Sin categoría

Día a día las técnicas de ataque son más sofisticadas y ponen en riesgo la información de las empresas. Las más populares son: ransomware (secuestro de información para pedir un rescate a cambio), phishing (suplantación de identidad); pharming (redireccionamiento de un nombre de dominio hacia un servidor diferente al original); spyware (programas espías); spam (correo basura); grayware (programas que afectan el desempeño de los equipos de cómputo); amenazas avanzadas persistentes y códigos maliciosos.

Frente a este contexto, en 33 Grados Sur te damos algunos consejos de cómo alcanzar una estructura de ciberseguridad eficaz en tu empresa:

1. Realizar análisis de riesgos: es fundamental conocer las falencias que tiene la organización en materia de ciberseguridad. Las vulnerabilidades se producen al existir una amenaza que tenga consecuencias negativas para los sistemas de información de la empresa. Por lo que es esencial monitorear y evaluar posibles peligros a la seguridad de la misma, con el objetivo de identificarlos y priorizar la resolución de aquellos que tengan mayor probabilidad de producirse.
2. Mantener el sistema de ciberseguridad actualizado: cada vez más empresas comprenden la importancia crítica de las actualizaciones de software y hardware para contar con entornos, equipos y aplicaciones seguros. Por lo que es imprescindible que realicen estas mejoras al núcleo del sistema operativo de forma periódica con la finalidad de mantener su funcionamiento óptimo, reparar fallas, errores y vulnerabilidades que se puedan presentar.
3. Diseñar procesos de seguridad eficientes: contar con sistemas que permitan tomar mejores decisiones y más rápidas. Es importante poner el foco en resolver problemas prácticos y aquellos a los que se enfrenten con mayor frecuencia, a través del escaneo de vulnerabilidades de aplicaciones, las investigaciones de phishing o la búsqueda de amenazas.
4. Contar con herramientas especializadas y personal experto: es fundamental tener profesionales de ciberseguridad competentes y calificados como parte del equipo de seguridad de IT que se encarguen de planificar, organizar y priorizar todas las necesidades y solicitudes con el fin de obtener el mejor resultado, garantizando la disponibilidad e integridad de los recursos de las compañías. A esto se suma la importancia de contar con herramientas que permitan el correcto traspaso de contraseñas, el uso de protocolos seguros y el envío de información clasificada.
5. Capacitar al personal interno: instruir a los colaboradores en materia de seguridad que garantice una comprensión sólida del panorama de las amenazas, sensibilizándolos frente a la toma de medidas preventivas y evitando poner en riesgo la información confidencial de la empresa. El principal objetivo es lograr que sean cautos y evitar errores que puedan generar graves consecuencias en la organización.

En 33 Grados Sur hemos impulsado una nueva área de trabajo, que busca ir más allá de una instalación de productos que mantengan la información de tu empresa segura. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

“Concientización a la ciberseguridad”, es uno de nuestros cursos el cual busca formar a los colaboradores con los conocimientos necesarios para que pueda identificar las vulnerabilidades y amenazas a las que está expuesta su empresa de tal forma que con esta formación pueda ayudar a mitigar los riesgos existentes que podrían convertirse en amenazas que afecten la operación normal del negocio.

Con el objetivo de ser un referente regional en innovación, metodología y tecnología, hace 6 años creamos 33 Grados Sur, utilizando nuestra experiencia tanto en el mundo del retail como en innovación, para entregar los mejores servicios y soluciones que apoyen a nuestros clientes en el cumplimiento de sus metas.

A lo largo de estos años, hemos crecido poco a poco, consolidando la relación con  nuestros clientes tanto en Chile como en Ecuador, llegando a un crecimiento anual de 40% en nuestras exportaciones. Además nos consolidamos como partnership con Toshiba Global Commerce Solutions y somos un canal habilitado para la implementación de self-checkout en Latinoamérica.

