La migración al mundo digital continúa de forma acelerada en las pequeñas y medianas empresas (pymes). Según el estudio de Adopción Digital de las Pymes 2022, elaborado por Telefónica Hispam, la digitalización les genera un 30% de incremento de ventas y un 27% de ahorro en costos.

Entre los hallazgos de este sondeo la ciberseguridad es una de las principales preocupaciones por las vulnerabilidades que puede haber por los ciberataques.

“Las pymes son más vulnerables a los ciberataques, ya que muchas no cuentan con un departamento de TI dedicado a la seguridad cibernética», precisó el estudio.

Lea también: Ciberseguridad: Cinco claves para evitar robos en internet

Para mitigar este riesgo, es necesario educar al personal sobre buenas prácticas de seguridad, como detectar phishing y suplantaciones de identidad, fortalecer el uso de contraseñas seguras y aplicar autenticación multifactor.

El Perú es el cuarto país más atacado de la región, con más de 15 000 millones de intentos de ciberataques en 2022, según el informe de FortiGuard Labs”, explicó el jefe de productos digitales B2B de Movistar Empresas, Roberto Igei.

Es así que en el marco del Día Internacional de las Mipymes, Movistar Empresas ofrece recomendaciones para que los medianos y pequeños negocios resguarden su información y la de sus clientes.

Lea también: Ciberseguridad: Una necesidad urgente para las empresas en 2023

1. Implementar medidas de autenticación segura. Utilizar contraseñas fuertes y cambiarlas regularmente. Además, implementar la autenticación multifactor, que combina elementos que el usuario conoce en dispositivos que el usuario posee con procesos biométricos para verificar la identidad. Por ejemplo, para acceder a una aplicación, se puede hacer uso de una contraseña como primer método (algo que se conoce), y como segundo método el uso de un código enviado al teléfono móvil (algo que se posee).

2. Actualizar e instalar parches regularmente en los sistemas. Mantener las aplicaciones y los sistemas operativos actualizados para protegerse contra vulnerabilidades conocidas. Asegurarse de instalar los parches de seguridad y actualizaciones proporcionados por los proveedores de software y hardware de confianza.

3. Separar el acceso a la red wifi para uso propio y el de tus clientes. Si en el negocio se brinda servicio de internet wifi a los clientes, es clave habilitar una red wifi para el acceso de los clientes finales. De ese modo se evitará que personas no autorizadas accedan a los recursos de la empresa, sistemas internos o información sensible del negocio. Además, se podrá priorizar el uso de internet para el negocio y aplicar medidas de ciberseguridad más estrictas con los empleados.

4. Proteger los dispositivos y habilitar servicios de ciberseguridad en nube. Esto significa implementar medidas para una navegación segura en internet, como un firewall virtual o dedicado que habilite la protección hacia y desde internet, además de restringir accesos a sitios web peligrosos. Es importante asegurarse también de que todos los dispositivos utilizados en la empresa, computadoras y dispositivos móviles, estén protegidos con software actualizados de seguridad, así como realizar regularmente análisis en los dispositivos en busca de posibles amenazas.

5. Capacitar y concienciar al personal. Brindar capacitación regular sobre buenas prácticas de seguridad, como el reconocimiento de correos electrónicos maliciosos (phishing), el uso seguro de contraseñas y la identificación de posibles amenazas. Es importante Fomentar una cultura de seguridad cibernética en toda la organización.

6. Realizar copias de seguridad de forma regular. Es importante asegurarse de realizar copias de seguridad de todos los datos importantes y almacenarlos en un lugar seguro, preferiblemente en una ubicación externa o en la nube. Las copias de seguridad periódicas garantizarán que los datos se puedan recuperar en caso de pérdida, robo o ataque cibernético.

El número de usuarios de internet y redes sociales continúa creciendo exponencialmente mes a mes, tal como lo muestra el informe Digital 2022, realizado We Are Social, la agencia creativa especializada en social y Hootsuite, líder mundial en gestión de redes sociales, el cual señala que el número de usuarios de internet en el mundo alcanzó los 4,950 millones de personas este año, lo que representa al 62,5% de la población mundial (7.910 millones de personas).

Y es por esto, que la seguridad y la privacidad son dos aspectos importantes para los usuarios, pues cada vez que se conectan a Internet pueden poner en riesgo su identidad y datos, por errores o malas prácticas comprometiendo su seguridad y la de sus dispositivos.

