blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
agosto 30, 2023

La importancia de conocer nuestra Huella Digital

NextVision

0

Conocer nuestra Huella Digital: su significado e  impacto .

El mundo actual ha ido evolucionando en los últimos años, y se ha acelerado la transformación digital en la mayoría de las organizaciones. Esto ha incrementado la participación en internet y el crecimiento de las relaciones a través de este canal. Considerando esta situación, es posible que surja el siguiente interrogante ¿Es importante tener conocimiento de nuestra Huella Digital?

 

“Huella Digital” es un término que incluye todos los registros que dejamos al ingresar a internet. Esto afecta de una manera directa a la seguridad y privacidad de los individuos y organizaciones. 

 

Al realizar publicaciones en redes sociales, suscribirnos a un portal, hacer compras o aceptar las cookies de una página web, dejamos un rastro digital con el cual podrían crear un perfil con diversos datos personales.

 

Es de conocimiento generalizado que diversas tecnologías han estado utilizando la información que dejamos en internet con diferentes fines, desde estadísticos hasta publicitarios. Por esta razón, frecuentemente recibimos anuncios publicitarios que parecen demasiado oportunos.

 

Es importante tener en cuenta que, si no cuidamos nuestra identidad digital, toda esta información puede jugar un papel muy importante en el mundo del cibercrimen. A partir de ellos, los ciberdelincuentes pueden hacer ingeniería social, conocernos más en detalle y engañarnos a través de fraudes digitales. Los más famosos: Phishing, Ransomware.

 

Nuestro partner Kaspersky muestra en sus últimos informes que los ataques en Latinoamérica siguen creciendo. Fueron analizados datos correspondientes al rango Enero – Agosto de 2021 y el mismo período del año 2022, y se evidencia que fueron bloqueados 2,366 ataques de malware y 110 mensajes fraudulentos (Phishing).

También es importante tener en cuenta que el 80% de los ciberataques se originan por errores humanos y diferentes hábitos de navegación que los usuarios puedan tener, pero ¿qué pueden hacer las empresas para protegerse?

 

Para contrarrestar la posibilidad de sufrir estos incidentes, es importante contar con herramientas que permitan monitorear y dar seguimiento continuo de la huella digital, para poder gestionarla con la finalidad de predecir posibles ataques. Servicios como NV Cibervigilancia ayudan en esta tarea y permiten a las organizaciones predecir ataques, monitoreando y haciendo seguimiento permanente de su huella digital, en la clear, deep y dark web.

 

Por otro lado, también es importante construir una cultura cibersegura dentro de las organizaciones. Implementar un programa como NV Awareness, ayuda a los colaboradores a comprender el mundo digital y aprender buenas prácticas en el uso de internet.

 

Autor de la nota: José Alejandro Fleming González  – Consultor de Tecnología y Ciberseguridad en NextVision.

*Referencias:

https://es.cointelegraph.com/news/kaspersky-records-more-than-2-300-malware-attacks-per-minute-in-the-latam-region

 

noviembre 30, 2021

7 Recomendaciones de Ciberseguridad

dia internacional de la ciberseguridad

NextVision

0

Un mundo digital seguro comienza contigo: A más conectividad, más seguridad.

 

Cada 30 de noviembre conmemoramos el Día Mundial de la Ciberseguridad con nuestra visión de construir una cultura cibersegura. .

Por ello y para concienciar sobre los riesgos que existen en el mundo digital, aconsejamos implementar las siguientes recomendaciones de ciberseguridad para evitar ser víctimas de un ciberataque.

7 Recomendaciones de Ciberseguridad

ACTUALIZA TU SOFTWARE CON REGULARIDAD

Una actualización de software puede incluir parches de seguridad, corrección de errores y solución de vulnerabilidades.

Es indispensable que mantengas actualizado tu sistema operativo, tus aplicaciones, tu navegador, etc.