Desde el 2020, la ciberseguridad también forma parte de nuestro portfolio de servicios, apoyando a nuestros clientes desde el proceso de concientización hasta la implementación de la norma ISO 27001:2013, construyendo en conjunto con el cliente el Plan de Seguridad de la Información para su organización. En este mismo contexto, hemos elaborado cursos y newsletter con contenido sobre ciberseguridad disponibles en nuestro sitio web.

Para el segundo semestre de este 2021, nuestras metas se enfocarán en abrir nuevas oficinas en Guayaquil (Ecuador), además de expandir nuestra internacionalización al mercado mexicano.

Según un estudio realizado por Forcepoint, compañía de seguridad, el 55% de los empleados entre 18 y 30 años que trabaja de manera remota informó haber cometido más errores de seguridad en la protección de datos desde su casa que desde la oficina. De este grupo, el 78% manifestó un mayor nivel de estrés dado por la búsqueda de un equilibrio entre la vida familiar y la vida laboral. 

La encuesta realizada en diciembre de 2020,  contó con la participación de 2000 trabajadores europeos. Los mismos nos permiten entender con mayor profundidad el vínculo entre el estrés, la vida laboral y la vulnerabilidad de los trabajadores remotos.  

– Los más jóvenes, los más afectados: el 63% de los encuestados menores de 30 años afirmó que las distracciones desde casa tuvieron un impacto negativo en la toma de decisiones y concentración, en comparación con el 26% de las personas mayores.

– El remedio, peor que la enfermedad: el 67% de los más jóvenes admitieron el uso de aplicaciones no autorizadas (Shadow IT) por su empresa para realizar ciertas tareas con mayor facilidad.

– Dispositivos y Wifi compartidos: el 44% de los encuestados usa dispositivos corporativos en el hogar para uso personal. Además, casi un tercio (29%) permite a otros miembros de la familia usarlos también y casi una cuarta parte (23%) usa el Wi-Fi de algún vecino, lo cual implica que se compartan contraseñas, no se cierren sesiones y así la información quede más vulnerable a cualquier ciberataque.

– Más de la mitad, no ha hecho cambios de seguridad para trabajar remoto: sólo el 43% del total de encuestados reconoció haber cambiado su configuración de seguridad de red u otros ajustes de seguridad desde que trabaja desde casa.

– Desligamiento de responsabilidad: el 57% de los encuestados menores de 30 afirmó que son las políticas restrictivas de su empresa lo que hace necesario que acudan al Shadow IT, mientras sólo el 26% de la población mayor argumentó lo mismo.

– Los jóvenes, foco de educación: el 59% de los entrevistados reconoció recibir entrenamiento adicional o recordatorios sobre ciberseguridad de su organización desde que trabajan en casa.

¿Qué pasa en Latinoamérica?

– El agotamiento por uso de zoom, el estrés y la incompatibilidad de la vida laboral – vida familiar son algunas de las situaciones mundiales que se replican en la región y que conducen a errores o descuidos.

– En algunos países la falta de recursos tecnológicos y de infraestructuras incrementan los riesgos ya que los dispositivos laborales se comparten con otros miembros de la familia así como la Internet con vecinos

– La exposición de correos electrónicos, bases de datos mal configuradas, recepción de malware y casos de phishing, fueron los incidentes con mayor crecimiento y frecuentes durante el 2020.

– El 34% de todas las violaciones de datos mundiales fueron causadas por empleados  y otras personas de la organización.

– El 95% de las filtraciones en el  mundo ocurren debido al factor humano y, a menudo, se asocian con contraseñas simples.

Concientización a la ciberseguridad

En 33 Grados Sur hemos impulsado una nueva área de trabajo, que busca ir más allá de una instalación de productos que mantengan la información de tu empresa segura. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

“Concientización a la ciberseguridad”, es uno de nuestros cursos el cual busca formar a los colaboradores con los conocimientos necesarios para que pueda identificar las vulnerabilidades y amenazas a las que está expuesta su empresa de tal forma que con esta formación pueda ayudar a mitigar los riesgos existentes que podrían convertirse en amenazas que afecten la operación normal del negocio.