Es por ello que Pere Blay Serrano, Director del Máster en Ciberseguridad de VIU – Universidad Internacional de Valencia, destaca 5 claves importantes para mantener la información segura en la internet y así evitar ataques cibernéticos:

1. Configurar con quién se comparte la información

Es común en redes sociales que, por defecto, se comparta todo aquello que publicamos con cualquier navegante. Sin embargo, es importante configurar la información, para que sea compartida con personas de confianza. De igual forma, es recomendable utilizar servicios VPN (Redes privadas virtuales), por ejemplo, para así poder cifrar nuestra conexión y mantener nuestra red Wi-Fi con una contraseña fuerte, evitando que intrusos lleguen a acceder a nuestros datos online.

2. Cifrar datos y evitar compartir información sensible

Especialmente cuando vayamos a compartir algo a través de Internet o subirlo a la nube, es importante cifrar esos archivos con alguna de las herramientas que podemos utilizar para que no sea de fácil acceso a desconocidos.

3. No compartir o abrir información que envían desconocidos

Es importante no reenviar mensajes, fotos o videos que comparten desconocidos a nuestros correos electrónicos o dispositivos móviles, ya que estos links pueden contener virus que atacan directamente nuestra información personal, dejándonos vulnerables ante cualquier amenaza.

4. Usar siempre pseudónimos para no ser identificados con facilidad

Usar contraseñas seguras y diferentes: de esta manera, en caso de que algún intruso logre averiguar nuestra identidad, no podrá acceder fácilmente a nuestras cuentas. Podemos utilizar gestores de contraseñas o incluso generar claves complejas. También es interesante utilizar la autenticación de dos factores siempre que sea posible.

5. No aceptar sugerencias de amistad o contactos de desconocidos

Es indispensable contrastar estas solicitudes con nuestros conocidos, para evaluar si realmente ellos nos han solicitado amistad o ser parte de nuestra lista de contactos, evitando que sean perfiles falsos.

El experto de VIU recalca que los delincuentes cibernéticos buscan en su mayoría, realizar extorsiones o estafas localizando información disponible en las redes sobre nuestros familiares, trabajo o lugares que frecuentamos; esto con el principal objetivo de disfrazar e-mails dirigidos a nosotros y que parezcan que provienen de alguien conocido.

Pero destaca que la mayoría de ataques se hacen «a ciegas», a través de phishing, usando entornos similares a los de bancos, por ejemplo, para conseguir las credenciales de usuarios o con mensajes SMS de supuestas empresas de paquetería, pidiendo información o dinero para entregar un paquete y enfatiza en actualizar los dispositivos.

“Es necesario mencionar, que es importante actualizar siempre los dispositivos según lleguen las actualizaciones, instalar software únicamente de markets oficiales y usar algún antivirus para evitar estos ataques”.

Finalmente, se debe tener en cuenta que es posible saber si nuestra información ha sido vulnerada, solamente con evidencia de actividad sospechosa o a través de sitios como” HAve I been Pwned», en los que se puede comprobar si la información ha sido expuesta e incluso permite generar alertas si las credenciales se encuentran en alguna brecha.

En caso de vivir esta situación, no olvide contactarse con las entidades encargadas tan pronto detecte un movimiento extraño, para generar el bloqueo de los productos y evitar robos.

Preservar la seguridad de los datos de las organizaciones implica hacer un uso eficiente de las herramientas tecnológicas, ese es el caso de los enfoques de la nube híbrida que actualmente pueden ser vulnerables frente a la actividad de los hackers.

Frente a este escenario, IntegrIT organizó el evento Data: El activo más valioso para las organizaciones” junto a sus partners de negocios Dell Technologies y CSI Renting.

Y es que en los últimos años la nube híbrida se ha desarrollado debido a que actualmente casi nadie trabaja exclusivamente con la nube pública. El ejemplo más común de una nube híbrida es la combinación de nube pública y privada, las cuales interactúan para proporcionar un conjunto flexible de servicios informáticos.

Seguridad de información

Para ello, Oscar Armando Lozano, Datacenter Sales Leader de Dell Technologies, nos explica que, hoy en día, el principal reto que tienen sus clientes son las amenazas que afectan la seguridad de su información. Según comenta el ejecutivo, Dell tiene un diseño enfocado en la seguridad de la información para que el cliente se sienta tranquilo sin importar si la aplicación se encuentra en su data center o en la nube.

