Autor: Clopez

  1. Página principal
  2. Clopez
Yo Navego Seguro: Autenticación por datos biométricos: tecnología con pro y contras.

Autenticación por datos biométricos: tecnología con pro y contras

, ,

De acuerdo con el portal del Instituto de Ciberseguridad de España, los datos biométricos son datos personales obtenidos a partir de características físicas, fisiológicas o conductuales únicas de una persona, como huellas dactilares o reconocimiento facial.

En la actualidad la autenticación biométrica ofrece grandes ventajas en seguridad y su uso se ha incrementado en aplicaciones de seguridad y autenticación, debido a que:

  • Proporciona una alta seguridad y confiabilidad al verificar la identidad a través de características únicas que una persona posee.
  • Es una experiencia de usuario conveniente y rápida.
  • Los datos biométricos no son transferibles, ya que cada persona tiene un conjunto único.
  • Combinar la biometría con otros sistemas en una plataforma integrada puede aumentar significativamente la seguridad en todas las etapas de la vida del usuario, haciendo que sea difícil falsificar la identidad.

La autenticación de los datos únicos aún es vulnerable

Sin embargo, para aprovechar estos beneficios es necesario conocer algunas vulnerabilidades del sistema, para que siga siendo una opción segura. Entre las debilidades podemos mencionar:

Calidad de la tecnología. Puede que la tecnología implementada no cumpla con estándares adecuados, así que es necesario tomar en cuenta a la hora de adoptar alguno: la calidad del sensor, la eficiencia del algoritmo de comparación, la seguridad del cifrado para almacenar las muestras obtenidas y la capacidad de interoperabilidad con otros sistemas.

Incidencias con el sistema. Incluso este tipo de sistema de autenticación puede presentar fallos eléctricos y caídas de las líneas de comunicación, por lo que es fundamental implementar medidas desde el diseño mismo del sistema que son reglamentadas según el país.

Yo Navego Seguro. Autenticación por datos biométricos: tecnología con pro y contras.

Indisponibilidad del sensor. La falta de disponibilidad o el fallo del dispositivo de captura de los datos puede imposibilitar la autenticación o el acceso. Es necesario por ello, que la empresa cuente con alternativas de reconocimiento adicionales en caso de que el sistema falle.

Por ejemplo, un empleado que necesite acceder urgentemente al correo electrónico desde fuera de la oficina mediante huella dactilar podría enfrentar problemas si su ordenador tiene fallas en el sensor.

Variación involuntaria en los rasgos biométricos. Los datos biométricos pudieran cambiar por temas como: un resfriado, vello facial o peinado, que, aunque no sean intencionales, pueden generar una percepción negativa o dificultades adicionales en la autenticación biométrica.

Ahora, ¿cómo luce un fraude por suplantación de datos biométricos?

Los datos biométricos son únicos de persona a persona, pero aun así existen ciberdelincuentes que pueden imitar y usurpar esta información a través de la suplantación. Por ejemplo, usando documentos de huellas dactilares falsas para engañar sistemas de reconocimiento biométrico. Veamos dos casos.

El ataque de presentación es una forma de ciberdelito que consiste en usar un artefacto para hacerse pasar por otro usuario.

La protección en este caso consiste en medidas de verificación de vida o prueba de fe de vida y el uso de número limitado de intentos para autenticación.

El otro es el ataque por repetición, en el que el pirata informático intenta tener acceso a los datos biométricos originales de fuentes como cristales, pomos de puertas o pantallas táctiles, usando técnicas especiales para tomar huellas dactilares, provocando el desbloqueo ilegítimo de dispositivos.

Para protegerse de este tipo de suplantación las empresas deben monitorizar los sensores, aplicar la detección de intrusiones y la protección física de los dispositivos biométricos.

Para mitigar las amenazas contra los datos biométricos puedes:

  • Adquirir tecnología biométrica de calidad, para reducir la posibilidad de fallos.
  • Usar “liveness check” para asegurar que los datos biométricos provienen de una persona viva y presente.
  • Monitorizar y proteger físicamente los dispositivos biométricos.
  • Adoptar medidas alternativas de autenticación, aparte del sensor biométrico.

Te invitamos a leer: Firma digital: ciberseguridad en tus manos

Compartir
YO NAVEGO SEGURO - Contenidos que no debes tener guardados en tu celular o tablet.

7 contenidos que no debes tener guardados en tus dispositivos electrónicos

, ,

Por seguridad, privacidad y legalidad. Te sorprendería saber algunos de los datos o archivos que no debes tener en tus dispositivos. Cuídate de un ciberataque limitando la presencia de esta información en lugares que pueden robarte o extraviarse.