Fuente: Revista TrendTIC

La pandemia mundial del COVID-19 ha alterado drásticamente el comportamiento del consumidor, lo que ha obligado a todas la industrias y en particular a las tiendas de retail a repensar sus relaciones con sus clientes. 

Es por esto que 33 Grados Sur, crea TantAI: un sistema de software que concentra las transacciones comerciales de sus sucursales de tienda y traduce esta data transaccional en poderosos insights.

La información es uno de los activos más importantes para cualquier empresa, manejarla de manera correcta mejora la competitividad de las organizaciones y hace posible su sostenibilidad.

TantAI contempla el envío, traducción, transformación, validación y almacenamiento de sus operaciones. Permite la visualización en detalle de cada transacción y facilita el análisis de datos de las mismas, mediante reportes estadísticos a los cuales el usuario tiene acceso desde una interfaz web.

Al ser un software modular y escalable permite integrar distintos traductores de transacciones, por lo que no está limitado a un solo tipo de software de punto de venta (POS).

TantAI, posee una arquitectura de software de alto nivel que contempla las siguientes características:

– La habilitación de sus tiendas se realiza a través de una arquitectura de API segura.

– No requiere modificar o alterar su aplicación de Punto de Venta.

– Información y recomendaciones entregadas a través de una interfaz de usuario web dinámica y con alertas automáticas.

¿Cómo opera en 5 pasos?

1. POS genera la data de las transacciones.

2. La data es pre-procesada para ser enviada a repositorio central.

3. Usando la API-TantAI la data es almacenada.

4. Se aplica el modelo analíticos del cliente y los algoritmos de TantAI procesan los datos.

5. Se entrega insights del cliente y recomendaciones.

Para más información, te invitamos a escribirnos a info@33sur.cl

XSS es el acrónimo usado para “Cross Site Scripting”. XSS es una de las vulnerabilidades más comunes que tienen las aplicaciones web.

Estas vulnerabilidades ayudan a cualquier atacante a ejecutar cualquier código malicioso del lado del cliente en caso de que la aplicación web es vulnerable a XSS. Si el ataque tiene éxito, permite a los atacantes robar contraseñas, redirigir a los usuarios a páginas falsas y hacer cosas muchos más atrevidas.

Para entender XSS necesita saber acerca de HTML, JavaScript y tener algunos conocimientos básicos sobre los lenguajes de programación del lado del servidor como PHP, Python, etc. Muchos ataques hacen uso de JavaScript, así que hay que aprenderlo.

Los daños de un ataque XSS puede causar

1. Redireccionar a sitios de phishing, o a páginas falsas.

2. Robar las cookies e inicios de sesión de las cuentas de las víctimas para escalar privilegios y acceder a los sistemas.

3. Inserción de enlaces en HTML para instalar software malicioso en el sistema.

4. Los ataques de malware en el servidor.

5. Derribar sitios Web.

6. Denegación de Servicio (DoS).

¿Por qué XSS funciona y cómo se puede prevenir ataques?

XSS funciona debido a que no se validan los datos que se publican desde un campo de entrada, lo que provoca que en cualquier secuencia de comandos en el campo de entrada, con ciertas características pueda aprovechar dichas vulnerabilidades.

El tratamiento de los datos impide casi todos los ataques XSS. Se recomienda también tener un Web Application Firewall (WAF) para una seguridad más efectiva.

Hay una cabecera HTTP que impide la ejecución de XSS en el navegador que se llama “X-XSS protection HTTP Header”.

Tipos de XSS

Básicamente, hay dos tipos de XSS:

Persistente: También se conoce como XSS almacenado. En este tipo de ataque XSS, el código malicioso presentado por el servidor se almacena en el servidor y se ejecuta siempre en la página.

Un ejemplo para entender esto: Vamos a considerar que Facebook es vulnerable a XSS y el atacante presentó un código malicioso que puede robar la cookie y almacenarla en el servidor. Ahora cualquiera que publique algo en ese código de página, estará a merced del intruso, el cual podrá robar las cookies para tener control de sus cuentas.