“Queremos que nuestros clientes tengan la protección y seguridad necesarias para que sus sistemas informáticos funcionen correctamente, ese es un gran diferencial que actualmente ofrecemos frente a otros fabricantes de la industria”, comenta Lozano.

Agrega que en la actualidad los clientes están expuestos a ataques de ransomware, que se han llevado su información para encriptarla o destruirla. Esto hace que actualmente exista una gran necesidad de protección de la data porque es el activo más importante del negocio.

Modelo de operaciones

Asimismo, el ejecutivo de Dell comentó que en una nube híbrida lo ideal es manejar un modelo de operaciones que permita gestionar tanto el servicio público como el privado desde una única herramienta. Por ello comenta que esa es una de las grandes ventajas con las que cuentan los clientes de Dell, ya que la compañía puede ofrecerles lo mejor de los dos mundos y colocar las aplicaciones donde más convenga.

“Nosotros contamos con un portafolio a nivel de Data Center muy amplio, no somos como otros proveedores que existen en la industria que solamente ofrecen un producto como, por ejemplo, hiper convergencia, almacenamiento flash o respaldo. Tenemos todo el espectro de soluciones que el cliente necesita, hemos hecho una gran inversión de US$ 7.200 millones en investigación y desarrollo en los últimos tres años para poder ofrecerles a nuestros clientes mejores productos y tecnologías”, dijo Oscar Armando Lozano.

Finalmente, el ejecutivo agregó que Dell tiene la posibilidad de mover cargas de trabajo a la nube de manera nativa y consistente, sin afectar la disponibilidad, ni hacer compleja la tarea de llevar a cabo la estrategia y sin que se generen costos extras.

El Informe de tendencias digitales, realizado en marzo del 2022 por HootSuite, mostró que el tiempo implementado por los usuarios en TikTok ha aumentado más de un 20% en el primer trimestre a comparación de lo evidenciado todo el año en el 2021.

Por otro lado, en Instagram pasan casi medio día al mes usando la aplicación, lo que equivale a aproximadamente al 2.5% de las horas que pasan despiertos, en esta aplicación se publican 277.777 historias y 55.140 fotos cada minuto, mientras en Twitter se envían 511.200 tuits.

Teniendo en cuenta el tiempo que pasan las personas en las redes sociales, la mente está expuesta a un sinfín de estímulos y sobrecarga de datos que pueden causar incluso trastornos como la ansiedad, depresión y baja autoestima en los usuarios. 

Oversharing

Además, “todo lo que compartimos a través de nuestros dispositivos móviles es una huella indeleble y atemporal”, comentó María Elena del Valle, docente de la EAE Business School. La profesional informó que este comportamiento se conoce como “Oversharing”, que según la Agencia Española de Protección de Datos (AEPD) es la sobreexposición de información personal en internet, en particular en las redes sociales a través de los perfiles de los usuarios.

Vale la pena resaltar que en las redes sociales se encuentra contenido relacionado con estándares de belleza o nivel de vida, hábitos de consumo y fake news, lo que puede afectar a la salud mental de los usuarios sin importar su edad.

“El exceso de información nos hace frágiles, vulnerables y accesibles a prácticas fraudulentas. Cuando publiques, piensa que dejas entrar en tu casa a personas sin invitación, dándole acceso a tus afectos y pertenencias. Tu vida, tus emociones, tu huella, tu palabra Son para ti y los tuyos. No vivimos en una pecera para aparentar éxito y felicidad, sino para serlo realmente”, agregó María Elena del Valle, Docente de la EAE Business School.

Las consecuencias de una filtración de datos personas pueden ser muy graves ya que ponen en riesgo el patrimonio e información de las personas. ¿Cómo protegerte ante situaciones como esta?

“La filtración de datos, por el tipo y cantidad de datos a los que podría accederse, implica un riesgo potencial muy alto tanto para el patrimonio como para información sensible de las personas expuestas”, señaló José Antonio Casas, presidente del Gremio de las Tecnologías de la Información y de las Comunicaciones de la Cámara de Comercio de Lima (CCL).

Explicó que en el caso de la filtración de datos personales reportada por la Asociación de Bancos (Asbanc), el riesgo está en que se hace uso indebido de datos que son públicos pero que no son provistos por instituciones del Estado y, por lo tanto, se entregan por dinero, fuera de los entornos de seguridad y de autenticación de las instituciones formales.

Entre otras limitaciones importantes, no se puede identificar plenamente quién solicita esos datos y con qué intenciones, agregó José Antonio Casas.

