CIBERESTAFA-Bluesnarfing

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 Qué es el bluesnarfing: la nueva ciberestafa que te roba los datos a través de tus dispositivos Bluetooth

 
Se acabó lo de "Qué más da que no esté usando el Bluetooth, lo dejo siempre encendido y así es más cómodo"

Cuanto más se populariza el uso de las nuevas tecnologías en el ámbito financiero, mayor es la importancia que debemos conceder a las nuevas ciberestafas que van surgiendo, incluso si a veces resulta complicado seguir el ritmo a toda la terminología (frecuentemente en inglés) que va surgiendo.

El mes pasado, un Banco advertía del peligro de una conocida como 'bluesnarfing',  basada en la explotación de vulnerabilidades de la tecnología Bluetooth para acceder al dispositivo de la víctima y robar los datos bancarios y personales almacenados en el mismo.

El término 'bluesnarfing' se deriva de "Bluetooth" y "snarf", un término coloquial para tomar algo sin permiso. A diferencia del bluesniffing, que se limita a detectar dispositivos Bluetooth cercanos, el bluesnarfing es un ataque activo que permite a los hackers copiar datos como contactos, mensajes, correos electrónicos y otros archivos sensibles.

Así pueden atacarte

Este tipo de ataque requiere cierto nivel de conocimientos técnicos y herramientas específicas, y suele ocurrir cuando el dispositivo de la víctima está en un radio de 10-15 metros del atacante. Los dispositivos vulnerables a menudo son los que usan contraseñas débiles o versiones obsoletas de Bluetooth.

CONOCIMIENTO TÉCNICO 

Cualquier dispositivo con su conexión de Bluetooth encendida y configurada como “visible” (que puede ser encontrado por otros dispositivos Bluetooth) puede ser susceptible a Bluejacking y en cierto modo a Bluesnarfing si el software del proveedor es vulnerable. Apagando esta característica, la potencial víctima puede disminuir el riesgo de ser Bluesnarfed; sin embargo un dispositivo configurado como “oculto” puede ser Bluesnarfable si se adivina la dirección MAC del dispositivo por medio de un ataque de fuerza bruta. El principal obstáculo para este ataque es el gran número de direcciones MAC. Bluetooth utiliza una dirección MAC única de 48 bits, de los cuales los 24 primeros son comunes a un mismo fabricante. ​Los 24 restantes tienen aproximadamente 16,8 millones de combinaciones posibles, lo que requiere un promedio de 8,4 millones de intentos para adivinarlos por fuerza bruta.

Los ataques a sistemas inalámbricos han aumentado junto con la popularidad de redes inalámbricas. Los atacantes normalmente buscan puntos de acceso o dispositivos inalámbricos no autorizados instalados en la red de una organización que permiten que el atacante eluda la seguridad de esta. Los puntos de acceso no autorizados y las redes inalámbricas de fácil acceso para terceros a menudo se detectan a través de wardriving, que utiliza un automóvil u otro medio de transporte para buscar una señal inalámbrica en un área grande. El Bluesnarfing es un ataque con el fin de acceder a información de dispositivos móviles que se transmite usando el protocolo Bluetooth. Con los dispositivos móviles, este tipo de ataque se utiliza a menudo para hacerse con la Identidad Internacional de Equipo Móvil (IMEI). El acceso a este código único permite al atacante desviar las llamadas telefónicas y los mensajes a otro dispositivo sin el conocimiento del usuario.

Las consecuencias de sufrir un ataque de 'bluesnarfing' pueden ser graves, pues el robo de información confidencial puede traducirse en suplantación de identidad o en transacciones no autorizadas.

Medidas de prevención

El Banco ha emitido alertas en las que ha enfatizado el riesgo de dejar el Bluetooth activado: la facilidad y comodidad de uso de Bluetooth, especialmente en dispositivos Apple a través de la App AirDrop, puede llevar a los usuarios a olvidar desactivar esta función, aumentando el riesgo de ataques.