Archivos de trabajo confidenciales 💻

Quizá pertenecen a la empresa donde trabajas y consideras que no son relevantes, pero este tipo de documentos laborales, confidenciales o no, deben estar protegidos o cifrados, con respaldos seguros en caso de pérdida.

Información personal de terceros 👥

¿Por qué tendrías información de otros guardada en tus dispositivos? Es un riesgo para tu seguridad y la de ellos.

Aplicaciones y software sin licencia 🏴‍☠️

Es ilegal tener en tu poder softwares piratas o sin licencia. Además, estarías propenso a que contengan malware o spyware que podrían afectar tus equipos electrónicos.

YO NAVEGO SEGURO - Contenidos que no debes tener guardados en tu celular o tablet.
Fuente Freepik.

Datos médicos y de salud 🩺

Esta información es de mucho interés para los ciberatacantes porque se prestan para chantajes y estafas. Así que protege o guarda en lugares seguros las historias clínicas, resultados de exámenes y otra información médica sensible.

Aprende cómo cuidarte leyendo nuestro artículo “Qué tan atractiva es mi información médica en línea y cómo protegerla“.

Fotos y vídeos privados o comprometedores 🔥

Parece obvio, pero se conocen muchos casos de manipulación y soborno por el almacenamiento de imágenes y vídeos de carácter personal o íntimo en los dispositivos. Así que, si es de tu estilo tener este tipo de información, procura almacenarlos con servicios cifrados o encriptados en el dispositivo.

Contraseñas y datos de inicio de sesión en texto plano 📝

Tan útiles en la vida diaria, pero es necesario que al guardar este tipo de información lo hagas usando archivos de texto cifrados o utilizar gestores de contraseñas seguros que cifren esta información.

Información financiera sensible 💳

Por último, dejamos este aspecto. Evita enviar la imagen o información de tus números de tarjetas de crédito vía electrónica. Si lo haces, no las dejes guardadas en tus dispositivos. Información bancaria y otros datos financieros deben contar también con el cifrado adecuado.

Todas son costumbres muy comunes, sin embargo, son riesgosas para tu ciberseguridad. La educación será crucial para poder aplicar las mejores prácticas de seguridad y privacidad digital en favor de tu información personal. No olvides utilizar el cifrado o un backup. ¡Navega seguro!

Te pudiera interesar conocer cuáles son los datos que NUNCA te pedirá tu banco por correo

Compartir
YNS - Proteger información médica

Qué tan atractiva es mi información médica en línea y cómo protegerla

,

Algunas estadísticas indican que los registros médicos robados se venden hasta por 2,000 dólares en el mercado negro. Increíblemente, aunque los delitos informáticos relacionados a la identidad financiera predominan en las noticias sobre ciberdelincuencia, la obtención fraudulenta de tu información médica en línea ha aumentado sustancialmente en los últimos años.

Datos estadísticos de 2013 indicaban que el robo de información médica había aumentado un
20%, en relación al año anterior.

¿Pero por qué resultan tan atractivos tus datos médicos para los hackers de sombrero negro?

Una de las razones principales es que a través de datos específicos de identidad los piratas informáticos pueden, por ejemplo, obtener medicinas de acceso controlado para revenderlas o presentar facturas falsas para reembolso en tu nombre.

En estos casos, a diferencia de los delitos con las tarjetas de crédito donde los emisores se hacen responsables de los cargos falsos, con la suplantación de identidad médica no existe tal protección. La consecuencia de este fraude recae en la víctima que incluso puede llegar a perder su seguro médico o verse forzado a pagar nuevamente para restablecerlo.

Para extorsión y chantaje

Los ciberdelincuentes saben que la información es dinero. Por lo que se conocen casos en los que roban las bases de datos médicas de centros de salud, para luego chantajear a los pacientes amenazándolos con revelar diagnósticos médicos sensibles para su reputación a cambio de dinero.

Caso real

Entre marzo y abril de 2023, un colectivo de ciberdelincuentes llamado Ransom House atacó el Hospital Clinic de Barcelona, España, robando más de 4,4 terabytes de información de trabajadores, pacientes, expedientes internos sobre el funcionamiento del hospital y de aspirantes a puestos de trabajo en el centro.

Competencia desleal corporativa

Asimismo, como las grandes corporaciones contratan hackers para proteger sus activos y sistemas informáticos, junto a su información confidencial, también existen compañías que contratan este tipo de servicios fraudulentos para espionaje corporativo en el sector de la salud, para obtener información confidencial sobre productos, tratamientos o investigaciones médicas.