Políticas de seguridad

Afirmó que una filtración de datos como la ocurrida es grave porque muestra fisuras tanto en los mecanismos como en las políticas de seguridad del aparato público. Primero, porque para obtener los datos mencionados se ha tenido que aprovechar debilidades tecnológicas y/o institucionales.

Y segundo, porque toda estrategia de seguridad debe contemplar tres momentos relacionados a incidentes que aprovechan o generan fisuras en su estructura: la ocurrencia del incidente, la detección y la respuesta o remediación. “Está claro que la estrategia ha fallado desde el primer y segundo momento y eso le aumenta la criticidad al incidente”, puntualizó.

Recomendaciones

Pero, ¿qué medidas se pueden tomar para proteger a los usuarios de una filtración de datos personales?. José Antonio Casas, dio algunos consejos:

1. Utilizar métodos de autenticación robustos, es decir claves largas y complejas, difíciles de «adivinar» y que no contengan información del usuario que fácilmente se pueda inferir, como nombres de familiares, lugares y fechas personales y familiares, etc.

2. Usar métodos de doble autenticación o doble clave, lo que significa un «doble candado», para decirlo de una forma que la gente no técnica entienda.

3. No compartir sus claves ni datos personales por medios no seguros a personas que no están plenamente identificadas.  Si hay una mínima duda, abstenerse de hacerlo.

4. Tener claramente determinados los procesos de suspensión/anulación de cuentas, tarjetas o de sus números celulares, si es que fuera el caso. Dichos procesos son realizados por las instituciones bancarias donde tenemos nuestras cuentas y tarjetas, y por las compañías de telecomunicaciones donde tenemos los planes de servicio pre o pos pago.

“Estos consejos son particularmente útiles para las personas naturales y para las pequeñas empresas que no tienen personal especializado en ciberseguridad”, expresó el presidente del Gremio de las Tecnologías de la Información y de las Comunicaciones de la CCL.

Fortalecer prevención

Respecto a la decisión del Gobierno de crear una unidad funcional de confianza digital para fortalecer la estrategia de prevención y mitigación de riesgos ante amenazas de vulneración de datos personales, Casas comentó que se requiere más detalles y la participación del sector privado.

“Esperamos que, tal como lo ha ofrecido el gobierno a través de los titulares de la Presidencia del Consejo de Ministros (PCM) y de la SeGTDi, involucren al sector privado lo más pronto posible para ayudar en su diseño, objetivos y metas. Se debe seguir fomentando y fortaleciendo todos los espacios de trabajo conjunto entre los stakeholders del ecosistema digital”, concluyó.

En nuestros días tener la garantía de que nadie tiene acceso a tus servicios en Internet es una necesidad que se valora más. Sin embargo, las cifras de ataques cibernéticos evidencian que esto no siempre se tiene asegurado, sobre todo en lo que respecta a herramientas de comunicación como el correo electrónico que utilizamos diariamente y que contiene información sensible propia y de terceros.

El correo electrónico es la principal arma de ataque de los grupos de delincuentes, donde el 94% del malware que se envía en un día, utiliza este mecanismo para propagarse y generar perdidas muy importantes en las empresas, como lo demuestra el estudio de IC3 (Internet Complaint Center) en el 2020. Los ataques de BEC (Business Email Compromise) y EAC (Email Account Compromise) generaron pérdidas por $1800 millones de dólares en el 2020.

El estudio de GreatHorn en el 2021 también evidencia un crecimiento en ataques que tienen como objetivo comprometer las cuentas, pasando del 8% de los incidentes en el 2020 al 10% en el 2021.

Esta situación conllevó a que Google, una de las empresas más grandes de tecnología, publicar oficialmente que el futuro de su plataforma sería sin contraseñas en mayo del 2021. Con esta comunicación, la empresa hizo un cambio en la plataforma forzando a los usuarios a usar el 2FA (Doble Factor de Autenticación), una iniciativa similar se promueve en Telefónica desde 2016.

Esta medida ha mostrado frutos en menos de un año, como lo ha demostrado Google en su blog oficial a propósito del Día del Internet Seguro , indicando que las cuentas comprometidas en ataques cibernéticos se redujeron en un 50% tras la aplicación de esta medida simple.

Como siempre en seguridad nada ni nadie puede garantizar que no se pueda comprometer las cuentas que tienen habilitado el 2FA, incluso se han publicado hasta 5 métodos de romper la seguridad de esta medida, donde uno de ellos afecta directamente el control más robusto que ofrece Google, que son las llaves seguridad titan.

