sábado, 9 de diciembre de 2017

Tips para comprar seguros en Internet

Tips para comprar seguros en Internet


Realizar compras en línea puede llegar a ser una experiencia realmente enriquecedora… Desde la comodidad de nuestras casas podemos comparar los precios de diferentes productos en diferentes tiendas y llevar a cabo un proceso de compra completo en sencillos pasos. Las compras en línea están en pleno auge. Cada vez son más las empresas que venden sus productos en Internet, y más las personas que los adquieren.

De la misma manera, una compra en línea puede convertirse en una pesadilla y alejarnos por siempre de este avance tecnológico tan útil. Esto es así ya que, como es habitual, existen personas malintencionadas que buscan aprovecharse de los avances tecnológicos y de la inocencia de las personas para obtener dinero de manera ilegal: Los ciberdelincuentes.

¿Has escuchado alguna vez a alguien decir que realizó una compra en Internet, y nunca recibió el producto que solicitó? ¿O a alguien que no pudo finalizar el proceso de compra, pero aún así se debitaron diferentes montos en su cuenta bancaria? ¿Alguien que recibió una caja vacía en lugar del producto comprado?

Todo esto, y más, sucede porque los ciberdelincuentes, a través de engaños, dirigen a las personas a tiendas falsas, que pueden ser iguales, o no, a una tienda real y de confianza. En éstas, ellos tienen el poder, y su principal objetivo es que dejemos en sus manos nuestra información financiera para luego poder robar nuestro dinero

La buena noticia frente a este problema, es que la solución somos nosotros, los usuarios de Internet. Basta con que conozcamos de qué manera los delincuentes intentan engañarnos, para así poder prevenir que esto nos suceda. Los tips a tener en cuenta son pocos, pero nos permitirán disfrutar tranquilos de las compras en línea.

Tip #1: Comprar en tiendas de confianza

El principal consejo a la hora de realizar una compra en línea, es elegir una tienda conocida, con una buena reputación y de amplia trayectoria para hacerlo.

Siempre es bueno preguntar a familiares y amigos su experiencia con determinadas tiendas y buscar opiniones de cada una en Internet. Con estas últimas, de todas formas, hay que tener especial cuidado, ya que muchas veces los mismos ciberdelincuentes que crean tiendas falsas en Internet, ¡crean también comentarios falsos hablando bien de sus tiendas!

Tip #2: Verificar con cuidado la dirección

Si seguimos el Tip #1 a rajatabla, casi podríamos decir que estamos en condiciones de realizar compras seguros. De todas formas, aún debemos tener un poco más de cuidado. 

Cuando ingresamos a una tienda, lo más recomendable sería que escribamos nosotros mismos su URL o dirección en la barra de direcciones de nuestro navegador, teniendo especial cuidado en no cometer ningún error.
Esto es así ya que los ciberdelincuentes suelen crear “clones” de tiendas reales y muy conocidas y alojarlas en direcciones web similares a la original. Por ejemplo, es posible que un ciberdelincuente cree una tienda idéntica a Amazon en la URL “www.amazin.com”, a la cual se puede llegar mediante un simple error de tipeo.

Tip #3: Evitar hacer clic en enlaces

Si podemos cometer un error al escribir la dirección de una tienda ¿Por qué no hacer simplemente clic en enlaces que lleven a ella? Debemos tener gran cuidado antes de hacer esto ya que un enlace, si no lo verificamos con atención, puede dirigirnos a tiendas falsas, muchas veces idénticas a las originales y con URLs casi iguales (como por ejemplo “www.arnazon.com”) donde nuevamente, intentarán robar nuestro dinero.

Es muy común por ejemplo recibir ofertas por correo electrónico, mensajería instantánea o redes sociales, o bien encontrarlas mientras navegamos por diferentes sitios web. Si una promoción nos interesa, lo mejor que podemos hacer es ingresar directamente (Tip #2) al sitio de la empresa que la ofrece, para verificar que dicha oferta sea cierta.

Debemos hacer esto ya que muchas publicidades y ofertas son falsas, y al hacerles clic, nos dirigen a tiendas falsas.

Tip #4: Utilizar conexiones a Internet confiables

Una vez que estamos seguros que estamos en la tienda de confianza, habiendo verificado con cuidado su URL, debemos utilizar una conexión de Internet privada y de un lugar de confianza para realizar nuestras compras, o bien utilizar nuestra conexión de datos de celular.

Bajo ninguna circunstancia debemos hacerlo en una conexión pública como la de un bar o shopping, ya que nuestra información privada - como ser los datos de nuestra tarjeta de crédito - podría verse comprometida por un delincuente.