Para protegerse contra el bluesnarfing, se recomienda al usuario:

1.  Mantener actualizado el firmware del dispositivo para corregir vulnerabilidades.
2. Configurar el Bluetooth en modo "no visible" o "no detectable".
3. Desactivar el Bluetooth cuando no se utiliza.
4. Evitar conexiones con dispositivos o redes desconocidas.
5. Usar contraseñas fuertes (y cambiar las predeterminadas) en los dispositivos Bluetooth.

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

Diez Tecnologías para la CiberSeguridad del Futuro

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

La ciberseguridad se enfrenta a brechas importantes que solventar, desafíos importantes tales como los que aluden a las identidades y a los endpoints (dispositivo remoto en red). La realidad es que tres cuartas partes de los expertos en seguridad y gestión de riesgos afirman estar buscando una estrategia de consolidación de proveedores para las pilas tecnológicas de ciberseguridad, y un 22% pretende llevarlo a cabo para 2025. Las áreas principales sobre las que consolidar la estrategia de seguridad son en el 56% de los casos las plataformas de datos (DSP), en el 50% las plataformas de protección de aplicaciones nativas en la nube (CNAPP), en el 45% la gestión de identidad y acceso (IGA, AM, PAM), en el 43% la detección y respuesta extendidas (XDR) y en el 37% los servicios de acceso seguro (SASE). CONCEPTOS FUNDAMENTALES Inteligencia Artificial (AI) La inteligencia artificial (Artificial Intelligence, o AI) opera a través de la simulación de procesos de inteligencia humana a través de máquinas, especialmente sistemas informáticos. Estos procesos incluyen el aprendizaje (la adquisición de información y reglas para el uso de la información), el razonamiento (usando las reglas para llegar a conclusiones aproximadas o definitivas) y la autocorrección. Usamos éste tipo de tecnología para: Análisis de Texto, Análisis de Sentimiento, El uso adecuado de la Inteligencia Artificial puede significar incremento en ventas, erradicar la ineficiencia, optimizar los procesos operativos, ahorrar dinero, realizar Análisis de Texto, Análisis de Sentimiento, etc. Machine Learning (ML) Machine Learning ó Aprendizaje de Máquina puede considerarse una rama de la AI. Algunos sistemas de aprendizaje automático intentan eliminar toda necesidad de intuición o conocimiento experto humano de los procesos de análisis de datos, mientras otros más simples tratan de establecer un marco de colaboración entre el experto y el software. Usamos éste tipo de tecnología para: Análisis de scoring en distintos ámbitos de los servicios, cuidados de la salud (análisis de riesgo), Marketing Personalizado, Detección de Fraude, Forcasting de Ventas y Producción   Las 10 tecnologías efectivas para ciberseguridad Los ciberdelincuentes están continuamente explorando los sistemas para mejorar sus técnicas de ataque sin llegar a ser detectados, por lo que la AI y ML llegan para proporcionar una detección en tiempo real y dar respuestas de forma automatizadas. En relación a esto, las tecnologías más eficientes para ayudar a los CISO son las siguientes: 1.- Detección y respuesta de punto final Endpoint detection and response (EDR) Esta tecnología aborda los desafíos de detectar y dar respuesta a las amenazas más avanzadas, empleando un análisis de comportamiento para detectar los ataques en tiempo real. De igual modo, EDR es eficaz para ayudar a los equipos de seguridad a detectar y responder al ransomware y otras técnicas de ataque que pueden evadir las aplicaciones y los antivirus tradicionales.   2.- Plataformas de protección de endpoints Endpoint Protection Platforms  (EPP) Los EPP resultan eficaces para combatir las amenazas emergentes y las nuevas vulnerabilidades de malware. Permiten análisis avanzados y una mayor visibilidad y control de los puntos finales.   3.- Detección y respuesta extendidas Extended detection and response (XDR) Esta tecnología permite agregar y correlacionar alertas de seguridad y telemetría desde los puntos finales, la red, la nube y otras fuentes de datos de una organización. Esta herramienta supera a las de seguridad heredades en detección de amenazas, investigación y de respuesta automatizada, reduciendo los costos y aumentando la eficiencia de las operaciones de seguridad.   4.- Detección y respuesta a amenazas de identidad Detection and response to identity threats (ITDR) Las plataformas ITDR protegen la infraestructura de identidad de una empresa de ataques sofisticados. Ayudan a las organizaciones a monitorear, detectar, y responder a las amenazas de identidad a medida que los sistemas de identidad se vuelven más críticos y más vulnerables.   5.- Defensa contra las amenazas móviles Defense Against Mobile Threats (MTD) Esta tecnología protege a los teléfonos inteligentes y otros dispositivos de amenazas avanzadas que pueden eludir los controles de seguridad tradicionales de el phishing, las amenazas de día cero en tiempo real y las técnicas de ataque avanzadas que se basan en el robo de identidad y credenciales de acceso privilegiado.   6.- Microsegmentación Esta restringe el movimiento lateral durante una infracción al separar las cargas de trabajo por identidad. Reduce también la comunicación de carga de trabajo no autorizada y el radio de explosión de un ataque.   7.- Borde de servicio de acceso seguro Secure access service edge (SASE) SASE permite optimizar los planes de consolidación al tiempo que tiene en cuenta el acceso a la red de confianza cero (ZTNA), asegurando los puntos finales y las identidades.   8.- Perímetro de servicio seguro Secure Service Perimeter (SSE) Esta tecnología permite la protección de las aplicaciones SaaS (Software como servicio), web y privadas. SSE integra la puerta de enlace web segura (SWG), el agente de seguridad de acceso a la nube (CASB) y ZTNA en una única plataforma de nube. Además el SSE permite simplificar, asegurar y mejorar las experiencias de los usuarios remotos.   9.- Seguridad unificada de terminales Unified Endpoint Security (UES) Su empleabilidad permite la protección de todos los dispositivos de punto final, incluidos los PC, los dispositivos móviles y los servidores. Resuelve los problemas inherentes a las herramientas descentralizadas como la visibilidad, la detección y las respuestas limitadas.   10.- Acceso a la red de confianza cero Zero trust network access (ZTNA) La tecnología ZTNA faculta el acceso con privilegios mínimos en cada aplicación, recurso y punto final en una red mientras monitorea toda la actividad de la red. Restringe las conexiones a cualquier activo, punto final o recurso a usuarios, dispositivos y aplicaciones autorizadas en función de la identidad y el contexto verificados.

