Hoy en día los estudiantes están rodeados de tecnología, desde smartphones hasta las computadoras portátiles o tablets que utilizan para la escuela. Si bien el internet es una herramienta sumamente valiosa para ellos, cuando de comunicación y aprendizaje se trata, es también un espacio que puede fomentar mal comportamiento, como ciberacoso, robo de identidad, predadores, entre muchos otros.

Mientras más acceso tienen los niños de todas las edades a estos dispositivos, más vital se vuelve que tanto gobiernos como escuelas, educadores y padres colaboren para promover políticas sólidas de seguridad en línea para estudiantes.

La importancia de seguridad digital para estudiantes

Si bien puede ser abrumador pensar en todos los riesgos que existen cuando los niños de todas las edades navegan en internet, y existen algunas regulaciones al respecto, los padres o tutores juegan un papel primordial al educar a los niños para desarrollar conocimiento sobre seguridad en internet. En primer lugar, desde Fortinet se recomienda hablar con los chicos acerca de los que se espera de ellos cuando están en línea, esto incluye límites respecto a cuanto tiempo pueden pasar en sus dispositivos, y que sitios o aplicaciones tienen permitido utilizar. Los padres pueden considerar mantenerlos en áreas comunes, así pueden monitorear que es lo que los niños están haciendo, lo cual además puede ayudar a desmotivar prácticas no seguras. Implementar controles parentales, constituye también una capa adicional de protección, así los tutores pueden monitorear, filtrar y restringir acceso a contenido cuestionable.

Los principales riegos para los estudiantes en línea

Al tiempo que los niños incrementan el uso de dispositivos conectados a internet para comunicarse con sus compañeros o hacer la tarea, deben estar al tanto de los riesgos que existen. Mantener una comunicación constante con ellos sobre seguridad en internet es vital para padres, guardianes y educadores, así pueden ayudarles a tener claro que es y que no es un comportamiento prudente al utilizar internet y tomar mejores decisiones al navegar la red.

Mantenerse conscientes de su huella digital

Los chicos deben estar conscientes de su huella digital, como el rastro que dejan de todo lo que hacen en línea, desde los sitios que visitan, hasta el contenido que postean en redes sociales. La actividad digital, vive para siempre, lo cual quiere decir que es difícil- si no imposible- borrar información de internet una vez publicada. Esto conlleva muchas preocupaciones sobre privacidad y pueden hacer al individuo susceptible para recibir contenido inapropiado o no solicitado. Ayudar a los niños para que entiendan como utilizar la configuración de privacidad, mantener una lista de cuentas, eliminar las que no usan y ser conscientes de lo que publican es una buena manera de manejar su huella digital.

Comunicación en línea

Identificar sitios web y apps confiables, no es siempre tan fácil como parece. Hoy, los cibercriminales cuentan con suficientes herramientas a su disposición para poder crear comunicaciones que parezcan legítimas, como sitios web, correos electrónicos diseñados para el robo de datos y fondos de usuarios distraídos. Ante esta premisa es sumamente importante enseñar a los chicos a identificarlos y comunicar cualquier duda a algún adulto. Así como identificar un sitio web malicioso puede ser difícil, reconocer a algún predador virtual puede ser igual de retador. Por eso lo niños deben ser cuidadosos sobre con quien interactúan en plataformas digitales y evitar compartir información personal.

Por esto, desde Fortinet compartimos 8 tips prácticos que todo estudiante puede empezar a implementar:

Utilizar una conexión segura: Fijate en la URL de la barra del buscador. ¿Hay un pequeño símbolo de candado junto a la URL? Si es así, buenas noticias, ya que quiere decir que tiene una conexión segura. Este tipo de conexiones protegen tus datos de ser vistos por fuentes no autorizadas, ayudando a mantener tu información segura.

Elegir contraseñas fuertes: Utilizar contraseñas que sean fáciles de recordar, pero difíciles de adivinar. No incluir nunca información sensible o identificable como cumpleaños, teléfono o dirección, utilizar combinaciones alfanuméricas y sobre todo no reciclar contraseñas.

Activar la autenticación multifactor (MFA) cuando sea posible: Utilizarla ofrece una capa extra de protección contra robo de contraseñas e implementarla es muy fácil. MFA confirma tu identidad al añadir un paso adicional al proceso de inicio de sesión, completado a través de una app o un token. Así aún si la contraseña se ve comprometida, es más difícil que los cibercriminales accedan a la cuenta.

Mantener el software, herramientas y sistemas actualizados: Mantener los dispositivos y aplicaciones actualizados con los últimos parches de seguridad.

Revisar y comprender los términos de privacidad: Leer las letras pequeñas puede sonar aburrido, sin embargo, es vital para mantenerse a salvo en línea. Revisar los términos de privacidad de las aplicaciones ayuda a entender mejor como el creador utilizar los datos y qué control tenemos sobre esas decisiones.

Aprender a identificar enlaces sospechosos: ¿Ese enlace para descargar música o juegos gratis se ve raro? No lo abras. Los enlaces sospechosos pueden ser peligrosos ya que pueden contener malware o contenido malicioso. Como dice el dicho, si es muy bueno para ser verdad, probablemente lo sea.

Ser cuidadosos sobre que o en donde se postea: Una vez que la información ha sido compartida en línea, puede ser difícil de borrar y cualquiera puede verla. ES por eso que es importante ser consciente sobre qué y en donde estamos posteando contenido. Jamás compartas información personal, y hay que pensar muy bien antes de compartir fotos, videos u otro contenido sabiendo que eso va a vivir por siempre en internet.