Conclusión

Realizar compras seguras en Internet es posible, y sólo depende del conocimiento que nosotros, los usuarios, tengamos acerca de los engaños a los que podemos enfrentarnos.

Siguiendo estos simples tips, podremos disfrutar de este avance tecnológico con tranquilidad y evitar que un delincuente convierta nuestra compra en una pesadilla.
Leer Más

viernes, 24 de noviembre de 2017

Cuando el recurso más valioso de la organización se transforma en amenaza

Cuando el recurso más valioso de la organización se transforma en amenaza


¿Qué es un delito informático y quiénes lo cometen?

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” [1]. La informática puede ser el medio o el fin de esos actos delictivos llevados a cabo por individuos malintencionados [2]. Por ejemplo, en la informática como medio un ciber delincuente utilizaría un ordenador para acceder sin permiso a un sistema y robar información para después venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la informática es un fin sin importar el medio utilizado para lograrlo.

¿Dónde está el foco de la seguridad en las organizaciones y qué se descuida?

Cuando se habla de delitos informáticos lo más habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro que residen fuera de la organización. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos. 

Estadísticas de delitos informáticos y fugas de datos en relación con los empleados

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversación de fondos o ataques de venganza tras haber sido despedidos. Según un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el 34% de la información de las organizaciones se ve comprometida intencionalmente por el personal interno [3]. Otro artículo publicado por Heimdal Security en 2016 indica que el 59% de los empleados roba información de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo está en los usuarios con accesos privilegiados [4]. Esta información robada es la que posteriormente sería utilizada para cometer diversos tipos de delitos.

¿Para qué se utiliza comúnmente la información robada por los empleados?

La 10ma Edición del “2017 Data Breach Investigations Report“ de Verizon alerta que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye: proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje [5].

¿Cómo suelen los empleados hacerse con la información?

La fuente mencionada anteriormente también indica que los empleados logran acceder a la información que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

¿Qué motiva a un empleado a robar información?

Según el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la información de la empresa al resultar tentado con la ganancia financiera

¿Por qué el empleado se anima a delinquir?

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).

¿Cómo prevenir estos delitos y cómo reducir las consecuencias en caso de que ocurran?

La implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos informáticos por parte de los mismos. Además, las políticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consuma algún tipo de delito.

La correcta implementación de políticas y gestión de contraseñas y controles de acceso son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusión

A la hora de llevar adelante la gestión de seguridad de la información la organización debería considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una riesgosa exposición. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas - y lo sabe - y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Fuentes

Leer Más

viernes, 17 de noviembre de 2017

 Una pequeña ciudad representando a toda Latinoamérica

Una pequeña ciudad representando a toda Latinoamérica

SMARTFENSE es el nombre de la plataforma online de concientización y entrenamiento en seguridad de la información que ha sido elegida por INCIBE, el Instituto Nacional de Ciberseguridad de España, para participar de su programa de aceleración.

INCIBE es una institución reconocida mundialmente en el ámbito de la seguridad de la información, y su programa de aceleración, orientado específicamente a empresas de este ámbito, es uno de los más codiciados. Sólo diez empresas han logrado formar parte del mismo, si bien fueron setenta y seis las postuladas para hacerlo, provenientes de diferentes partes del mundo.

Orgullo Latinoamericano, gestado en la UTN de Argentina

La empresa detrás de la plataforma SMARTFENSE, llamada “Digital Content Machine S.A.” ha sido creada por tres Ingenieros en Sistemas de Información graduados en la Universidad Tecnológica Nacional de Argentina, específicamente en su Facultad Regional San Francisco: Graziosi Mauro, Sánchez Mauro, y Testa Fernando. La empresa fue fundada en la misma ciudad donde se graduaron, en el año 2016, y un año después, ya ha sumado ocho nuevos miembros:
  • Abratte Pablo, Ingeniero en Informática, graduado en la Facultad de Ingeniería y Ciencias Hídricas, de la Universidad Nacional del Litoral.
  • Armando Silvana, Ingeniera en Sistemas de Información, graduada en la UTN FR San Francisco.
  • Barlatay Carolina, Licenciada en Administración, Universidad Nacional del Litoral.
  • Bruna Nicolás, Ingeniero en Sistemas de Información, graduado en la UTN FR San Francisco.
  • Casco David, Ingeniero en Sistemas de Información, graduado en la UTN FR San Francisco.
  • Monella Hugo, Analista de Sistemas, graduado en el Instituto Cooperativo de Enseñanza Superior de Sunchales.
  • Robledo Miguel, Ingeniero en Informática, graduado en la Facultad de Ingeniería y Ciencias Hídricas, de la Universidad Nacional del Litoral.
  • Bianciotti Lucas, estudiante de Tecnicatura en Programación en la UTN FR San Francisco.
  • Cugno Emiliano, estudiante de Ingeniería en Sistemas de Información en la UTN FR San Francisco.