1. ACTUALIZA TU SOFTWARE CON REGULARIDAD
2. ANTE LA DUDA, DESCONFÍA Y PIENSA ANTES DE HACER CLIC

DESCONFÍA ANTE LA DUDA Y PIENSA ANTES DE HACER CLIC

Te recomendamos que nunca abras un archivo adjunto y no hagas clic en un enlace de remitentes no reconocidos o correos que no esperabas recibir.

En promociones, ofertas, sorteos o mensajes de remitentes conocidos que realizan solicitudes extrañas, confirma primero su veracidad.

CONTROLA TUS HUELLAS DIGITALES

Las huellas digitales son un conjunto de acciones digitales rastreables.

Es sumamente importante que compruebes tus actividades con regularidad y elimines las cuentas que no utilizas, a modo de detectar actividades sospechosas.

Restablece la contraseña de las cuentas a las que no ingresaste durante un largo tiempo.

3. CONTROLA TUS HUELLAS DIGITALES
PROTEGE TUS CONTRASEÑAS

PROTEGE TUS CONTRASEÑAS

Actualiza tus contraseñas periódicamente y no las reutilices en tus redes sociales ni en sitios potencialmente inseguros. Crea contraseñas fáciles de recordar y difíciles de adivinar.

Utiliza 8 caracteres como mínimo y combina, por ejemplo, mayúsculas, minúsculas, números y caracteres especiales.

UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN

En aplicaciones, plataformas, correos electrónicos, redes sociales y en todo software que lo permita, implementa el doble factor de autenticación para añadir una barrera más de seguridad.

Compartimos tutoriales para implementarlo en:

5. UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN
6. HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

Contar con un backup de la información almacenada es una medida para minimizar el impacto de un ciberataque y asegurar la continuidad del trabajo.

Las copias de seguridad deberían estar cifradas y disponibles para restaurar en caso de ser necesario.

ESTABLECE CONEXIONES SEGURAS

No conectes tus dispositivos a redes Wi-Fi públicas y recuerda utilizar una red privada virtual (VPN). Esto, garantizará que la conexión esté encriptada, dificultando el acceso de un atacante.

7. ESTABLECE CONEXIONES SEGURAS

El 80% de los ciberataques comienzan con un fallo humano. Los ciberdelincuentes lo saben

Comparte estas recomendaciones de ciberseguridad y fomentemos juntos la concientización para mantenernos más seguros y atentos, evitando caer en ciberataques.

octubre 26, 2021

Los ataques ransomware crecieron más de 700% durante el 2021

Ataques Ransomware

NextVision

0

Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.

También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.

 

Los valores del Ataque de Ransomware

Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.

El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.

El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.

El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.

La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.

«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.

 

La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.

 

Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.

«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.

Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.

Desde el punto de vista de Kaspersky, los ataques de ransomware «Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan». Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo: «Causan y seguirán causando más trastornos que antes».

Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.

El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.

Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.

diciembre 16, 2019

Colaboradores: Principal puerta de entrada a los ciberdelincuentes

NextVision

0

El 85% de los incidentes de ciberseguridad están asociados a errores humanos, más que a fallos en tecnología o procesos, según el estudio de Cyber Insecurity: Managing Threats From Within, de la Unidad de Inteligencia de The Economist. 

A pesar de esto, sorprende que más del 48% de las empresas no cuenten con programas de capacitación y sensibilización orientadas a empleados (según la Encuesta del Estado Global de la Seguridad de la Información, GISS, 2018). 

Y es que cuando los colaboradores y los proveedores no son considerados como parte esencial de la estrategia de ciberseguridad corporativa, los análisis de vulnerabilidad y mapas de ciberriesgos quedan incompletos, pues son ellos, los empleados, los que terminan siendo la principal y más accesible puerta de entrada para los ciberdelincuentes. 

Entonces, al dejar de lado la implementación de programas de concienciación (awareness) y educación, que busquen cambios de hábitos en entornos digitales para todos los empleados -sin importar su edad, cargo o nivel educativo-, muchos de ellos no sabrán cómo y por qué qué es tan importante evitar abrir vínculos de remitentes desconocidos, o por qué no conviene descargar esa app que se puso de moda.