Ser cuidadoso sobre quien conocemos o con quien hablamos en línea: Podrías pensar que sabes con quien estás conversando en internet, pero la realidad es que es fácil para otros pretender se alguien más. Hay que tener mucho cuidado sobre lo que compartimos con nuestros contactos en línea y jamás hay que aceptar encontrarnos con un contacto que hicimos vía virtual, en persona, no importa que también creemos que lo conocemos. Hay que hablar con un adulto si ese contacto hace o dice algo que resulta incómodo o sospechoso.

La entrada Tips de seguridad para proteger a los estudiantes en línea se publicó primero en Technocio - Tech Trends.

La inseguridad no se limita a los espacios físicos, pues los ciberataques se han convertido en una modalidad de hurto que ha tomado fuerza en los últimos años. Un ejemplo de esto es que tan sólo en el primer semestre del 2023, en Colombia, se registraron 5.000 millones de intentos de ciberataques, ubicándolo como el cuarto país más atacado de la región. Además, en septiembre del mismo año, se registró un ataque de suplantación de identidad (phishing) a 40 empresas en el país.

Por lo que, en conmemoración del Día Mundial de la Contraseña, SONDA explica por qué tecnologías como el reconocimiento facial y la huella digital están emergiendo como las posibles soluciones para contrarrestar esta problemática.

1. Autenticación segura y eficiente: en sectores como la banca y las transacciones financieras, estas tecnologías han reducido el riesgo de suplantación de identidad y fraude financiero. Así mismo, en el último estudio de Colombia Fintech de 2022, el incremento en el uso de billeteras digitales fue de un 195%, evidenciando ser una alternativa significativa para los ciudadanos.

“La identificación y autenticación biométrica han impactado positivamente en aplicaciones de billeteras virtuales, así como la nueva cédula de identidad en el país, pues beneficia la protección de los ciudadanos y sus recursos digitales” aseguró Carlos Bustos, vicepresidente regional de Ciberseguridad de SONDA.

2. Mejora de la experiencia de las personas: la implementación de tecnologías biométricas simplifica y agiliza los procesos de autenticación y acceso, proporcionando una experiencia más conveniente para los usuarios. Esto ha fortalecido la seguridad en aeropuertos, centros comerciales, estadios, entre otros. “Al interior de la compañía, hemos logrado aprovechar las herramientas que se utilizan para la autenticación multifactor donde es posible integrar opciones con mecanismo biométricos” sostuvo el Vicepresidente.

De igual forma, en el sector residencial, el uso de reconocimiento facial y huellas digitales elimina la necesidad de llaves tradicionales, ofreciendo un acceso rápido y sin complicaciones a los hogares, al tiempo que aumenta la seguridad contra robos e intrusiones.

3. Protección integral contra robos: estas tecnologías permiten identificar inequívocamente a un usuario logrando reducir el riesgo de suplantación y fraude. “Hoy en día existen un gran número de dispositivos que soportan estos mecanismos de identificación y autenticación, permitiendo habilitar nuevos servicios y casos de uso, donde la autoatención facilita la interacción con los servicios” explicó Bustos.

Sumado a esto, esta transformación digital se puede expandir en zonas urbanas y residenciales, donde es posible identificar residentes autorizados, mientras que los sistemas de vigilancia pueden integrarse para monitorear y detectar cualquier actividad sospechosa, proporcionando una protección integral las 24 horas del día, los 7 días de la semana.

Existen múltiples usos, desde la identificación de usuarios hasta la autorización de transacciones. El potencial y la capacidad de los dispositivos móviles actuales, así como de las cámaras de vigilancia y otros recursos tecnológicos, han posibilitado el desarrollo de numerosos mecanismos para asegurar una protección más completa y eficiente.

En este sentido, es fundamental tener un sistema de gestión de identidades robusto, que garantice la seguridad en los procesos de identificación, autenticación y seguimiento de usuarios al utilizar tecnologías, como el reconocimiento facial y la huella digital, excelente opción que utiliza características únicas de cada persona para verificar su identidad con alta precisión.

La entrada Tres ventajas de implementar el reconocimiento facial y la huella digital para mejorar la seguridad se publicó primero en Technocio - Tech Trends.

Nuestra huella en el mundo online puede ser rastreada fácilmente y ser usada en delitos y estafas. ESET analiza por qué es importante tener control sobre ella y cómo podemos reducirla.

La huella digital se compone de datos personales (algunos más críticos que otros), que todos juntos dan forma a un perfil permanente de nuestra vida en línea, fácil de rastrear o sensible a posibles filtraciones. ESET analiza por qué es tan importante, mediante buenas prácticas, reducir y controlar el rastro que dejamos online para que los cibercriminales no puedan utilizarlo a su favor, en pos de sus ataques.

La huella digital puede componerse de datos públicos, datos que uno genera, y datos publicados por terceros. Repasemos cada uno:

• Datos públicos: domicilio al cual están asociados los diferentes tipos de servicios o facturas, resúmenes de tarjetas de crédito, resoluciones judiciales.

• Datos que uno genera: posteos y fotos en redes sociales, comentarios en foros, formularios que completas, contenidos personales como currículum que se cargan en plataformas como LinkedIn.

• Datos publicados por otros: como fotos, posteos de nuestro entorno, espacios de pertenencia en redes sociales.

A su vez, estos datos pueden dar forma a dos tipos de huellas:

• Huella activa: incluye los datos que se comparten voluntariamente como publicar fotos, dejar comentarios o participar en foros.

• Huella pasiva: son los datos que se recopilan sin que el usuario sepa, como por ejemplo un sitio web que guarda cuántas veces ha sido visitado y de dónde es el usuario, o una publicidad que hace seguimiento de los “Me gusta” en las redes sociales.