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

Cómo quieren combatir la corrupción los candidatos a la Presidencia?

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 

Entre quince países latinoamericanos, Ecuador ocupa el décimo puesto en el Índice de la Capacidad para Combatir la Corrupción (CCC) de este 2023.

La corrupción está entre los temas que más preocupación genera en la ciudadanía de cara a los comicios presidenciales y legislativos anticipados del próximo 20 de agosto.

Los altos niveles de corrupción en América Latina y la ausencia de medidas para combatirla favorecen a las redes criminales y agudizan la violencia en una región con fuertes tasas de homicidio, advirtió Transparencia Internacional (TI) en su informe difundido a inicios del año, en el que se reveló que Ecuador está en el puesto 101 de 180 países con 36 puntos sobre 100.

Los mayores retrocesos que registra el país se relacionan con las agencias anticorrupción y la cooperación internacional en materia de orden público y el rechazo al referéndum de ocho preguntas de las elecciones de febrero pasado que habrían autorizado la extradición por delincuencia organizada.

En el país también existe un deterioro de la capacidad legal para combatir la corrupción por la escasa o nula capacidad de ejecución de las agencias anticorrupción del país, que no cuentan con los mínimos recursos, independencia, articulación interinstitucional, capacidad técnica ni humana para brindar resultados significativos.