Estas son algunas formas en las que se están materializando la mayoría de los riesgos. Como verás, concientizar sobre la necesidad de proteger la seguridad de la información y los datos resulta mucho más fácil y eficiente que remediar las consecuencias de la materialización del riesgo: 

Ingeniería Social

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques

El phishing es una de las más tradicionales formas de Ingeniería Social y sorprende que muchos todavía sigan cayendo en la trampa. El atacante envía mails con enlaces que llevan a sitios web comprometidos que descargan malware, o a uno falso -idéntico al real- que solicita las credenciales para acceder a información privilegiada. 

Descarga de Malware

Los colaboradores pueden infectar los sistemas de la empresa con software malicioso sin darse cuenta, al descargar actualizaciones de aplicaciones falsas, visitando sitios web comprometidos, descargando software pirata o abriendo archivos adjuntos y enlaces de correos electrónicos. 

Es otra de las formas que han encontrado los ciberdelincuentes para acceder a información sensible, secuestrando datos importantes y exigiendo luego fortunas por su rescate. Algo que definitivamente puede mitigarse al contar con empleados formados e informados en aspectos básicos de ciberseguridad. 

Gestión de Dispositivos

Con la reciente flexibilización laboral en la que los colaboradores pueden estar en cualquier lugar del mundo, o con tendencias como “Bring your own device”, los riesgos incrementan, pues tradicionales bloqueos de páginas en los navegadores quedan obsoletos, tampoco se podrá hacer seguimiento detallado al cumplimiento de los protocolos de seguridad ¿Los conocen acaso? 

Estos trabajadores remotos podrían descargar malware o podrían acceder a redes wifi inseguras con mayor facilidad que los colaboradores in house, lo que les facilita a los ciberdelincuentes el acceso a los sistemas de la empresa.

Además, ¿Saben tus colaboradores qué deben hacer en caso de perder los dispositivos que tenían conectados a las plataformas de tu empresa?, ¿Qué pasa si les roban el celular o la laptop?, ¿Cuentan con accesos seguros que impidan el fácil acceso a información sensible?

Autenticación

Es indispensable que los colaboradores tengan un doble factor de autenticación para ingresar a los sistemas, así como configurar diferentes passwords para cada plataforma. En la realidad, por pereza o desinterés, suelen usar una única contraseña para todas sus cuentas, aumentando la vulnerabilidad de la empresa. 

Por todo lo anterior, para las empresas de hoy es importante contar con programas de awareness dentro de sus estrategias de seguridad corporativa, en las que brinden sensibilización y capacitación a todos los colaboradores de la organización, en todos los niveles -no solo mandos medios y directivos-.

Te sorprendería saber lo fácil que tus empleados caerían en alguna de estas amenazas, ¡Intentá realizar un simulacro!

Recordá que para combatir los ataques de ingeniería social y otros ciberriesgos se debe promover entre todos los colaboradores cambios de comportamiento y autocuidado en entornos digitales, y no olvidemos tener en cuenta también a los proveedores. 

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas. 

Además, con NV Vendor Risk Management podrás evaluar el nivel de ciberriesgo que pueden añadir proveedores o terceras partes a tu organización a través de scoring y cuestionarios automatizados. También te permite medir la reputación de tu empresa y compararla con tu industria en relación a ciberseguridad.

¡Contactanos!

noviembre 28, 2019

Black Friday: Ciberseguridad para garantizar el éxito en tus compras.

NextVision

0

Las compras en línea han llegado para quedarse y el Black Friday es una fecha relevante en cuanto a compras online se refiere.

Black Friday, se ha convertido rápidamente en uno de los días de compras en línea más importantes del año, en la que se inaugura la temporada de compras navideñas con significativas rebajas en muchas tiendas.

Ofertas para aprovechar pero…

Las ofertas de productos, viajes y hoteles son innumerables y los precios increíbles. Pero debemos ser cuidadosos ya que muchas de estas ofertas son falsas y provienen de ciberdelincuentes.