“Una buena manera de comprobar el estado de nuestra huella digital es poner nuestro nombre en Google y visualizar los resultados. Allí hay un pantallazo de la cantidad de datos e información que estamos dejando en el suelo digital. Sobre todo porque la huella es seguida muy de cerca por los cibercriminales para llevar a cabo sus acciones maliciosas como delitos y fraudes aprovechándose del robo y la suplantación de nuestra identidad”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para los cibercriminales es relativamente fácil reconstruir una imagen altamente fidedigna de los hábitos diarios al recopilar la información disponible en línea. Con el agravante de que esto no solo pone en riesgo la privacidad digital, sino que también puede poner en peligro la seguridad física. De hecho, pequeños detalles del pasado pueden ser la punta del ovillo para que un actor malicioso pueda revelar contraseñas. La dark web también pone el foco en la huella digital: el mercado clandestino de los datos personales y sensibles es muy grande y mueve millones, y hasta los menores de edad son víctimas.

Por otro lado, desde ESET destacan que el cibercrimen no es la única preocupación asociada a la huella digital: ésta también puede determinar la reputación digital de una persona. Son muchas las marcas empleadoras que verifican la huella digital de un potencial colaborador antes de tomar una decisión definitiva de contratación. La misma metodología es adoptada por colegios y universidades antes de aceptar a sus nuevos alumnos.

ESET comparte diversas buenas prácticas para reducir la huella digital o minimizarla lo más posible:

• Limitar el volumen de información que se publica y comparte en Internet, ya sea en las redes sociales o con empresas u organizaciones.

• No compartir números de teléfono, direcciones de correo electrónico y domicilio, detalles financieros u otra información personal a menos que sea estrictamente necesario.

• Buscarse en Internet y contactar directamente a los propietarios de los sitios correspondientes para solicitar la eliminación de la información que se desee. También se es posible comunicarse con los motores de búsqueda para hacer lo mismo.

• Utilizar una VPN para enmascarar la dirección IP de los equipos y lograr que las acciones en línea sean prácticamente imposibles de rastrear.

• Verificar regularmente cuáles aplicaciones se utilizan y cuáles no, para eliminar las que corresponden. También es necesario revisar los permisos de las apps que se decidan conservar.

• Considerar el rechazo de las cookies, como también deshabilitar el seguimiento de terceros yendo a la configuración de privacidad del navegador.

• Evitar que las aplicaciones rastreen la ubicación.

“Tener el control total de los datos depende del tipo de usuario que seas. Esto quiere decir que si la privacidad es una de tus preocupaciones y tu presencia online es limitada, seguramente puedas eliminar la mayor parte de tu huella digital. Ahora bien, si tus datos están en redes sociales y otras partes, será más difícil limpiar tu huella. De hecho, tus amigos seguramente hayan publicado fotos tuyas en sus redes y si  a esto se le pueden sumar los datos relacionados con la actividad en línea que los servicios que utilizas recopilan y venden a terceros, con tu propio consentimiento. Más allá de todo, es importante para tu privacidad que puedas limitar lo que las personas o las empresas pueden verificar sobre ti. Se trata solo de dar los pasos en la dirección correcta”, concluyó Gutiérrez Amaya de ESET Latinoamérica.

La entrada ¿Qué es la huella digital y por qué prestarle atención? se publicó primero en Technocio - Tech Trends.

El año pasado presentamos las llaves de acceso (passkeys), un método más fácil y seguro para iniciar sesión en sitios y aplicaciones que sólo requieren de tu huella digital, escaneo facial, PIN, etc. A principios de este año, dimos un paso más cuando implementamos el soporte para llaves de acceso en las cuentas de Google. Estos momentos marcaron dos pasos importantes en nuestro camino hacia una experiencia en línea sin contraseñas.

Para el Mes de Concientización sobre la Ciberseguridad, estamos haciendo que sea aún más fácil comenzar a usar las llaves de acceso al ofrecer la posibilidad de configurarlas para todos los usuarios, de forma predeterminada. Esto significa que la próxima vez que inicies sesión en tu cuenta personal de Google, comenzarás a ver solicitudes para crear y usar llaves de acceso, lo que simplificará tus futuros inicios de sesión. En Android, ya puedes usar tu llave de acceso en lugar de tu contraseña cuando Google necesite verificar que eres tú. Además, estamos viendo que muchos sitios web y aplicaciones líderes se unen al cambio a las llaves de acceso, para que puedas usar tu cuenta de Google y otras más sin contraseñas. Nuestro objetivo es el mismo de siempre, ofrecerte tecnología que sea segura por defecto, para que tengas la seguridad más fuerte pero sin esfuerzo.

Cómo va el viaje hacia una experiencia en línea sin contraseñas

Desde el lanzamiento de las llaves de acceso para las cuentas de Google, nos ha entusiasmado ver que las personas usan y adoptan esta nueva tecnología para acceder a sus aplicaciones favoritas como YouTube, la Búsqueda y Maps, y los resultados nos alientan. Descubrimos que más del 64% de nuestros usuarios encuentran que las llaves de acceso son más fáciles de usar en comparación con los métodos tradicionales, como las contraseñas y la verificación en dos pasos (2SV), mientras que más del 62% se sienten más seguros. La razón por la que las personas encuentran las llaves de acceso más fáciles es porque son un 40% más rápidas que las contraseñas, y sólo requieren el método que utilizas para desbloquear tus dispositivos (huella digital, escaneo facial, PIN, etc.). Mientras que la razón por la que las personas se sienten más seguras se debe a la seguridad incorporada, incluido el diseño resistente al phishing.