A pesar de esto, la medida mitiga casi en su totalidad los ataques directos a las cuentas de correos empresariales, los cuales no solo se ven afectados por intentos de phishing sino por las fugas de información, aumentando la probabilidad de que la contraseña sea comprometida y usada en ataques más dañinos para las empresas como el Ransomware.

Cabe resaltar que, el uso del 2FA se puede aplicar en casi todos los servicios que usamos en internet, como las redes sociales, correos electrónicos, billeteras de criptomonedas, plataformas de pago y otros. Además, existen varias formas de utilizar esta medida, como en las siguientes:

• Los SMS: Este es el método usado por varios servicios, pero es el menos seguro de los sistemas de 2FA, porque los SMS no fueron diseñados para autenticar al usuario, sino que se asocia con el identificador del móvil y es muy factible a ataques de SIM Swap.

• El correo electrónico: Este método es muy útil para servicios a los que se accede desde un dispositivo diferente a donde se tiene el correo, con el fin de agilizar la carga de código enviado. Aunque es más confiable hay que tener en cuenta que los ataques de terceras partes suelen acceder a correo para obtener estos códigos.

• Aplicación de Autenticación: Al basarse en un protocolo y garantizar la autenticación del usuario al acceder al dispositivo, es uno de los mecanismos más seguros en sus formas de TOTP (Time based One Time Password) y en HOTP (Hash based One Time Password) y existen varias aplicaciones móviles que pueden usar para esto, como LATCH e integrar en estas todas las cuentas de servicios en Internet.

• Llaves Físicas: Sin duda es el mecanismo más seguro pues si no se coloca el hardware en el equipo donde se va a usar el servicio, no es posible acceder a los servicios.

Sin duda cualquiera de los métodos que se use, sirve para mejorar la seguridad de todos los servicios en línea a los que se esté inscrito y permite mitigar los ataques empresariales.

Telefónica Tech es la empresa líder en transformación digital. La compañía ofrece una amplia gama de servicios y soluciones tecnológicas integradas en Ciberseguridad, Cloud, IoT, Big Data y Blockchain. Para más información, visite: https://tech.telefonica.com/. En Perú, Telefónica Tech ofrece sus servicios y capacidades a través de Movistar Empresas.

Las empresas proveedoras de servicios electrónicos (PSE), que brindan a los contribuyentes el servicio de emisión de comprobantes de pago electrónico, tendrán plazo hasta el 30 de setiembre del 2021 para concluir el proceso de certificación con el ISO/IEC 27001, sobre seguridad de la información, y continuar brindando esa prestación a sus clientes.

La Superintendencia Nacional de Aduanas y de Administración Tributaria (Sunat), mediante Resolución de Superintendencia N° 077-2021/SUNAT, dispuso ampliar el plazo que vencía el 30 de junio, para que estas empresas acrediten que brindan sus servicios con estándares internacionales de manejo seguro y confidencial de la información.

La ampliación alcanza a todas aquellas inscritas hasta el 30 de junio del presente año en el registro de Sunat, que hayan iniciado el proceso de certificación.

¿Cuánto crecieron las exportaciones de las regiones entre enero y abril?

 Cómo aprovechar la publicidad en Facebook para potenciar tu negocio

Gabriel Alzate: “Debemos transformarnos para generar valor diferencial”

Requisitos

El requisito que deben cumplir estas empresas es presentar hasta el 1 de julio una declaración jurada por la Mesa de Partes Virtual, indicando la fecha de inicio del proceso para la obtención de la certificación ISO/IEC-27001, así como los datos de la empresa con la cual están llevando a cabo dicho proceso.

A la fecha, alrededor del 48% de los inscritos en el Registro de PSE cuentan con la certificación ISO/IEC-27001, el 15% está llevando a cabo el proceso para obtenerla y un 37 % aún no ha iniciado dicho proceso.

De esta manera, alrededor del 52% de los inscritos en el Registro podrían ser retirados de este de no obtener, al 1 de julio, la certificación ISO/IEC-27001.

Esto obligaría a los contribuyentes que han contratado sus servicios para emitir comprobantes de pago electrónicos, a buscar otros proveedores.

Telecomunicaciones

De otro lado, la resolución aprobada también amplió el plazo para que las empresas que prestan servicios de telecomunicaciones puedan emitir los comprobantes electrónicos de Servicios Públicos en los casos de facturación indirecta.

(Foto: Sunat)