Si caemos en sus engaños, no sólo que no recibiremos nunca nuestra compra, sino que también robarán nuestra información financiera, como el número y código de seguridad de nuestra tarjeta de crédito.

Cómo podemos disfrutar de las ofertas con seguridad?

Aprovechar de manera segura estas promociones especiales es muy fácil. Sólo debemos seguir unos simples tips y, ¡disfrutar de todas las ofertas sin ningún inconveniente!

Tip #1: Comprar en tiendas de confianza

A la hora de elegir una tienda para realizar compras en estas fechas, seleccionemos tiendas conocidas, con una buena reputación y de amplia trayectoria.Si tenemos dudas, podemos consultar la experiencia de otras personas que hayan realizado compras en la tienda en cuestión.

Tip #2: Evitar hacer clic directamente en publicidades

Si nos interesa una promoción en particular recibida mediante correo electrónico u otro medio tecnológico como redes sociales o aplicaciones de mensajería, evitemos hacer clic en dichas publicidades.En cambio, ingresemos directamente la URL de la tienda oficial que ofrece dicha promoción, para asegurarnos de adquirirla en el sitio adecuado.

Tip #3: No realizar compras en conexiones WIFI abiertas o públicas

Bajo ninguna circunstancia debemos comprar utilizando una conexión a Internet abierta o pública como la de un bar o shopping, ya que nuestra información privada – como ser los datos de nuestra tarjeta de crédito – puede ser robada sin problemas por un cibercriminalSiempre debemos utilizar una conexión de Internet privada de un lugar de confianza, o bien la conexión de datos de nuestro celular.

Tip #4: Contar con herramientas de seguridad 

 También es importante contar con herramientas de seguridad. De esta forma estaremos protegidos frente a posibles ataques de malware que puedan robar información. Un buen antivirus puede ser vital para protegernos.Además, tener los sistemas actualizados con las últimas versiones será esencial. A veces se aprovechan de vulnerabilidades que existen en los dispositivos y herramientas que utilizamos. Es así como pueden enviar ataques de este tipo. Lo aconsejable es siempre tener las últimas versiones y parches de seguridad instalados. De esta forma podremos cerrar esas posibles brechas de seguridad que nos pongan en riesgo.

¡Tengamos en cuenta estos tips y disfrutemos de realizar compras seguras en Internet!

Estos tips son solo algunos de los que habitualmente enviamos a los colaboradores de nuestros clientes para que sepan cómo protegerse en el mundo digital.¿Te interesa implementar un programa de concientización para cuidar tu información corporativa? Conocé nuestro programa NV AWARENESS. ¡¡ Contactanos !!

agosto 14, 2019

De VIP a Very Attacked Persons: alta dirección en la mira de los ciberdelincuentes

NextVision

0

Los ciberdelincuentes han encontrado que las personas que ocupan cargos de la alta dirección en las compañías son igual o incluso más vulnerables que el resto de los empleados. El ritmo de trabajo, la presión por tomar buenas decisiones en tiempo real y la necesidad de mantener un buen relacionamiento tanto presencial como on-line, los ha convertido en blanco de los criminales. 

Los ataques cibernéticos son hoy uno de los principales riesgos que deben afrontar las compañías, pues día a día aumentan las amenazas y los delincuentes van encontrando nuevas formas de vulnerar la seguridad de la información, más con la aparición de diversas tecnologías que no siempre son consideradas, como los IoT o los mismos dispositivos móviles de los colaboradores. 

Adicional a esto, los cibercriminales han detectado que las personas suelen ser más vulnerables  y fáciles de engañar que los sistemas, por lo que los empleados pueden ser la mejor puerta de entrada a una organización. Más aún aquellos que ocupan cargos de la alta dirección, que se han convertido en uno de los blancos preferidos porque la intensidad del trabajo que llevan adelante, la obligación  de tomar decisiones en forma inmediata y la necesidad de relacionamiento con personas por fuera de su círculo cercano, pueden cometer imprudencias en el manejo de la información. 