Llaves de acceso en más lugares

Desde su lanzamiento a principios de este año, la gente ha utilizado claves de acceso en sus aplicaciones favoritas como YouTube, Búsqueda y Mapas, y los resultados nos alientan. Estamos entusiasmados de ver la creciente adopción en toda la industria. Recientemente, Uber y eBay han habilitado las contraseñas, dando a las personas la opción de deshacerse de las contraseñas al iniciar sesión en sus plataformas, y la compatibilidad con WhatsApp también llegará pronto.

Un camino sin contraseñas está por delante

Los mantendremos informados sobre dónde más puede comenzar a usar claves de acceso en otras cuentas. Mientras tanto, seguiremos alentando a la industria a dar un giro, haciendo que las contraseñas sean una rareza y, eventualmente, obsoletas. Para obtener más información sobre cómo estar más seguro con Google, visita myaccount.google.com/safer.

La entrada Sin contraseñas de forma predeterminada: cambia a las llaves de acceso se publicó primero en Technocio - Tech Trends.

ESET comparte pasos para minimizar la huella digital.

¿Alguna vez te has buscado en Google? Puede sonar extraño, pero es una gran manera de descubrir una pequeña parte de lo que la web sabe y muestra sobre nosotros. Y, lo más importante, es la única forma que se tiene de saber si se necesita pedirle a Google que elimine información personal relevante que no debe compartirse públicamente. ESET comparte 7 pasos para limpiar tu presencia en línea y cuidar los datos personales.

En abril de 2022, Google agregó nuevas opciones para eliminar la información de identificación personal de  su motor de búsqueda, incluidos números de identificación o imágenes del gobierno, detalles bancarios, contactos, información personal y datos específicos como registros médicos. Naturalmente, Google no eliminará los datos personales incluidos en artículos de noticias o bases de datos de registros públicos. Esta función se suma a la opción previamente existente para solicitar el borrado de contenido de la búsqueda que podría usarse para cualquier tipo de daño, como contenido pornográfico no consentido, imágenes de menores o violaciones de derechos de autor.

Una vez que algo está en línea, no hay una forma absoluta de eliminarlo. Pero, desde ESET comparten algunas cosas que se pueden hacer para limpiar la presencia en línea:

1. Buscarte en Google.  Primero se necesita saber todo lo que Internet sabe sobre ti. Busca tu nombre, verifica los resultados en las primeras cinco páginas y combina la búsqueda de nombre con tu número de teléfono o dirección particular para ver qué aparece.

2. Comprueba la configuración de privacidad de los servicios que se utilizan.  Algunas plataformas, como Facebook o Twitter, tienen una opción en su configuración de privacidad que permite proteger tu contenido y contactos para que no aparezcan en los motores de búsqueda.

3. Ponte en contacto con el propietario del sitio web.  Si deseas eliminar una mención específica en otro sitio web, asegúrate de solicitarla al propietario de ese sitio. La mayoría de los sitios web ponen a disposición su información de contacto en “Contáctenos”.

4. Eliminar lo que sea innecesario. Si te preocupa lo que todo el mundo sabe sobre ti, se puede comenzar por eliminar viejas publicaciones de Facebook, tweets, fotos o cualquier contenido que te provoque vergüenza. Además, si se está al tanto de la importancia de la privacidad, también es importante para amigos y familiares, así que eliminar cualquier imagen innecesaria en la que aparezcan.

5. Pedirle a Google y Bing que eliminen la información personal.  Después de hacer un poco de autolimpieza, utilizar la nueva herramienta puesta a disposición por Google para eliminar información personal de sus resultados de búsqueda. Hasta ahora, Bing solo permite la eliminación de imágenes no consensuadas o enlaces rotos y contenido obsoleto. Si eres residente de la UE, utiliza el formulario Derecho al olvido de Google y la Solicitud de bloqueo de búsqueda de Bing.

6. Pensar antes de compartir.  Ahora es momento de planificar el futuro de tu vida virtual. Tal vez todavía se quiera mantener una cuenta en Instagram, LinkedIn o cualquier otra plataforma de redes sociales y eso está bien. Pero hacer un esfuerzo adicional, revisar las preferencias de privacidad, elegir sabiamente quién puede ver las publicaciones y evitar compartir contenido innecesario del que luego puedas arrepentirte.

7. Usar una VPN. Esta capa adicional de protección asegurará que la conexión esté encriptada y la ubicación enmascarada. Sobre todo, esto ayudará a evitar que los hackers metan sus narices en la información personal.

“Siguiendo estos pasos, ¿significa que tienes el control total de sus datos? Lo más probable es que no. Pero también depende del tipo de usuario que seas. Si te preocupa tu privacidad y tienes una presencia limitada en las redes sociales, es probable que puedas eliminar la mayor parte de tu huella digital. Por el contrario, si tus datos están en todas partes y has perdido la cuenta de cuántas veces utilizaste tu dirección de correo electrónico y número de teléfono para iniciar sesión en sitios web y aplicaciones, sin mencionar todos los datos relacionados con tu actividad en línea que esos servicios venden a terceros, con tu consentimiento, es probable que no. De todas maneras, tienes tiempo para limitar lo que las personas o las empresas pueden verificar sobre ti. Esto es importante, no solo para la privacidad general, sino también para evitar daños que puedan provenir de exponer tu privacidad o preferencias personales en el espacio público”, concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada 7 pasos para limpiar tu presencia en línea se publicó primero en Technocio - Tech Trends.

Los líderes necesitan gestionar los riesgos y definir prioridades adecuadas mediante el fortalecimiento de su higiene cibernética para evitar las líneas de ataques más comunes, especialmente en su creciente huella digital.