Parte del equipo de SMARTFENSE, que reside en la ciudad de San Francisco, en Argentina

La startup de San Francisco, no sólo es la única empresa que representa a Argentina en el programa Cybersecurity Ventures, sino también, la única seleccionada de toda Latinoamérica.

La necesidad detrás de SMARTFENSE

Las organizaciones de cualquier tamaño y rubro manejan una gran cantidad de información en su día a día, la cual es considerada uno de sus activos más importantes.

Ésta, es manipulada en distinta medida por cada persona dentro de una organización, siendo cada una de ellas responsable de cuidarla y manipularla correctamente.

Lamentablemente, existen una gran cantidad de situaciones que pueden poner la información en peligro, provocando que la misma se pierda, se dañe o se publique sin autorización.

Frente a esta situación, las organizaciones deben fomentar el desarrollo de hábitos y comportamientos seguros en las personas que forman parte de ella, de manera de mantener a la información segura. SMARTFENSE es una plataforma online que facilita este desarrollo permitiendo tanto capacitar como poner a prueba a los empleados de una organización frente a situaciones reales de riesgo.


El programa de Aceleración

Cybersecurity Ventures” es el nombre de la Aceleradora Internacional de startups en Ciberseguridad impulsada por INCIBE junto con la colaboración de la Junta de León y Castilla y el Ayuntamiento de León.

El programa se creó para dar impulso a la aceleración de nuevas empresas y al desarrollo del talento emprendedor en el ámbito de la ciberseguridad.

El mismo ofrecerá un apoyo intensivo en forma de capacitación, mentorización y vinculación con inversores, con el objetivo de madurar cada startup para atraer inversiones y nuevos clientes.


Acerca de INCIBE

El Instituto Nacional de Ciberseguridad de España (INCIBE), es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos Españoles.

Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de transformación social y oportunidad para la innovación. Para ello, con una actividad basada en la investigación, la prestación de servicios y la coordinación con los agentes con competencias en la materia, INCIBE lidera diferentes actuaciones para la ciberseguridad a nivel nacional e internacional.


Mauro Graziosi, CEO de SMARTFENSE en el edificio de INCIBE
Leer Más

sábado, 4 de noviembre de 2017

¿Cuánto duran las campañas de Phishing?

¿Cuánto duran las campañas de Phishing?



En mi día a día dentro del ámbito de la concientización y entrenamiento en seguridad de la información, suelo recibir preguntas relacionadas a la duración de las campañas Phishing. Esto es porque uno de los métodos más efectivos para poder medir el grado de exposición de una organización frente a este tipo de ataques es, directamente, simular el ataque mismo y ver cuál es el comportamiento de los usuarios frente a una situación de Phishing real, pero inofensiva.

¡Que caigan todos!

Y al momento de lanzar una simulación de Phishing una de las dudas más comunes que asaltan a las personas a su cargo, es cuánto tiempo durará la misma. Lo más frecuente, es que en una primera instancia las personas se inclinen por realizar simulaciones con una duración de semanas, o incluso meses. El objetivo parece ser tener el tiempo suficiente para que caigan en la trampa simulada la mayor cantidad posible de personas, pero haciendo un análisis del comportamiento de las campañas de Phishing reales, podemos ver que éste no es el mejor enfoque.
 

Atrápame si puedes

Según un reporte de Webroots, el tiempo promedio que una campaña de Phishing está activa es de 15 horas, el tiempo mínimo 15 minutos, y el máximo 44 horas. Además, el 84% de las campañas de Phishing analizadas duró menos de 24 días, por lo que podemos ver una clara tendencia: Las campañas de Phishing duran poco, y hay un motivo para ello.


Ciclo de vida de un ataque de Phishing en horas - Fuente: Webroots

En un pasado no muy lejano, un solo ataque de Phishing duraba varias semanas o meses, y se mantenía alojado en un determinado dominio propiedad del atacante. Esto, si bien parecía una buena idea, brindaba a las organizaciones el tiempo suficiente para detectar y bloquear los mensajes de correo electrónico o los sitios web que el atacante utilizaba y evitar así que sus usuarios sean víctimas. Las empresas de seguridad a su vez incluían los dominios o IPs de este tipo de ataques en sus listas negras y ese Phishing quedaba fuera de pelea.