No persistente: También se le llama XSS reflejado, el cual es la más común de las vulnerabilidades más encontradas hoy en día.

En este ataque el código presentado será enviado al servidor a través de una petición HTTP y el servidor de insertará dicho código en un archivo HTML, luego vuelve al cliente con la respuesta HTTP. Cada vez que el código se ejecuta desde el archivo HTML, se explota ese sistema.

Por ejemplo, consideremos una búsqueda en Google, Yahoo, Bing y otros más.

Si estás buscando “cryptoprogramming” el resultado le mostrará un mensaje como “Resultados de la búsqueda para cryptoprogramming”. Sí usted no es capaz de depurar perfectamente esta búsqueda, se ejecutará el scripts.

33 Grados Sur, informándote sobre las noticias contingentes en ciberseguridad. Nuestro objetivo es crear conciencia de cómo y por qué debemos estar alertas a las innumerables amenazas que estamos expuestos día a día.

*Fuente: https://marvin-soto.medium.com/

Fuente: marvin-soto.medium.com

Hoy, más de 13 millones de personas se encuentran en cuarentena en nuestro país. Si bien algunos colegios estaban retomando las clases presenciales o mixtas, en estos días la mayoría se vio obligado a retomar las clases online.  

Es por ello que te preguntamos, ¿cuánto nos preocupamos de la seguridad al conectarnos a través de estas herramientas? En 33 Grados Sur te damos unos consejos recomendados por el CSIRT:

RIESGOS DE LAS PLATAFORMAS ONLINE:

• Exposición y recopilación de datos personales
• Intervención de externos en las clases
• Infección con malware

RECOMENDACIONES PARA UNA CONEXIÓN SEGURA: 

• CONFIGURA la privacidad de las cuentas de tus hijos, o conversa con el colegio para saber qué información puedes controlar. 

• INTENTA conocer a compañeros y profesores, para saber con quienes interactúan tus hijos. 
• NUNCA compartas claves ni el número de identificación de una reunión con desconocidos o en las redes sociales. 
• MANTÉN actualizada las plataformas y el equipo.

Si recibes correos falsos o detectan algún sitio fraudulento DENUNCIA AL CSIRT 24/7 (+562) 2486 3850. También puedes denunciar a la PDI (+562) 2708 0658

Gran parte de nuestra vida está en internet. Lo mismo en sitios web, aplicaciones o plataformas en donde tenemos datos cada vez más críticos y sensibles que van desde la contraseña de Facebook hasta archivos confidenciales de la empresa en la que trabajamos, o nuestro propio acceso a la cuenta bancaria.

¿Pero quiénes realmente se preocupan por hacer una contraseña segura? La realidad es que mucho menos de lo que pensamos. Es por eso que cada año el 123456 es una de las contraseñas más vulneradas. El nombre de tu mascota, el cumpleaños de tus hijos y mucho menos tu fecha de nacimiento son contraseñas fuertes.

En 33 Grados Sur, te entregamos algunos consejo para crear contraseñas más seguras: 

– Cuanto más larga sea la contraseña, mucho mejor. Una contraseña de por lo menos 10 caracteres parece ser segura.

– Cuanto más compleja sea la contraseña, mucho mejor. Que incluya caracteres aleatorios, y trata de que tengan por lo menos un carácter en minúscula, uno en mayúscula, un número, y un carácter especial (como un &, un #, o un @).

– Nunca uses la misma contraseña. De esa forma si los hackers descifran la contraseña de uno, no obtienen la de los demás. 

– No entres a servicios de forma automática con cuentas de otros servicios. Por ejemplo, trata de no entrar a tu cuenta Spotify usando Facebook porque si descifran una, van a tener acceso a la otra. 

– Utiliza un administrador de contraseñas si es que no puedes acordarte de las contraseñas que empleas en cada servicio. De esa manera las tienes a la mano y en tus dispositivos.

– Cambiar constantemente tu contraseña.