En los dos últimos años, debido a sucesos sin precedentes, las compañías adoptaron un modelo híbrido que reemplazó el modelo convencional de oficina de tiempo completo. Este cambio llevó a las empresas de todos los tipos a la nube, lo que generó inquietud entre los líderes en cuanto a que sus organizaciones se volvieran menos seguras y más propensas a los ciberataques.

Esto ha llevado a las organizaciones como Microsoft, entre muchas otras, a encontrar maneras de reaccionar antes dichos ataques. El consenso de gobiernos y empresas a nivel mundial reconoce que esto es un imperativo y que es necesario acelerar la adopción de una estrategia de Confianza Cero. En vez de asumir que todo lo que se encuentra detrás del firewall corporativo está protegido, el modelo de Confianza Cero asume una infracción y verifica cada solicitud como si se originara en una red abierta. Independientemente de dónde se origine la solicitud o qué recursos intente acceder, la Confianza Cero nos enseña a “nunca confiar, siempre verificar”.

Después de soportar miles de implementaciones y observar el creciente panorama de amenazas, hemos revisado y evolucionado la arquitectura de Confianza Cero con estos tres principios:

Principios de la Confianza Cero

• Verificar de forma explícita – Autenticar y autorizar siempre con base en todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
• Utilizar acceso con el menos privilegio – Limitar el acceso del usuario justo a tiempo y con acceso suficiente e implementar con rapidez, políticas basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.
• Asumir la vulneración – Minimizar el radio del alcance y segmentar el acceso. Comprobar cifrados de extremo a extremo y usar los análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

“Si deseamos mantener nuestros datos protegidos contra los ciberdelincuentes, es importante invertir en herramientas y capacidades que limiten la pérdida de información y monitoreen constantemente cualquier fuga o exposición de datos. Por todo eso, las organizaciones están en proceso de abordar de forma apropiada sus problemas de ciberseguridad a través de una estrategia de Confianza Cero. Todas las organizaciones necesitan un nuevo modelo de seguridad que se adapte de manera más eficaz a la complejidad del ambiente moderno, que adopte el lugar de trabajo híbrido y que proteja a las personas, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren”, comentó Marcelo Felman, director de Ciberseguridad para Latinoamérica en Microsoft.

Cinco pasos para implementar con éxito una estrategia de Confianza Cero:

La Confianza Cero requiere verificar y comprobar la fiabilidad de cada transacción entre los sistemas (identidad de usuario, dispositivo, red y aplicaciones) antes de que esta suceda. En un entorno ideal de Confianza Cero, los siguientes comportamientos son fundamentales:

1. Fortalecer las credenciales – Utilizar la autenticación multifactorial (MFA) en todo lugar, así como una guía de contraseñas fuertes, y continuar el camino hacia un ambiente sin contraseñas (passwordless). El uso adicional de la biometría asegura una autenticación rigurosa para las identidades de usuario.

2. Reducir la superficie de ataque – Deshabilitar el uso de protocolos antiguos y menos seguros, restringir el acceso a los puntos de entrada, adoptar la autenticación en la nube y ejercer un mayor control sobre el acceso administrativo a los recursos.

3. Automatizar la respuesta ante las amenazas – Aplicar MFA o bloquear el acceso riesgoso e implementar ocasionalmente un cambio seguro de contraseñas. Implementar y automatizar la respuesta y no esperar a que un agente humano responda ante la amenaza.

4. Utilizar inteligencia de la nube – Consultar My Microsoft Secure Score (un resumen numérico de la postura de seguridad de la organización basada en las configuraciones del sistema, el comportamiento de los usuarios y otras medidas de seguridad relacionadas). Monitorear y procesar los registros de auditoría para aprender de ellos y fortalecer las políticas con base en dichos aprendizajes.

5. Empoderar a los colaboradores con autoservicio – Implementar una restauración autónoma de contraseña, brindar acceso autónomo a grupos y aplicaciones y proporcionar a los usuarios repositorios seguros para descargar aplicaciones y archivos.

“La implementación de una estrategia de Confianza Cero no es nada compleja. Los pasos son medidas de higiene que deben considerarse en cualquier compañía que desee protegerse y mitigar los riesgos de seguridad. El modelo de Confianza Cero nos protege contra el 98% de los ataques. Para combatir ese 2% de vulnerabilidades, Microsoft aplica cinco pasos para lograr resiliencia cibernética”, afirmó Felman.

Los cinco pasos de Microsoft para lograr resiliencia cibernética:

1. Aceptar que la vulnerabilidad es inherente al trabajo híbrido y mejorar la resiliencia – Los líderes están preocupados, ya que cerca del 40% de las infracciones de seguridad cometidas el año pasado afectaron su negocio. Ahora que el trabajo híbrido llegó para quedarse, las redes dispersas en la nube son difíciles de proteger, y las empresas ya no tienen la opción de regresar a una red corporativa interna. Para proteger a sus compañías, los líderes deben contratar a expertos en la nube que trabajen en la seguridad de la nube para ayudar a las organizaciones a lograr resultados más seguros, apegados a la norma y productivos.

2. Limitar qué tan lejos puedan llegar los atacantes de ransomware – El ransomware aumentó 1,070% entre julio de 2020 y junio 2021[5]. La severidad de los ataques se está incrementando, con cerca de USD $20,000 millones en daños en el 2021. Se predice que en el 2031 esa cifra superará los USD $265,000 millones^[6]. En aproximadamente el 48% de los ataques de ransomware, las víctimas informaron que los ataques causaron tiempo improductivo en las operaciones, exposición a datos confidenciales y daño a la reputación. Para reducir los ataques, los líderes deben adoptar los principios de Confianza Cero antes mencionados.