Si a esto sumamos su posible falta de información sobre las nuevas amenazas cibernéticas, el acceso de sus dispositivos personales a las redes corporativas y los datos sensibles sobre el core del negocio que manejan en sus comunicaciones, hacen que de ser vulnerados, se pueda ver comprometida la continuidad del negocio -no solo sus datos personales o financieros, que también suelen ser atractivos-.

Por esto, cada vez son más frecuentes los ciberataques dirigidos a personas que, usando diferentes métodos de ingeniería social, logran ganarse la confianza y engañar a los empleados para que entreguen la información que los criminales requieren. Entre los más usados para embaucar a los directivos, tenemos: 

  • Phishing. Es una de las más tradicionales y sorprende que muchos todavía sigan cayendo en la trampa. El atacante envía mails con enlaces que llevan a sitios web comprometidos que descargan malware, o a uno falso -idéntico al real- que solicita las credenciales para acceder a información privilegiada. 
  • Pretexting. Muy usado en redes como LinkedIn. El ciberdelincuente investiga profundamente al directivo para luego presentarse como alguien relevante para sus intereses. Crea una identidad falsa y mantiene una relación cordial hasta ganarse su confianza y así obtener información privilegiada. El éxito de esta técnica reside en gran medida en la habilidad del atacante para construir confianza, pero también puede aprovecharse de la falta de información y el sentido de urgencia: ¿Qué tal si se hace pasar por el operador de servicios de TI que requiere ingresar a los dispositivos para realizar una actualización urgente ante una inminente amenaza, y para ello necesita las credenciales de acceso? ¿Están preparados los directivos de tu organización para saber cómo responder ante esto?
  • Usar un cebo. Su característica primordial es la promesa de un beneficio: Descarga de software, acceso a una serie o documento, promesa de actualización, etc. Allí los ciberdelincuentes engañan a las víctimas y lo que realmente terminan descargando es un archivo malicioso que les otorga accesos. Otro clásico es el de dejar pen drives infectadas en estacionamientos o sectores de oficinas en donde se encuentren los altos mandos, tal vez alguno decida utilizarla en medio de una urgencia y con esto infecta su computadora, dejando abierta la puerta de la organización para que los delincuentes encuentren la información que requerían. 

Esto por mencionar solo algunos métodos. Como vemos, si bien los ataques van dirigidos a las personas, el fin de los cibercriminales no son ellos, son las empresas para las cuales trabajan, los colaboradores son el medio más vulnerable con el que pueden llegar a su objetivo principal. Y no es solo el CEO o el directorio el que está en la mira, los gerentes y jefes de otros departamentos y áreas también están siendo considerados como objetivos valiosos por sus funciones y el acceso que tienen al dinero o la información, por ejemplo:

  • Recursos Humanos. Pueden recibir CVs infectadas o caer en un engaño y terminar enviando información sensible de los empleados, como números de DNI, cuentas bancarias o direcciones de correo electrónico.
  • Contabilidad, Tesorería o Finanzas. Es común que en algunas empresas solo se solicite un mail de aprobación de algún jefe o el CEO para realizar transferencias bancarias u operaciones financieras. Si no existe algún mecanismo de control o verificación, puede resultar muy fácil engañarlos. 
  • Aunque pueda parecer paradójico, los gerentes y personal de TI son objetivos de alto valor para los delincuentes: si logran su cometido, podrían tomar el control sobre las credenciales de acceso, la administración de contraseñas y las cuentas de correo electrónico, entre muchos otros datos.

¿Y cómo prevenir estos ciberataques dirigidos a los directivos?

Tanto los directivos como demás colaboradores de la organización deben estar sensibilizados, informados y capacitados sobre las nuevas amenazas y técnicas que van surgiendo con el paso del tiempo. Es necesario que conozcan el modo de operación de los delincuentes y sepan cómo actuar, qué responder y ante quién denunciar en caso de recibir algún ataque. 