A su vez, las investigaciones periodísticas sobre presunta corrupción en empresas públicas fueron incluso las que condujeron al juicio político contra el presidente Guillermo Lasso en mayo y terminaron en la disolución de la Asamblea Nacional y la convocatoria a las elecciones presidenciales y legislativas, que serán el 20 de agosto.

El antecesor de Lasso, el expresidente Lenín Moreno, junto con otras 36 personas, también enfrentó investigaciones por presunta corrupción relacionada con un contrato de una central hidroeléctrica.

 A continuación sus principales propuestas:

Yaku Pérez, la opción de la alianza Claro que se Puede, de Unidad Popular-Partido Socialista-Democracía Sí (listas 2-17-20) contempla crear una comisión contra la impunidad y la corrupción, acompañada de la Organización de las Naciones Unidas (ONU).

“En mi gobierno crearé un organismo de lucha contra la corrupción, pero una en serio. No como la de Lenín Moreno ni como la de Guillermo Lasso”, dice.

Para Pérez un problema en este tema es que se ha puesto a comisionados del Ejecutivo, por lo que, a su juicio, “no se puede poner a custodiar el queso al ratón”.

“Tienen que ser independientes, autónomos y, tienen que investigar todos los casos de corrupción, como los contratos petroleros, mineros, de telefonía celular, los grandes negociados de la obra pública de los sectores estratégicos”, apunta.

Otra de sus ofertas es fortalecer la Unidad de Análisis Financiero (UAFE) para darle los suficientes recursos para que detecte y erradique la corrupción. Cuestiona que los $ 50.000 anuales que recibe la entidad la limitan

“No podemos seguir perdiendo $ 7.600 millones y la UAFE deje de detectar alrededor de $ 4.000 millones que es el blanqueamiento de capitales. Eso no puede continuar”, subraya.

Entre sus propuestas también está lograr la aprobación de la Ley Orgánica de Extinción de Dominio, con miras a “recuperar los dineros mal habidos de la gente traviesa que se llevó dinero de los ecuatorianos”.

 

Daniel Noboa, plantea, para luchar contra la corrupción, implementar medidas para mejorar la transparencia en el proceso de licitación pública, publicar las adjudicaciones y explicar la decisión con argumentos.

“La corrupción se lleva 4.000 millones de dólares al año en Ecuador, eso significa menos educación, menos salud, menos empleo y menos bienestar”, menciona.

Noboa prevé también establecer mecanismos de rendición de cuentas, con un sistema de apelación para las empresas que hubiesen sido perjudicadas y hacer auditorías a las empresas públicas, para lo que considera que es vital el fortalecimiento de la cooperación internacional.

“Estas auditorías deben ser regulares para identificar y eliminar cualquier desperdicio o corrupción”, indica.

 

Daniel Noboa es candidato a Presidente de la República por la alianza ADN, indica que luchar contra la corrupción prevé implementar medidas para mejorar la transparencia en el proceso de licitación pública.

 

Luisa González, del movimiento Revolución Ciudadana (lista 5), promete crear unidades de inteligencia que investiguen los casos de corrupción, y espera activar instituciones como la Unidad de Análisis Financiero y Económico (UAFE), para que identifique quién ha cometido enriquecimiento ilícito, si han sacado del país fondos hacia los paraísos fiscales. Para ello plantea incautar y confiscar activos ilícitos.

Plantea que las unidades del gobierno deben funcionar para controlar y vigilar los casos de corrupción, y considera que todo el peso del Estado debe ir contra quien sea encontrado en un delito de corrupción, venga de donde venga, y sea quien sea.

Otra de las promesas de la candidata González es fortalecer la transparencia del sistema de contratación pública. Considera que se debe combatir la corrupción institucionalizada y cita como ejemplo que no se puede sacar una cédula o un pasaporte sin una coima.