– Preferir plataformas o productos que te permitan trabajar con doble factor o verificación; ya que son más seguras. 

Ejemplo contraseña segura: con la letra de una canción y alternando mayúsculas y minúsculas:

1.- MICancionFavoriTa

2.- A la letra le podemos agregar símbolos: MI.Cancion(FavoriTa)

3.- Reemplazar y/o agregar letras por números: MI.C4ncion(Favor7Ta)

 

El año marcado por la pandemia, logró que un 60,5% de los colegios adoptará plataformas de educación remota o aulas virtuales; un 27,4% incorporó sistemas de videoconferencias y un 11,6% utilizó las redes sociales, según datos obtenidos por el estudio “Radiografía Digital de los Colegios en Pandemia”, realizado por VTR a 984 directores de colegios municipales y particulares subvencionados de todas las regiones de nuestro país entre agosto y septiembre de 2020.

Para el 2021 la modalidad de estudio es un poco incierta. Si bien se espera poder retornar a las clases presenciales, los resultados de este mismo estudio indican que 7 de cada 10 colegios continuarán usando plataformas de videoconferencia tras volver al colegio de forma física. Una situación similar vivirán las universidades, quienes aseguraron que sólo el 9% de los programas volverá a la normalidad.

Por lo mismo, es relevante informarse sobre las brechas de seguridad que podrían tener las diferentes plataformas de clases o videoconferencia.

Te invitamos a revisar los siguientes consejos para que tus hijos puedan estar más seguros al momento de estudiar online: 

1. Google Classroom

En Chile, de acuerdo al estudio presentado por VTR, un 60,5% de los encuestados aseguró haber adoptado plataformas de educación remota o aulas virtuales como Google Classrom, una herramienta gratuita, fácil de manejar y que permite que los profesores envíen tareas y se comuniquen con los alumnos.

Para acceder a las opciones que ofrece esta plataforma, los estudiantes deben tener una cuenta de Google, el cual actuará como identificador. Por lo tanto, tanto los profesores como los alumnos deben tener su Gmail.

Riesgos y recomendaciones:

Al ser una aplicación educativa, Google cuenta con políticas de privacidad más estrictas, las que prohíben hacer seguimiento y recopilar datos de los niños y niñas, excepto lo necesario con fines educativos. Sin embargo, si se activan algunas herramientas de Classroom, como por ejemplo YouTube, es posible obtener información.

¿Qué hacer?

– Por lo general, los correos electrónicos de Classroom son entregados por el centro educativo, por lo tanto si quieres acceder a los ajustes de privacidad conversa con la entidad para ver qué información puedes controlar para tener una cuenta más segura.

– Si quieres saber qué datos compartes, revisa la opción “Datos y Personalización”, donde encontrarás información sobre contraseñas, direcciones, datos de navegación, entre otros.

– Asegúrate que tus hijos siempre utilicen las cuentas entregadas por los centros educacionales para acceder a clases, de lo contrario Google rastreará su comportamiento al navegar por Internet.

– Cuidado con los correos electrónicos. Los niños pueden enviar y recibir un e-mail, por lo tanto asegúrate de conocer quiénes son sus compañeros y profesores para saber con quién interactúa y así confirmar que no reciba mensajes ofensivos o falsos.

– En caso de que los niños usen un correo personal, asegúrate de configurar la privacidad de sus cuentas y datos de navegación.

2. Microsoft Teams

El año 2017 se lanzó Microsoft 365 que integra Microsoft Teams. Dos años después de su creación, la plataforma registraba 19 millones de usuarios de forma semanal. Al llegar la pandemia, Teams educativo fue utilizado por más de 183.000 instituciones y la herramienta contó con más de 75 millones de usuarios activos diarios, llegando incluso a conectar más de 200 millones de participantes en un solo día.