3. Elevar la ciberseguridad a una función empresarial estratégica – Los estudios muestran similitudes drásticas entre la percepción de vulnerabilidad y una postura de seguridad madura que aborde la seguridad como una función empresarial estratégica. Nueve de cada diez líderes de seguridad que se sienten vulnerables a los ataques perciben la seguridad como “un catalizador de negocios”. Los líderes de seguridad deben evaluar su estrategia de Confianza Cero, ya que esta postura de seguridad resiliente transforma la seguridad de un servicio de protección en un catalizador de negocios estratégico.

4. Reconocer que quizá ya cuentan con lo necesario para gestionar las crecientes amenazas – Las organizaciones de seguridad maduras son realistas respecto a las amenazas en los actuales ambientes digitales —y optimistas sobre su capacidad para enfrentar los desafíos futuros—. Por ejemplo, mientras que casi el 60% de los líderes consideran las redes como una vulnerabilidad, el 40% considera que este problema continuará durante dos años más. Para lograrlo, los líderes necesitan garantizar que sus actuales inversiones en seguridad — como detección y respuesta de terminales; gestión de correo electrónico, seguridad, identidad y acceso; intermediario de seguridad de acceso a la nube, y herramientas integradas de protección contra amenazas — se configuren adecuadamente y se implementen por completo

5. Implementar funciones básicas de seguridad – Casi todos los ciberataques podrían detenerse si se habilitara la autenticación multifactorial (MFA), se aplicará el acceso de privilegios mínimos, actualización de software, instalación de antimalware y protección de datos. Sin embargo, la adopción de una fuerte autentificación de identidad sigue siendo baja. Se necesita empezar por la identidad: “Contar con una sólida protección de identidad, ya sea MFA, eliminación de contraseña (passwordless) u otras defensas como políticas de acceso condicional, minimiza la oportunidad y dificulta en extremo conducir un ataque”, explica Christopher Glyer, director de Inteligencia de Amenazas en el Centro de Inteligencia de Amenazas de Microsoft (MSTIC).

Si las organizaciones desean prevenir los ataques de ransomware, deben limitar el alcance del daño y obligar a los atacantes a trabajar más duro para obtener acceso a los múltiples sistemas críticos de la empresa.

[1] Protecting against coronavirus themed phishing attacks (microsoft.com) (Protegerse contra los ataques de phishing con el tema de coronavirus [Microsoft.com])

[2] Microsoft Digital Defense Report, OCTUBRE DE 2021

[3] 2021_IC3Report.pdf

[4] Protect your business from password sprays with Microsoft DART recommendations (Proteja su negocio contra los ataques de password spraying con las recomendaciones de Microsoft DART)

[5] Fortinet 2021 Ransomware Survey Report

[6] Cybersecurity Ventures, 2022 Cybersecurity Almanac

La entrada La adopción de la Confianza Cero para reducir el impacto de los ciberataques se publicó primero en Technocio - Tech Trends.

Por: Alexandre Cagnoni, Director de Autenticación de WatchGuard Technologies

La gestión de contraseñas siempre ha sido un desafío para las empresas y supone una enorme responsabilidad para los usuarios habituales que se enfrentan a cientos de contraseñas en su vida digital todos los días.

La idea de un futuro «sin contraseña» parece música para los oídos de todos, ¿verdad? ¡Por supuesto! Pero antes de saltar y convertirnos en 100 % sin contraseña, desmitifiquemos lo que eso significa y las opciones y los desafíos que pueden enfrentar las empresas.

¿Qué significa sin contraseña? Muchas de las aplicaciones de su dispositivo móvil ofrecen un inicio de sesión opcional con su huella digital; si acepta, está iniciando sesión con autenticación sin contraseña. Si tiene habilitado Windows Hello en su computadora portátil, puede que le resulte conveniente iniciar sesión con el reconocimiento facial, ¿verdad? Esa es la autenticación sin contraseña. Cada vez que tiene una forma alternativa de iniciar sesión que no requiere una contraseña, está utilizando un método sin contraseña. Sin embargo, hay un par de observaciones interesantes a tener en cuenta sobre este concepto:

Sin contraseña no significa necesariamente que está eliminando la contraseña, solo tiene una experiencia de usuario sin contraseña. Si su método de autenticación alternativo (como el reconocimiento facial) falla, la contraseña seguirá estando allí.

Los métodos sin contraseña utilizados en su teléfono y computadora portátil no son interoperables. Si inicia sesión en su aplicación de banca móvil con su huella digital y ahora necesita acceder a ella a través de su computadora portátil, deberá proporcionar su contraseña.

El hecho es que las contraseñas no desaparecerán pronto. Los sitios web, las suscripciones de transmisión, su computadora portátil, la tarjeta bancaria y el sitio web bancario utilizan contraseñas, cada una con diferentes requisitos, como la longitud o una combinación específica de caracteres.