Luisa González, candidata por la la Revolución Ciudadana, lista 5, promete crear unidades de inteligencia que investiguen los casos de corrupción.

  

Jan Topic, alianza Por un País sin Miedo, del Partido Social Cristiano-Sociedad Patriótica-Centro Democrático (listas 6-3-1), señala que en Ecuador hay varios tipos de corrupción y hay que ser contundentes con todos.

“Tenemos $ 9.000 millones que pagamos en nómina en el Estado. Imaginemos que podamos mejorar la eficiencia de eso en 10 %. Por ejemplo, por cada persona que trabaja en Petroecuador hay una en el sector privado que hace exactamente lo mismo, es una duplicidad de funciones tenaz. No vamos a erradicar eso de cero, pero podemos mejorar la productividad. Que rindan más en el horario de trabajo. Son $ 900 millones al año”, dice.

Topic menciona que en el país hay problemas de corrupción estructurales al igual que en toda América Latina y para esto considera que hay dos soluciones: “esperar cuatro o cinco generaciones de fuerte educación para cambiar el tema cultural, o apalancado en sistemas tecnológicos, diseñar sistemas que sean herméticos ante la corrupción”.

“Un ejemplo aterrizado es el tema de las fronteras o las cárceles, que la persona que maneja los escáneres en la frontera o el ingreso en las cárceles no esté ahí, porque si no puede ser corrompida”, señala.

Otra de sus ofertas es “armar un pequeño grupo de trabajo que se dedique a estar auditando los procesos internos del Ejecutivo y que en caso de encontrar algo sea enviado de inmediato a la Fiscalía General del Estado”.

Jan Topic, candidato por la alianza Por un país sin miedo, listas 6-3-1, propone diseñar sistemas que sean herméticos ante la corrupción, esta como una de sus soluciones para enfrentar la problemática.

 

Otto Sonnenholzner, de la alianza Actuemos, entre Avanza y SUMA (listas 8-23), plantea combatir la corrupción a través de unificar las compras públicas, sobre todo para el sector de la salud, donde considera que está la mayor necesidad.

“Haremos que las medicinas se compren directamente a los proveedores para todo el país y se distribuyan equitativamente en los hospitales”, explica.

El candidato mencionó también que buscará reformar la justicia para reducir la corrupción e impunidad, en colaboración con otros poderes e instituciones del Estado.

Además, mejorar los procesos de acceso a la información, atención y denuncia de actos de corrupción o negligencia.

Otto Sonnenholzner, candidato por la alianza Actuemos, listas 8-23, plantea combatir la corrupción a través de unificar las compras públicas en el sector de la salud

 

Bolívar Armijos, del movimiento Amigo (lista 16), asegura que establecerá mecanismos de supervisión y control rigurosos en los procesos de adquisición y suministro de medicamentos, así como en la contratación de servicios y personal médico.

Para Armijos la lucha frontal contra la corrupción en todas sus formas y niveles es de vital importancia, pues así, entre otras cosas, esos recursos pueden ser invertidos en las necesidades inmediatas que mantiene la población. Armijos afirma que fomentará la participación ciudadana y la denuncia de actos de corrupción, promoviendo la transparencia y la rendición de cuentas.

El presidenciable asegura que con él se va a acabar la impunidad, pero también la persecución. No se trata, dice, de perseguir a Rafael Correa, Lenín Moreno o a Guillermo Lasso, esa no es su forma de hacer política.

Bolívar Armijos, candidato por el movimiento Amigo, lista 6, mecanismos de supervisión y control rigurosos en los procesos de adquisición y suministro de medicamentos

 

Fernando Villavicencio, implementará un “plan nacional antiterrorista”, que parte por identificar cuáles son las estructuras más peligrosas que operan en el país: narcotráfico, minería ilegal, corrupción y sobornos, que están vinculadas entre sí y con la política para combatirlas.

Dice que todos los recursos que se obtengan de la lucha contra la corrupción van a ser destinados al sistema nacional de becas.