Es importante que interioricen que es básico tener cuidado con emails o llamadas telefónicas de personas de las que no se solicitó nada, se debe verificar la fuente del mensaje antes de entregar cualquier información, además de tomarse el tiempo necesario y prestar especial atención a los detalles en emails, inmails o mensajes. Tampoco deben descargarse archivos adjuntos de correos que provengan de remitentes desconocidos, ni hacer clic en los enlaces. 

Los programas de concientización y capacitación en seguridad de la información (awareness) deben enfocarse en lograr que los colaboradores de todos los niveles jerárquicos desarrollen habilidades para identificar e informar cualquier intento malicioso de ingeniería social, más aún aquellos que desempeñan cargos de mandos medios y directivos. Y aunque a veces pueda ser difícil obtener su atención para que atiendan este tipo de capacitaciones, podríamos comenzar por ejecutar un simulacro de ciberataque que luego nos permita mostrar los posibles riesgos que pudieron materializarse como consecuencia de las decisiones que tomaron. 

Esto también permitirá evaluar el impacto de las capacitaciones en temas de seguridad y se podrán identificar potenciales falencias que marquen el camino de los próximos programas para que respondan a estas necesidades.

Debido a que la ingeniería social está vinculada con las capacidades humanas, se requiere una estrategia de seguridad enfocada en las personas, que busque modificar comportamientos y aumentar el nivel de compromiso de los empleados. Este es uno de los mayores retos que enfrentan hoy en día las áreas de seguridad, por eso en NextVision hemos desarrollado NV Awareness, para acompañar a tu empresa con estrategias integrales que incluyan además la educación y transformación de los hábitos de los colaboradores, programa en el cual también incluimos charlas específicas para directivos y mandos medios. ¡Contactanos!

julio 17, 2019

¿Por qué no deberías saber cómo te verás al envejecer? ¡Ojo con la privacidad de tu información!

NextVision

0

Como ha pasado anteriormente, en redes sociales se vuelve tendencia el uso de una aplicación (ya sea algún filtro o interacción en Facebook, o una app en el celular) y todos nos volcamos a ella, sin pensar (¡ni leer!) cuáles son las condiciones de privacidad, qué datos o qué accesos les estamos entregando. 

Es el caso de FaceApp, que lleva días siendo tópico mundial y que recién se está advirtiendo en los medios de comunicación sobre los riesgos de usar esta aplicación -de origen y servidores rusos-, que permite la edición de fotografías a partir del uso de Inteligencia Artificial: tienen nuestros datos, asociados a nuestro rostro. 

  • ¿Qué tan recomendable es ceder a la aplicación información personal, como la que se incluye en fotos del rostro, a cambio de un rato de diversión? Es el enfoque de esta nota de BBC Mundo >> 
  • Los expertos en ciberseguridad han alertado que la política de privacidad de la app le deja a la empresa un amplio margen de maniobra, asegura esta publicación de Rumbos >>
  • Más allá de FaceApp: cómo tu rostro entrena a herramientas de reconocimiento facial sin consentimiento, publicó el diario La Nación >>

¿Qué tan precavidos son los colaboradores de tu empresa ante estas modas pasajeras que ponen en riesgo los datos?, ¿cuentan con sensibilización y educación para pensar dos veces antes de dejar en cualquier lugar su información? 

julio 5, 2019

Estas son las 6 tendencias en ciberseguridad para la segunda mitad del año

NextVision

0

¿Han cambiado los desafíos y enfoques en ciberseguridad para las empresas en esta segunda mitad del año? Para responder a esta inquietud, Cyber Security Hub realizó nuevamente su encuesta a ejecutivos y directivos de seguridad. 

Comparando estos resultados versus los encontrados a finales del año pasado -cuando se identificaron las principales prioridades para 2019-, vemos que algunos retos como el awareness o concientización siguen siendo prioritarios, mientras otros, como los dispositivos IoT, tienden a preocupar menos. 