¿Pasos para cambiar a la experiencia sin contraseña? Si su empresa está intentando cambiar a una experiencia sin contraseña, existen algunas opciones, pero es posible que solo cubran una parte de sus necesidades. La primera opción es usar SAML (Security Assertion Markup Language), un protocolo basado en XML que permite que las aplicaciones en la nube creen una relación de confianza con un proveedor de identidad o SAML IdP. Dentro de esa confianza, cada vez que desee acceder a una aplicación en la nube como Salesforce, lo redirigirá a un proveedor de identidad para la autenticación. Los beneficios para una empresa son enormes y permiten a los empleados utilizar un método de inicio de sesión único en esas aplicaciones en la nube a través de una experiencia completamente sin contraseña. Deberá iniciar sesión una vez en el proveedor de identidad, pero obtendrá acceso a todas las aplicaciones configuradas, lo que eliminará la necesidad de contraseñas una vez que lo haga. Solo tiene que usar un método MFA confiable para iniciar sesión en el proveedor de identidad. MFA tiene la llave del castillo. La segunda opción es adoptar un dispositivo FIDO2 que pueda brindarle una experiencia sin contraseña. La Alianza FIDO creó especificaciones para crear un método sin contraseña para iniciar sesión en sitios web y aplicaciones. Por lo general, requiere un token de hardware que utiliza un determinado método de conexión (USB, Bluetooth, NFC, etc.) para autenticarse en una aplicación habilitada para FIDO2. Como el ejemplo de reconocimiento facial de Windows Hello; Los dispositivos FIDO2 también se pueden usar para iniciar sesión en su computadora sin usar una contraseña. Es un método excelente y totalmente seguro. Aún así, presenta barreras como aplicaciones de soporte limitado y la necesidad de métodos de autenticación de respaldo en caso de que olvide o pierda su token. Sin mencionar la barrera del costo: los dispositivos FIDO2 pueden ser bastante caros.

Una implementación sin contraseña debe tener en cuenta la experiencia del usuario además de la seguridad. Por ejemplo, no debe eliminar la contraseña si planea mantener un método 1FA para autenticarse. Las OTP de SMS, por ejemplo, son notoriamente inseguras; convertirlos en su única forma de autenticación es un gran error. Cuando se usa sólo la autenticación basada en inserción, sin un método adicional, los atacantes aún pueden usar el bombardeo MFA para obligar a los usuarios a aceptar una inserción si el proceso MFA en sí no está protegido.

Finalmente, veo que muchas personas cuestionan la necesidad de un administrador de contraseñas si Passwordless es la nueva tendencia. Las contraseñas no desaparecerán pronto y es casi imposible tener contraseñas diferentes y complejas para cada aplicación. Un administrador de contraseñas es una excelente manera de educar a los usuarios y mitigar los problemas con las bases de datos de la DarkWeb difíciles de descifrar mientras ofrece a los usuarios una experiencia sin contraseña. Inicie sesión en su administrador de contraseñas con MFA y deje que inicie el sitio web e inicie sesión automáticamente.

Ver más: Superar los desafíos de seguridad en evolución con la autenticación biométrica

Aquí hay algunos puntos clave y sugerencias basadas en el estado actual de la autenticación sin contraseña:

• «Sin contraseña» significa que el usuario no está ingresando una contraseña; no significa que la contraseña ya no exista.

• Las contraseñas no van a ninguna parte, por lo que deberá encontrar mejores formas de administrar y mitigar cualquier problema que surja en el camino.

• SAML es una excelente manera de proporcionar acceso SSO sin contraseña a aplicaciones en la nube protegidas para aplicaciones empresariales en la nube.

• Los tokens FIDO2 pueden brindar una excelente experiencia de usuario y seguridad para los inicios de sesión en la computadora, pero generalmente a un precio más alto.

• Un administrador de contraseñas puede brindar a los usuarios una experiencia sin contraseña para las aplicaciones que no admiten MFA de forma nativa mientras mitiga múltiples problemas relacionados con las credenciales.

Como puede ver, dependiendo de lo que intente lograr, un método completamente sin contraseña podría ser el mejor curso de acción. Todavía no existe un estándar claro para la autenticación sin contraseña que pueda interoperar con múltiples dispositivos y aplicaciones. Necesitará un token de hardware muy costoso, similar a una navaja suiza, para tener experiencias similares con su computadora portátil y dispositivo móvil, pero solo para algunas aplicaciones.

Supongamos que inicia sesión en su computadora todos los días usando el reconocimiento facial con Windows Hello; el inicio de sesión de Windows Hello no se puede usar para acceder a la mayoría de los sitios web a los que accede todos los días.

Cada sitio web tiene su método de inicio de sesión. En unos años, FIDO2 podría convertirse en el estándar de facto para Passwordless, pero por ahora. su uso es todavía muy limitado. Mi recomendación, como siempre, es identificar las aplicaciones más críticas que intenta proteger y qué métodos sin contraseña se pueden aplicar a cada una.

Tenga en cuenta la experiencia del usuario, pero no se olvide de la seguridad o los costos de administración. La consigna será: ¿Cuáles son los factores clave que su organización debe considerar antes de adoptar un enfoque e implementación de autenticación sin contraseña?

La entrada El estado actual de la autenticación sin contraseña se publicó primero en Technocio - Tech Trends.

Este Día de la Tierra, Kaspersky ofrece consejos para el borrado seguro de datos personales antes de revender o reciclar dispositivos

Comprar un dispositivo nuevo requiere una gran inversión, especialmente si se trata de adquirir el último modelo. Para ahorrar dinero, muchas personas buscan dispositivos usados ​​en buenas condiciones. Sin embargo, un estudio realizado por investigadores de Kaspersky reveló que los propietarios deben prestar más atención antes de vender o desechar sus equipos electrónicos. Al analizar más de 185 dispositivos revendidos con medios de almacenamiento de información, como tarjetas de memoria y discos duros, durante un período de dos meses, los expertos encontraron datos de los dueños originales en el 90% de ellos; de este total, el 16% dio acceso directo a la información.