Otra de sus ofertas es entregar el mapa de los nuevos ricos para identificar las fortunas acumuladas de los últimos veinte años.

“Haremos este mapa para ver cómo los nuevos ricos o los corruptos justifican sus patrimonios y si no pueden hacerlo tendrán que responder ante la Fiscalía y lo que no puedan identificar será incautado”, dice.

 El candidato presidencial Fernando Villavicencio, por la alianza Gente Buena-Construye, lista 25, implementará un “Plan nacional antiterrorista” para identificar las estructuras peligrosas del país.

 

Xavier Hervas, buscará tener una gestión transparente en todo su gobierno, ya que considera que desde el Ejecutivo debe ser donde se evite la corrupción por completo.

“La única solución para combatir la corrupción en nuestro país es la transparencia en nuestro accionar, nuestro mayor aporte será la lucha contra la corrupción”, dice.

Además, Hervas ha mencionado que de la mano de la lucha contra la corrupción se debe fortalecer la independencia de la justicia y realizar otras mejoras que van relacionadas estrechamente con la seguridad.

“Devolveremos la dignidad y la institucionalidad a la Policía Nacional. Se militarizarán puertos y aeropuertos internacionales para evitar comercio ilícito de sustancias sujetas a fiscalización”.

 

 

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

LEY DE INTELIGENCIA ARTIFICIAL (IA)

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 ¿Cómo Ecuador regula la inteligencia artificial?

La regulación de inteligencia artificial debe estar basada en riesgos.

La Unión Internacional de Telecomunicaciones (UIT), organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación, realizará la sexta cumbre sobre inteligencia artificial (IA), en Ginebra. Uno de los temas a tratar será la regulación sobre esta tecnología.

El evento se realizará este 6 y 7 de julio del 2023. De hecho, la ONU solicitó una semana antes de esta cumbre, denominada: IA para siempre, que países y empresas avancen en la regulación de la inteligencia artificial. China y a la Unión Europea (UE) ya trabajan en normativas.

Los países de la región también han presentado sus propuestas de leyes para el uso de la IA. Por ejemplo, Perú aprobó una ley, de carácter declarativo, para promover el uso de la inteligencia artificial, en mayo pasado. Asimismo, Chile presentó un proyecto de ley que busca regular los sistemas de IA.

Ecuador no tiene un proyecto de ley para el uso y regulación de inteligencia artificial todavía. Sin embargo, expertos, señalan la necesidad de promulgar una normativa sobre esta tecnología.

¿Qué debe tener una ley que regula la inteligencia artificial en el país?

La regulación debe ser fruto de un consenso amplio. Que tome en cuenta, desde luego, las voces de las empresas de tecnología que más saben la inteligencia artificial como IBM. Pero, también a todos los actores que están involucrados en el ecosistema, como la academia, el gobierno y quienes llevan adelante negocios y operaciones con inteligencia artificial. Creemos que las mejores regulaciones y leyes son fruto de un consenso.

En segundo lugar, tiene que ser clara, que marque la cancha correctamente para todos, y además, tiene que ser, esto quizás uno de los puntos más importantes, tiene que ser flexible. Es decir, tiene que permitir el espacio necesario para que la innovación siga sucediendo, esto mientras protegemos los derechos y de los ciudadanos y los valores. Pero, no debe ser una camisa de fuerza, menos aún en estos momentos donde estamos todos recién aprendiendo cuáles son las aplicaciones de la inteligencia artificial.

Además, en el caso ecuatoriano, una ley de regulación de inteligencia artificial tendrá que estar en armonía y alineada con la ley de protección de datos personales, que se aprobó hace dos años y cuyo régimen sancionatorio entró en vigor el 26 de mayo de este año.

¿Cuáles son los principales riesgos al utilizar la inteligencia artificial?