Para los alumnos que utilizan Teams sus cuentas escolares de Office 365 deben ser administradas por el centro educacional que corresponda. En cuanto a la privacidad de los datos, Microsoft asegura tener un real compromiso, por lo que aseguran en su sitio web “nunca usamos los datos de tu Teams para mostrarte anuncios, no monitorizamos la atención de los participantes o el uso de multitarea durante las reuniones de Teams, tus datos se eliminan después de la rescisión o el vencimiento de tu suscripción y tomamos medidas firmes para garantizar que el acceso a tus datos sea restringido y definimos cuidadosamente los requisitos para responder a las solicitudes de datos por parte de los gobiernos”, entre otros.

Sin embargo, una importante falla de seguridad detectada el 2020 en Microsoft Teams y que ya se encuentra corregida, fue la exposición del robo de datos personales, al compartir imágenes animadas en formato GIF a través del chat. Una vez que la persona la recibía y era visualizada, corría el riesgo de un ataque de ransomware, ser víctima de robo o de eliminación de datos.

Para tener una mejor protección al utilizar esta plataforma durante las clases, recomendamos:

– Utilizar siempre la última versión de Teams. En caso de conectarse a través de un dispositivo móvil, es importante además contar las actualizaciones de las aplicaciones de App Store o Google Play.

– Un usuario puede ingresar desde dos dispositivos diferentes a la misma cuenta, por eso es fundamental contar con contraseñas robustas y seguras, para evitar que terceras personas ingresen a la cuenta. Además, nunca se deben compartir las contraseñas.

– Revisar las opciones de privacidad y asegurarse de estar entregando la información que realmente se necesita.

3. Zoom

Un 27,4% de los centros educacionales, según el estudio “Radiografía Digital de los Colegios en Pandemia,” incorporó en su forma de trabajo plataformas de videoconferencia. En este sentido, dentro de las más utilizadas fueron Zoom y Google Meet.

La herramienta Zoom se hizo muy popular con la llegada de la crisis sanitaria. Según el reporte de la compañía la cifra de participantes a reuniones pasó de 10 millones en diciembre de 2019 a 300 millones en de abril de 2020. Sin embargo, este incremento de usuarios también dejó en evidencia importantes brechas de seguridad, como por ejemplo la falta de cifrado en las videollamadas; el descuido en su app que permitía a Facebook conocer los datos privados de los usuarios y el famoso “Zoombombing” (irrupción indeseada y perturbadora de un externo a la videoconferencia).

Y si bien Zoom ha actualizado su plataforma para entregar mayor protección, de igual manera tanto los profesores como los padres y alumnos deben mejorar los niveles de seguridad con el que utilizan la plataforma. Algunos sencillos consejos son:

– Mantener actualizada la última versión de Zoom y utilizar la versión del navegador web, más que la app.

– Nunca compartir el número de identificación o contraseña de la reunión con desconocidos y/o en redes sociales.

– Las clases deben configuradas en modo privado.

– Las contraseñas deben ser seguras para cada participante.

– Habilitar la opción de notificar al anfitrión cuando alguien se quiera unir a la clase.

Iniciativas del Ministerio de Educación

Durante el 2020, el MINEDUC promovió diversas iniciativas para apoyar a los colegios tanto públicos como privados que realizaron sus clases de forma virtual. Algunas de ellas fueron:

– Sitio web aprendoenlínea.mineduc.cl: Se habilitó esta plataforma para los alumnos de educación básica y media.

– “Aprendiendo a leer con Bartolo”: Software gratuito dirigido a niños y niñas de 1er y 3er básico para apoyar la lectura y escritura desde la casa.

– Alianza MINEDUC con el Ministerio de Transportes y Telecomunicaciones y Asociación de Telefonía Móvil (ATELMO), con el objetivo de que los estudiantes pudieran navegar de firma gratuita.

– Distribución de SIM Cards: Junto con WOM se entregaron 3.500 chips a estudiantes prioritarios del país por tres meses.

– Entrega de computadores: Más de 122 mil computadores fueron entregados a niños y niñas de 7° básico de establecimientos públicos y particulares subvencionados más vulnerables del sistema educativo.

– Convenio con Google Classroom y Microsoft Teams.

Fuente: Revista TrendTIC