Los investigadores de la empresa de ciberseguridad también encontraron que era posible extraer datos del 74% de los dispositivos utilizando métodos más complejos, como la talla de archivos, que recupera archivos de los medios de almacenamiento. Entre los datos detectados se encontraban entradas de calendarios, notas de reuniones, fotos y videos personales, documentos fiscales, información bancaria, credenciales de inicio de sesión y datos médicos. Toda esta información personal podría poner en riesgo la identidad y privacidad de los expropietarios al caer en las manos equivocadas. Además, el 17% de los dispositivos activaron la detección antimalware de Kaspersky, lo que significa que quien comprara el dispositivo no solo obtendría los datos confidenciales del antiguo propietario, pero también heredaría un programa malicioso.

“Este estudio tiene como principal objetivo alertar a las personas sobre su responsabilidad en la protección de sus datos personales. Además, veo dos lecciones importantes: primero, tenemos que hacer un hábito usar el cifrado cada vez que vamos a almacenar información en un dispositivo externo, ya que este se puede perder, ser robado u olvidar en algún lugar. Si alguien llega a acceder al equipo, esta tecnología garantizará la seguridad de los datos. Todos deben recordar que, dependiendo de los datos que sean filtrados, además de nosotros mismos, podemos poner a amigos, familiares o la empresa en la que trabajamos en una situación peligrosa”, advierte Roberto Martínez, analista senior de seguridad en Kaspersky.

“Otra lección es cómo tener cuidado al desechar, reciclar o vender un dispositivo con medios de almacenamiento. No basta con borrar los datos o formatear el disco duro, ya que cualquier persona con un poco de conocimiento técnico podrá recuperar esta información. Es necesario realizar un borrado completo, con la sobrescritura completa”, enfatiza Martínez.

Para reciclar de manera correcta nuestros dispositivos al reducir nuestra huella ambiental, los expertos de Kaspersky recomiendan:

• Guarda tus datos de forma segura. Realiza una copia de seguridad de todos los archivos que deseas conservar antes de formatear el dispositivo a las configuraciones de fábrica.

• Elimina tu huella digital: No es suficiente con eliminar archivos y carpetas personales. También se debe eliminar favoritos, contraseñas, cookies e historial de navegación, así como cuentas de correo electrónico y mensajería instantánea. Si es posible, usa la herramienta de eliminación de datos, Cipher, integrada en Windows, que normalmente se usa para el cifrado, pero también es capaz de eliminar archivos del disco duro o inutilizarlos.

• Retira las tarjetas de almacenamiento. Es esencial remover físicamente todas las tarjetas que contienen datos. Esto incluye las tarjetas SIM de los smartphones.

• Asegúrate de que se sobreescriba la información del dispositivo: La sobrescritura se puede realizar mediante programas diseñados para ello. Por ejemplo, Kaspersky Total Security cuenta con la función File Shredder. Esta herramienta garantiza que los datos seleccionados se sobrescribirán repetidamente y, por lo tanto, no se puedan recuperar.

La entrada El 90% de los dispositivos de segunda mano contiene información confidencial del propietario original  se publicó primero en Technocio - Tech Trends.

En alianza con la empresa periodística Impacto TIC, Facebook lanzó en Colombia Soy Digital: un programa de formación que tiene como fin promover una ciudadanía digital responsable, a través de talleres virtuales orientados a potenciar el pensamiento crítico, el diálogo democrático y la responsabilidad de los usuarios en línea como ciudadanos digitales.

El programa, creado por Facebook en el mundo en 2019, contempla módulos gratuitos sobre cómo funciona internet, en qué consiste la huella digital, la importancia de la seguridad en línea, la empatía e interacción respetuosa, la lucha contra la desinformación, el discurso digital responsable, entre otros.

El contenido formativo fue desarrollado de la mano de un grupo de expertos a nivel global provenientes de la academia, la sociedad civil y múltiples ONG, y será ejecutado en el país por la empresa periodística Impacto TIC. Como lo indica la iniciativa, Soy Digital contará en Colombia con un Consejo de Asesores, el cual estará conformado por INNpulsa y el Centro para la Cuarta Revolución Industrial.

“Dada la inmensa cantidad de información que fluye todos los días, una de las tareas más importantes que debemos llevar a cabo como ciudadanos responsables es sentar las bases de nuestro pensamiento crítico. Por esto Facebook creó Soy Digital. Con esta iniciativa, buscamos contribuir con recursos que ayuden al crecimiento de una comunidad global de ciudadanos digitales responsables, que se comuniquen respetuosamente y que ejerzan el pensamiento crítico sobre la información que reciben y comparten”, expresó Diego Bassante, jefe de Políticas Públicas para la Región Andina.

“Si cada vez estamos más conectados y pasamos más tiempo en las plataformas digitales, ¿no deberíamos propiciar entre todos un futuro digital más sano, seguro y respetuoso? La llegada de este programa mundial de alfabetización digital de Facebook a Colombia de la mano de Impacto TIC permitirá sensibilizar a la mayor cantidad posible de personas, capacitar a usuarios en las diferentes regiones del país y propiciar un verdadero cambio en el comportamiento digital de los colombianos”, dijo Fernando Muñoz, codirector de Impacto TIC y líder de la ejecución del programa en el país.

Los talleres de Soy Digital iniciarán el martes 1 de diciembre en Colombia, con un evento online que contará con representantes de Facebook e Impacto TIC, y la participación de Germán Rueda, viceministro de Transformación Digital; Víctor Galindo, director de iNNpulsa Digital; y María Elisa Rojas del Centro para la Cuarta Revolución Industrial de Colombia. Para inscribirse al programa, las personas deben inscribirse de forma gratuita en este link.

Para más información sobre esta iniciativa: visitar el sitio web Soy Digital Colombia

La entrada Facebook e Impacto TIC unen esfuerzos para ofrecer talleres en ciudadanía digital a más de 10,000 colombianos  se publicó primero en Technocio - Tech Trends.