Veamos entonces cuáles son las 6 tendencias en ciberseguridad para la segunda mitad del año:

  • La sofisticación de los cibercriminales seguirá en crecimiento, sin embargo, las tipologías de amenazas consideradas más peligrosas cambiaron. Comenzando el año, lo que más preocupaba eran las estafas por phishing, el acceso a cuentas privilegiadas y los dispositivos IoT. Ahora, los posibles ataques a infraestructuras críticas sube a la primera posición, seguida de las estafas por phishing y, en menor medida, la toma de correos electrónicos.
  • El presupuesto destinado a ciberseguridad continuará aumentando. ¿La prioridad? Concientización (awareness) en seguridad y capacitación a usuarios, así como la adquisición de nuevas soluciones de tecnología. Si bien se estimaba que el presupuesto en ciberseguridad aumentaría un 59% para 2019, los encuestados aseguraron que este seguiría incrementando en los próximos seis meses. 
  • La legislación sobre privacidad de datos y su cumplimiento se han convertido en parte del día a día en las empresas. Casi el 29% de los encuestados dijo que el GDPR (Reglamento General de Protección de Datos) no era un desafío tan grande como pensaban que sería en la primera mitad de 2019.
  • La nube (cloud) sigue siendo una amenaza mayor para el 85.51% de los encuestados.
  • La crisis del talento crece y preocupa. Para casi el 70% de los encuestados en 2018, este era considerado un punto de dolor. El número ha subido a 91.3% seis meses después.
  • El awareness se mantiene como una prioridad para los próximos seis meses. El 59.79% de los encuestados aseguró que la información y educación en seguridad para los usuarios y colaboradores representaría la principal inversión en seguridad en los primeros seis meses del año, mientras que el 49.28% indicó que seguirá siendo prioridad en la segunda mitad de 2019.

Vemos entonces que para estos últimos meses de 2019 -y con proyección a 2020-, la adquisición de nuevas soluciones sube al primer lugar en importancia para las próximas inversiones en ciberseguridad, seguida por awareness con casi el mismo porcentaje. Esto muestra el interés de las compañías por fortalecer tanto a las personas como a la tecnología para lograr una gestión exitosa.

Y sin duda, estos tópicos deben ser considerados no solo para lo que resta de 2019 sino también en la planeación estratégica para 2020.

Coherentes con estas tendencias y para acompañar a tu empresa con estrategias integrales que incluyan educación y transformación de los hábitos de los colaboradores y usuarios, en NextVision hemos desarrollado:

  • NV Awareness, un programa que busca promover una cultura cibersegura a partir de la concientización y capacitación. 
  • NV Ciberdefensa, una propuesta de seguridad administrada que busca dar solución a la creciente crisis por falta de talento cualificado y que ayuda a mejorar la gestión eficaz y eficiente de los riesgos.

¡Queremos asesorarte! Contactanos

mayo 23, 2019

Ingeniería Social: la estrategia detrás de muchos ciberataques a personas ¡y a empresas!

NextVision

0

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques. ¿Los empleados de tu empresa están capacitados para identificar y reaccionar ante estas amenazas?

La ingeniería social, conocida también como el arte de hackear humanos, se basa en la interacción de personas en donde la víctima es engañada para que viole todos los procedimientos de seguridad que debería haber seguido.

¿Acaso no has recibido el mail de un banco que te alerta porque la cuenta fue cancelada y tenés que hacer clic para diligenciar tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar credenciales privilegiadas para acceder a entornos más protegidos -como los corporativos-, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

Correos electrónicos de phishing, vishing (llamadas telefónicas) o baiting (USB con malware que se deja en algún lugar público para alguien la encuentre y la conecte a su computadora), son algunas de las técnicas usadas por los cibercriminales. También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o de la empresa para la cual trabaja. Aquí vale la pena preguntarse ¿Qué tan informados están tus empleados sobre este tipo de tácticas?, ¿Saben cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo

Dicen que es más fácil engañar a alguien para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear el sistema, el cual seguramente contará con monitoreos y alertas de seguridad que impedirán el ataque. Cuando vamos al ámbito corporativo, encontramos que los cibercriminales buscan atacar a personas con cargos directivos o estratégicos, pues así podrán acceder a datos confidenciales de mayor relevancia y será más útil el espionaje para lograr su cometido.

