarla-en-tu-empresa

Tres acciones para disminuir los ciberataques en América Latina

octubre 18, 2022|

Tres acciones para disminuir los ciberataques en América Latina

Se ha visto un incremento de los ataques cibernéticos en la región de América Latina en los últimos días, México confirmó que su gobierno sufrió un ataque a su fuerzas armadas. También, las fuerzas armadas de Chile sufrieron un ataque similar, y su sistema judicial se vio comprometido. El Instituto Nacional de Vigilancia de Drogas y Alimentos de Colombia fue atacado. Hubo un intento de violar los sistemas del Ministerio de Salud de Costa Rica, país que fue víctima de un gran ataque de ransomware este año.

Varias teorías circulan sobre por qué América Latina es blanco de ciberataques. Uno de los grupos detrás de estos ataques, Guacamaya, afirma que está intentando “sabotear” a las empresas occidentales que explotan los recursos naturales de la región. En el caso de otro grupo criminal activo en América Latina, Conti, existe un nexo con el Kremlin.

Las naciones desarrolladas, incluidos sus sectores privados, son conscientes de la magnitud del riesgo que los actores de amenazas externas pueden tener en la estabilidad de sus países y economías. En los últimos años, países y regiones como Estados Unidos, la Unión Europea y el Reino Unido han instituido políticas y regulaciones diseñadas para limitar los riesgos de ataques cibernéticos en sus negocios e infraestructura crítica. También han emitido una guía sobre las capacidades técnicas que las empresas y las agencias gubernamentales deben tener para protegerse.

La situación es diferente en América Latina y se necesita un cambio de estrategia. El sitio CSO Computerworld da tres acciones que los gobiernos y líderes del sector privado deben tomar para disminuir el riesgo y los ciberataques en América Latina:

Asignar recursos financieros a la ciberseguridad

Hasta la la fecha, 15 países de América Latina han desarrollado Estrategias Nacionales de Ciberseguridad, pero muy pocos de ellos han asignado recursos para implementar las acciones descritas en dichos planes. Los gobiernos deben trabajar con sus cuerpos legislativos en la apropiación de recursos financieros y considerar seguir casos de éxito como el de Uruguay, donde el país trabajó con el Banco Interamericano de Desarrollo (BID) para aprobar el primer crédito de ciberseguridad en la historia de América Latina.

Por otro lado, los líderes del sector privado deben entender que la ciberseguridad no es un costo sino una inversión para sus organizaciones. Los líderes deben solicitar indicadores periódicos sobre el nivel de preparación, incidentes y brechas de seguridad, así como otras métricas. Esto con la finalidad de asignar recursos financieros y humanos de acuerdo con las necesidades de la organización.

Cambio de mentalidad hacia la ciberseguridad

El sector privado debe acelerar e impulsar nuevos estándares de ciberseguridad. Muy pocos países de la región cuentan con programas nacionales de concientización sobre ciberseguridad.

Los ciudadanos comunes necesitan entender que, así como cuidamos nuestra seguridad física, nuestra seguridad digital ahora es parte de nuestra seguridad integral. Debemos educar a los ciudadanos sobre el impacto de los malos hábitos como compartir credenciales, la falta de autenticación multi factor y otras prácticas que podrían dañar sus vidas.

Cooperación inmediata sobre amenazas cibernéticas

Los ciberdelincuentes trabajan de manera coordinada, tal como una empresa del sector privado. Para vencerlos, las agencias de aplicación de la ley y los equipos de respuesta a incidentes deben coordinarse con el sector privado y otros gobiernos de todo el mundo. Hay una necesidad urgente de romper paradigmas y buscar modelos exitosos como ENISA y EUROPOL.

Además, aunque hay más de 20 equipos nacionales de respuesta a incidentes cibernéticos (CSIRT) en la región, necesitan atención urgente. Estas entidades necesitan modernizarse y pasar por una evaluación de madurez. Los ataques recientes demuestran que los mecanismos actuales de intercambio de información que tienen los CSIRT gubernamentales no son suficientes.

Los países europeos demuestran haber trabajado en la transformación digital y la modernización de sus administraciones mucho antes, consideran que aún queda camino por recorrer. Por ejemplo, Estonia, llamado el país más digital, une esfuerzos con España mediante una declaración conjunta de cooperación e intercambio de buenas prácticas en el ámbito del gobierno digital.

Los ataques dirigidos a países latinoamericanos han aumentado y seguirán aumentando, y es fundamental tomar medidas inmediatas para mitigar los efectos de estos incidentes. No existe una receta única sobre cómo un país o una región pueden resolver sus problemas de ciberseguridad, pero sin duda, hay un comienzo claro, y es ahora.

Fuente https://cso.computerworld.es/tendencias/tres-acciones-que-los-lideres-latinoamericanos-deben-tomar-para-reducir-el-riesgo-de-ciberataques

España y Estonia unen esfuerzos en el ámbito del Gobierno Digital

octubre 13, 2022|

España y Estonia unen esfuerzos en el ámbito del Gobierno Digital

Estonia, llamado el país más digital, une esfuerzos con España mediante una declaración conjunta de cooperación e intercambio de buenas prácticas en el ámbito del gobierno digital.

Estonia lidera el ranking en el indicador europeo de Servicios Públicos Digitales, mientras que España ocupa la posición cinco en dicho indicador. Además, ambos son países que figuran en el ‘top 10’ del Índice de Economía y Sociedad Digital (DESI) de la Unión Europea: España en el puesto siete y Estonia en el nueve. En este sentido, aunque ambos países demuestran haber trabajado en la transformación digital y la modernización de sus administraciones, consideran que aún queda camino por recorrer.