En un sistema de inteligencia artificial hay algunos riesgos de entrada y de salida. Entre los riesgos de entrada podemos mencionar la privacidad de los datos, que es un derecho constitucional. Además, también está la calidad de los datos. Es decir, un sistema de inteligencia artificial que haga una ingesta con datos que no son de calidad, evidentemente va a producir resultados que no son los idóneos. Otro tipo de riesgo es la transparencia en la ingesta de esos datos y en particular lo que se denomina sesgo representacional.

Un riesgo de salida es el copyright. Si yo entreno y alimento a un sistema con textos, imágenes, videos hechos por alguien ¿en qué medida se puede atribuir esta propiedad a los a los autores originales? Por eso es tan importante la transparencia.

¿La regulación debe estar basada en estos riesgos?

Nosotros vemos con buenos ojos una posible regulación de inteligencia artificial basada en riesgos. Es decir, que se haga una categorización previa de los riesgos y que no regule la tecnología en sí. Un ejemplo de este tipo de regulación es la Ley de inteligencia artificial recientemente aprobada por el Parlamento Europeo y que ahora está en la negociación tripartita entre Parlamento, Comisión y Consejo, supongo que sufrirá cambios menores, pero no de fondo en cuanto a la aproximación basada en riesgos.

En Europa clasifican los usos de inteligencia artificial en cuatro riesgos que son: alto mediano, bajo e inaceptable. Es decir, hay usos de inteligencia artificial que son completamente inaceptables. Por ejemplo, actividades policiales predictivas o categorización de emociones en las personas.  

¿Mientras haya una ley de IA, qué deberían hacer las empresas y usuarios de esta tecnología?

Las empresas deben a empezar cumpliendo la ley de protección de datos personales. No se puede hablar de un sistema de inteligencia artificial bien construido sin protección de datos. Esa ley ya está en vigor en Ecuador desde hace más de dos años.

Las empresas pueden empezar a empaparse de esta realidad y empezar a implementar las acciones correspondientes, como capacitar a sus empleados en el manejo de estos sistemas, designar el delegado de protección de datos, que es la persona que va a asesorar y acompañar a la empresa en la implementación un sistema de protección de datos, tener medidas de ciberseguridad y más.

Por un lado es implementar nueva tecnología, pero por otro lado también es tomar conciencia de que los datos de nuestros usuarios o clientes tienen un valor y que por lo tanto tienen que ser protegidos.

La inteligencia artificial (IA) es la simulación de inteligencia humana que crea algoritmos y sistemas informáticos capaces de ejecutar tareas simples y complejas que realizan las personas. Se basa en la idea de que una máquina puede programarse para imitar la forma en que un ser humano piensa y actúa. 

 GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

EL RIESGO DE LA TECNOLOGIA VA MÁS ALLÁ DEL RIESGO CIBERNETICO

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

  

CONCEPTOS CLAVES:

Plan de continuidad del negocio (ISO 27002:2022 Control No. 3).- Un plan de continuidad del negocio es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. La actualización a ISO 27002:2022 incorpora 11 nuevos controles:

1. Inteligencia de amenazas.
2. Seguridad de la información en la nube.
3. Continuidad del negocio.
4. Seguridad física y su supervisión.
5. Configuración.
6. Eliminación de la información.
7. Encriptación de datos.
8. Prevención de fugas de datos.
9. Seguimiento y monitoreo.
10. Filtrado web.
11. Codificación segura.

EL RIESGO DE LA TECNOLOGÍA VA MÁS ALLÁ DEL RIESGO CIBERNÉTICO

Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente con el pasar el tiempo.

En los últimos 4 años, se expusieron 21,9 mil millones de registros, representando un aumento del 103%. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.

Por tanto, para nadie ya pasa desapercibido que el riesgo de la tecnología es real, crucial para las operaciones de la organización y debe abordarse. Ahora bien, no se puede identificar ese riesgo de la tecnología únicamente como el riesgo cibernético. Analizamos por qué.

¿Es más amplio el riesgo de la tecnología que el riesgo cibernético?