Por este motivo, los atacantes han evolucionado (y no sólo lo hicieron en este aspecto...) y han disminuido el tiempo que sus campañas de Phishing permanecen activas en un mismo dominio, lo cual permite que sea más difícil su detección. Además, utilizan dominios legítimos, los cuales comprometen para poder cargar su contenido malicioso, haciendo que sea más difícil bloquearlos mediante listas negras. Una página en específico de determinado dominio que en este momento es segura, el próximo segundo puede ser vulnerada por un delincuente y alojar contenido de Phishing.

Volviendo a la duda principal

Teniendo en cuenta lo dicho hasta aquí y recordando que la duda más recurrente es cuánto debería durar una campaña de Phishing simulado, si queremos ser fieles con la realidad, la misma no debería extenderse por más de dos días. De esta manera, podremos obtener estadísticas que se correspondan más con lo que realmente sucede en las campañas de Phishing lanzadas por los ciberdelincuentes y no desviar las mismas con situaciones que es menos probable que ocurran.
Leer Más

miércoles, 25 de octubre de 2017

¡Ya formamos parte del programa de aceleración Cybersecurity Ventures!

¡Ya formamos parte del programa de aceleración Cybersecurity Ventures!


Hace pocas semanas, informábamos en nuestro blog que SMARTFENSE había sido seleccionada, junto a otras 35 startups, para participar de la primera fase del Programa Internacional de Aceleración “Cybersecurity Ventures”, puesto en marcha por el Instituto Nacional de Ciberseguridad (INCIBE).

Hoy, tenemos el orgullo de informar que ¡hemos sido seleccionados entre las 10 startups que formarán parte del programa de aceleración!, siendo la única empresa proveniente de un país fuera de España que ha llegado hasta esta instancia.

Una presentación en 5 minutos

La presentación de las 36 startups seleccionadas para competir por su lugar en el programa de aceleración transcurrió durante el el primer día del 11ENISE, el cual tuvo lugar el 24 de Octubre en León, España.

Por lo tanto, nuestro CEO, Mauro Graziosi, viajó desde Argentina hasta España y tuvo que resumir en menos de cinco minutos la esencia de SMARTFENSE, ya que este era el tiempo máximo reglamentario, debiendo utilizar para esto una gran capacidad de síntesis, ya que era necesario cubrir en su totalidad una lista de tópicos predefinidos.

Con todo el equipo de SMARTFENSE siguiendo en vivo la presentación desde Argentina y brindando su apoyo a través de audios y mensajes de Whatsapp, Mauro comenzó su Pitch, el cual fue digno de los aplausos recibidos, y pocos minutos después, luego de algunas preguntas, sólo restaba esperar a conocer la decisión del jurado.

Los ansiados resultados

El día siguiente, 25 de Octubre, horas antes de la redacción de este post, como cierre del evento 11ENISE se anunciaron las startups seleccionadas por el jurado, entre ellas ¡SMARTFENSE!

 

Próximos pasos

El programa de aceleración se desarrollará del 25 de octubre de 2017 al 28 de febrero de 2018. El mismo consistirá de las siguientes etapas:




Hoja de ruta individualizada: Análisis individualizado de cada proyecto y definición conjunta de una hoja de ruta que establecerá el plan de aceleración e identificará los hitos de creación de valor en la empresa.

Mentorización:
Desarrollo de la idea de negocio con un mentor que coordinará el apoyo y guía del proyecto a lo largo del programa de aceleración.

Formación:
Sesiones de trabajo y píldoras formativas orientadas a desarrollar competencias en ámbitos relativos al negocio, el ecosistema emprendedor y las competencias personales de su capital humano.

Networking con inversores y emprendedores: Sesiones y eventos con inversores de diverso perfil (Business Angels, Venture Capital, Corporate Ventures…). También se facilitará la captación de talento para el desarrollo de proyectos.

Demo day:
Jornada en la que las startups presentarán sus proyectos empresariales.

Agradecimientos

Una vez más, agradecemos a todas las personas que nos han brindado su apoyo para poder lograr este gran hito dentro de la historia de SMARTFENSE y comenzamos esta nueva etapa con todas nuestras energías enfocadas en crecer y alcanzar todos los objetivos que nos hemos propuesto dentro de este tan codiciado programa de aceleración.
Leer Más