Buscarán oportunidades para colaborar en el intercambio de buenas prácticas y proyectos en seis áreas clave:

Gobernanza digital a través de ciertas iniciativas.

-Estrategias para para la prestación de servicios digitales a través de aplicaciones móviles.

Prestación unificada de servicios públicos digitales a los ciudadanos.

-Estrategias de simplificación administrativa y procedimientos proactivos ejecutados de forma automatizada para mejorar la eficiencia y la eficacia de las administraciones.

Interoperabilidad e interconexión de sistemas y datos entre las diferentes administraciones públicas a nivel nacional y europeo.

Ciberseguridad para los servicios públicos.

España busca cambiar la forma en que mide su economía digital mediante indicadores que evalúen las inversiones en datos y talento, no solo para los balances empresariales, si no para el PIB.

Fuente https://www.computerworld.es/tecnologia/espana-y-estonia-aunan-esfuerzos-en-aras-de-la-innovacion-en-la-administracion-electronica

Gestionar el ciberriesgo

octubre 4, 2022|

Gestionar el ciberriesgo

La gestión de riesgos no es una actividad de única ocasión. Sin embargo, en muchas organizaciones se comete el error de analizarlo una vez.

El ciberriesgo existe siempre, debido a que el panorama de amenazas evoluciona de modo rápido y constante. Con una exposición a las amenazas tan dinámica, las organizaciones deben medir el riesgo continuamente.

Así lo indica la publicación del sitio CIO México, la cual también menciona lo siguiente:

El proceso de evaluación

El Instituto Nacional de Estándares y Tecnología (NIST) recomienda que se lleven a cabo las evaluaciones dentro del manejo de riesgos de la siguiente manera:

1. Evaluar el ciberriesgo.

2. Evaluar la respuesta ante él.

3. Monitorearlo.

4. Repetir el proceso.

¿Qué es el ciberriesgo?

Es el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización, debido a alguna falla de sus sistemas de tecnología de la información.

Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple: Amenaza x Vulnerabilidad x Consecuencia= Ciber riesgo.

Esta es una fórmula estándar para determinar riesgos, aunque algunos expertos remplacen “consecuencia” por “impacto”.

Tal vez, la mejor palabra para sustituir ambos términos de la ecuación es “daño”. Cuando se trata de definir ciberriesgo, el equipo necesita preguntarse lo siguiente: Si nuestro sistema o datos se ven comprometidos ¿qué tanto daño habrá para nuestra reputación y operaciones?

Realizar evaluaciones de ciberriesgos, es la clave

Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización. El racional de las evaluaciones de ciberriesgos es que puedan ayudar a las organizaciones a:

• Evitar intrusiones e incidentes de seguridad.
• Reducir costos a largo plazo.
• Prepararse para futuras inversiones.
• Mejorar la colaboración.

Preguntas para la evaluación del ciberriesgo

Hay ocho preguntas para completar exitosamente una evaluación exhaustiva de ciberriesgos:

  1. ¿Cuáles son los activos de TI más importantes para la organización?
  2. ¿Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano?
  3. ¿Cuáles son las amenazas más relevantes y las fuentes de estas para la organización?
  4. ¿Cuáles son las vulnerabilidades internas y externas?
  5. ¿Cuál es el daño potencial si esas vulnerabilidades son explotadas?
  6. ¿Cuál es la probabilidad de que esto suceda?
  7. ¿Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar?
  8. ¿Cuál es el nivel de riesgo que la organización se siente cómoda tomando?

Existen varias trampas comunes que podrían obstaculizar o socavar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado.

Entre éstas se encuentran no tomar en cuenta riesgos que pueden venir de terceros y tener una visión de túnel acerca del alcance, enfocándose en un área en particular.

Otros posibles errores: analizar sin contexto, no hacerlo periódicamente, no incorporar ciberriesgo en el riesgo general de la organización y confiar solamente en las herramientas de análisis. En ocasiones necesitamos hablar directo con las personas.

No es responsabilidad de un solo equipo

En muchas organizaciones, se asume que la responsabilidad de manejar ciberriesgos pertenece solamente a los equipos de TI y seguridad, pero esto no es cierto.

Prevenir los ciber riesgos es responsabilidad de cada miembro de la organización.

Es sumamente crítico determinar quién lleva a cabo estos análisis. Muchas organizaciones los dejan a cargo de los equipos de TI ya que este tipo de actividades requieres un conocimiento profundo del funcionamiento de la infraestructura digital y de red.

Algunas empresas tienden a buscar un servicio tercerizado para los análisis. Sin embargo, es importante que los ejecutivos de alto rango y los mismos dueños de las empresas entiendan los flujos de información involucrados. Al final la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.

Fuente https://cio.com.mx/conceptos-fundamentales-para-gestionar-el-ciber-riesgo-en-las-companias/

Renee Tarun, VP de Seguridad de la Información en Fortinet

Aceptamos

visa
mastercard
paypal
transferencia
Oficina

37 Poniente 2701, Segundo Piso
Col. Benito Juárez C.P. 72410
Puebla, Pue. México

email

info@adaptixnetworks.com

Teléfono

+52 222 555 2355

adaptix-w
Servicios
Información

© Copyright 2026 | Adaptix Networks, S.A. de C.V.

Go to Top