Lo más grave es que puede que el equipo de seguridad nunca se entere del robo de datos que se consumó a través de ingeniería social. ¿Cómo controlar que el director de Recursos Humanos no le comparta a su “colega” algunos datos relacionados con la estrategia del negocio a través de mensajes privados en LinkedIn?

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados informados y capacitados, esta podría ser la mayor amenaza de seguridad para la organización, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing. Correo fraudulento que engaña para que la víctima comparta información sensible.
  • Robo de Identidad. Hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware. Alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting. O carnada, como el caso mencionado del USB.
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing. El criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia.

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle mails segmentados y relevantes para que al final alguno de los empleados haga clic en un vínculo malicioso. De esta forma infecta una de las computadoras y puede ingresar a toda la red de la empresa.

Por todo lo anterior, las compañías deberían adoptar una cultura de seguridad basada en las personas, que brinde capacitación continua y mantenga informados a los empleados sobre las amenazas vigentes, tanto digitales como físicas. Además de la protección que puedan ofrecer los diferentes software de seguridad, combatir los ataques de ingeniería social requiere cambios de comportamiento, conocimiento y compromiso por parte de los empleados. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los colaboradores a entender por qué es tan importante para la compañía que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar potenciales riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas, tanto en el ámbito personal como en el corporativo.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación y contraseñas seguras, para evitar el robo de identidad.

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo más alto que el malware y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por esto la seguridad de la información va más allá de lo técnico: debe considerarse también como un proceso cultural en la empresa, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contactanos!

noviembre 21, 2018

Nuevo programa de Concientización

NextVision

0

LOGRAR UNA CULTURA CIBERSEGURA, LA CLAVE PARA PROTEGER NUESTRA INFORMACIÓN Y EL NEGOCIO

Que el usuari@ es el eslabón más débil de la ciberseguridad de una organización no es una novedad. Los ataques de phishing y ransomware siguen siendo las vías de entrada más exitosas para los ciberdelincuentes.

Más allá de las diferentes soluciones tecnológicas que adopten las organizaciones (y que son más que necesarias), esta problemática solo va a  ser resuelta si se busca cambiar los HÁBITOS de las personas que manejan la información dentro de una organización.

Desde NextVision, creamos un programa ÚNICO, INTEGRAL y CONTINUO con foco en las personas. Que busca enraizar en los empleados los fundamentos de una cultura cibersegura, a través de dinámicas participativas, simulacros de ataques y formación, para tod@s los colaboradores de la organización.

CON EL PROGRAMA NV AWARENESS SU EMPRESA PODRÁ:

  • Proteger al negocio y su información crítica de ciberataques, como consecuencia del uso tecnológico ingenuo o negligente de los empleados.
  • Evaluar la situación existente en materia de cultura cibersegura. Conocer cómo responden los colaboradores de la organización a correos electrónicos no confiables y a posibles ataques de phishing o ransomware, entre otras amenazas.
  • Realizar simulacros de ataques de Phishing y Ransomware en tiempo real para poder tener indicadores claros de potenciales ataques y entender el grado de exposición de información sensible.
  • Implementar un programa de formación y concientización continua para las diferentes áreas y niveles jerárquicos, que incluye charlas presenciales,. capacitaciones virtuales con módulos interactivos , exámenes y encuestas.
  • Colaborar con las áreas de comunicación interna/RRHH con material didáctico.
  • Centralizar toda la gestión del programa de capacitación y concientización, con métricas de correlación que permiten conocer de forma objetiva la efectividad de las acciones.
  • Cumplir con normativas y auditorías, a partir de un único registro de reporting de las acciones.
  • Lograr cambios de hábito permanentes en los colaboradores, a través del soporte de un equipo interdisciplinario de profesionales: expertos en seguridad, facilitación de equipos y comunicación interna con foco en ciberseguridad.

¿Querés que te asesoremos sobre este tema o conocer más sobre nuestra propuesta? ¡Contactanos ahora!