El riesgo de la tecnología se refiere a cualquier riesgo de pérdida financiera, interrupción de las operaciones o daño a la reputación de una organización como resultado de un fallo o problema de sus sistemas de tecnología de la información. Y el riesgo cibernético es un subconjunto del riesgo tecnológico.

Los profesionales de TI suelen tener un conocimiento técnico muy bueno del riesgo cibernético y de los sistemas tecnológicos empleados en la organización. Sin embargo, generalmente solo se enfocan en los impactos inmediatos de las violaciones de datos, como la cantidad de registros expuestos y la solución de la causa de la violación. Y no abordan los riesgos que para el funcionamiento del negocio tiene la tecnología.

Así, los impactos negativos que supone ese riesgo cibernético son más amplios y, por lo general, están fuera del alcance del Departamento de TI:

1. La continuidad del negocio.
2. Responsabilidad de terceros.
3. Afectación a la reputación.
4. Cumplimiento normativo.

Minimizar, por ejemplo, el tiempo de inactividad ante un ataque cibernético, son consecuencias sobre las que un Departamento de TI relativamente eficaz puede actuar. Esto no implica que el ataque no genere costes y que el daño a la reputación sea irreversible, por mencionar solo dos de los impactos relacionados.

Comprender y gestionar el riesgo de la tecnología de forma eficaz requiere un enfoque integral centrado en el negocio u organización, y no solo que el área de TI tenga la capacidad de disminuir los impactos del riesgo cibernético. 

¿Cómo comprender y gestionar el riesgo de la tecnología de manera eficaz?

Tras el análisis anterior, la conclusión es que los profesionales en el área de TI tienen un conocimiento técnico extenso y profundo, pero que no cuentan con las competencias, las herramientas y el conocimiento sobre gestión de riesgos y comprensión de un fenómeno tan complejo como el riesgo de la tecnología y su alcance, como para garantizar la seguridad y la tranquilidad que la organización y sus clientes, empleados, proveedores y asociados necesitan.

Y esto sucede en gran parte, porque no han sido formados para esta tarea, que es diferente a la gestión técnica, casi científica, y porque su enfoque va hacia la reacción y no hacia la prevención. Ellos piensan en el impacto inmediato tras la ocurrencia de la violación.

Por supuesto, los seguros podrían ser una respuesta a algunos de los problemas generados tanto por el riesgo de la tecnología como por el riesgo cibernético. Pero, ¿hasta dónde resultan efectivos y a qué coste?

Es necesario pensar en los seguros contra el riesgo cibernético como algo similar a la responsabilidad civil y como una forma de protección para mitigar el impacto financiero del riesgo, pero no como una medida de protección real, sobre todo en lo que relacionado con el cumplimiento normativo y con la posible erosión de la reputación y el buen nombre.

Pero, además de lo mencionado, encontramos otros frentes en los que los servicios de una aseguradora se tornan inoperantes:

1. Parálisis financiera ocasionada por la imposibilidad de operar, ocasionada por algún impedimento para acceder a los datos, a la red o a la información en general.
2. Todas las estrategias comerciales se detienen, incluso el lanzamiento de nuevos productos, la implementación de software, y el despacho de productos.
3. Las noticias sobre la violación se propagan rápidamente a través de redes sociales, afectando negativamente la reputación de la organización.

Al final, es evidente la necesidad de contar con profesionales especializados en riesgos, como principales determinadores en la toma de decisiones sobre la gestión del riesgo de la tecnología como del riesgo cibernético.

Este tipo de profesionales requerirán un marco apropiado para abordar los riesgos, y el más adecuado sin duda será ISO 27001, 27002 estándares internacionales para la Gestión de la Seguridad de la Información.

Blogs relacionados

• Nueva-ISO-27002-2022
• 10 Errores habituales en el Análisis de Riesgos
• Riesgo Residual y Riesgo Aparente
• Cultura de Cumplimiento