4 estrategias para mantener tu información médica segura

Por lo antes dicho, te recomendamos estas medidas para proteger tu información médica en línea:

  • Comunícate con tu proveedor de atención médica. Pregunta a tu médico sobre las medidas de seguridad que utilizan para proteger tus datos médicos. Asegúrate de que sigan las mejores prácticas de seguridad y estén al tanto de los últimos avances en protección de información médica.
  • Investiga antes de compartir tu información médica. Antes de proporcionar tus datos médicos a una aplicación o sitio web, investiga su reputación y políticas de privacidad. Asegúrate de que cumplan con los estándares de seguridad y protección de datos establecidos por las leyes aplicables.
  • Utiliza redes Wi-Fi seguras. Evita acceder a tu información médica sensible a través de redes Wi-Fi públicas o no seguras, que pueden ser vulnerables a ataques cibernéticos. Siempre que sea posible, usa una conexión segura y encriptada, como una red privada virtual (VPN), para acceder a tus registros médicos en línea.
  • Mantén tus dispositivos actualizados y seguros. Asegúrate de tener las últimas actualizaciones de software en tus dispositivos móviles y computadoras, ya que suelen incluir parches de seguridad importantes. Además, instala y actualiza regularmente un software antivirus confiable en tus dispositivos para detectar y eliminar posibles amenazas.
protección de datos

Ya mi información médica ha sido violentada, ¿qué hago?

En caso de que ya sospeches o sepas que tu información médica está en manos inescrupulosas o está siendo usada para fines fraudulentos, te sugerimos:

  • Revisar las reglas o políticas públicas sobre este tema.
  • Contactar al consultorio de tu médico inmediatamente y ponerlo al tanto para que tome las medidas de lugar que eviten una mayor filtración.
  • Denunciar el hecho a las autoridades competentes, como la Policía.
  • Solicitar a tu proveedor de servicios de salud las medidas que aplicarán para recuperar la información y cómo evitar fallos de seguridad en el futuro.

Continúa leyendo: Datos que nunca te pedirá tu banco

Compartir
Riesgos geolocalización

¡Ojo con la geolocalización! 4 riesgos y 2 formas de protegerte

, ,

Según la RAE geolocalizar es la acción de “determinar la ubicación geográfica de alguien o de algo valiéndose de medios técnicos avanzados, como el GPS”. Esto quiere decir que si activas la geolocalización de tu teléfono celular, la web te conectará con lugares o servicios cercanos a tu ubicación.

La ventaja clave de esta herramienta para los negocios es que mejora las oportunidades de conectar con potenciales clientes. Para ti como usuario, te servirá para acercarte más a lugares de interés de donde vives o te encuentras en determinado momento. Sin embargo, en las manos equivocadas puede representar una amenaza para tu seguridad.

Riesgos de la geolocalización para tu seguridad en línea

  1. Seguimiento fraudulento de tu actividad. Al permitir el acceso a la ubicación se proporcionan datos adicionales que pueden ser utilizados para identificar los dispositivos utilizados y rastrear tus actividades en línea.
YO NAVEGO SEGURO- Datos que nunca te pedirá tu banco
  1. Riesgo para la seguridad física. Compartir en línea tu ubicación de manera excesiva, pone en riesgo tu seguridad física. Si por ejemplo sales de vacaciones y lo publicas, desaprensivos podrían intentar acceder a tu casa, ya que entienden que está sola.
  1. Suplantación de identidad. Con la geolocalización existe la posibilidad de que los hackers envíen correos electrónicos falsos que parecen provenir de una empresa cercana a tu ubicación para hacer que el mensaje parezca más legítimo.
  1. Poca privacidad. Compartir la ubicación constantemente compromete la privacidad del usuario. Algunas aplicaciones y servicios recopilan datos de geolocalización, incluso cuando no se están utilizando. Con esta información, los piratas informáticos crean perfiles detallados sobre tus actividades y hábitos.

⚠️Bonus: Así detectamos el uso indebido de la geolocalización📍

1. Permisos de ubicación excesivos. Si una de las aplicaciones del celular solicita datos de geolocalización que parecen innecesarios para su función principal, podría deberse a que los está utilizando para recopilar más información de la necesaria.

2. Uso sospechoso de datos de ubicación. Si alguna aplicación o servicio está utilizando tu ubicación sin tu consentimiento y envía notificaciones sin haber dado permiso para ello, indica un riesgo de privacidad.

3. Consumo inusual de la batería. Si notas un consumo de batería inusualmente alto cuando no estás utilizando activamente las aplicaciones puede deberse a que un software malicioso está activo.

4. Comportamiento inusual del dispositivo. Si comienzan a aparecer en el dispositivo anuncios publicitarios basados en la geolocalización, sin haber hecho una búsqueda de algún servicio relacionado, podría deberse al uso de los datos de forma indebida. Otro caso puede ser que se activen sin autorización cambios en la configuración de privacidad de las aplicaciones relacionadas con la geolocalización.

Usa la geolocalización a tu favor 🛡️

  • Primero decide si quieres mantener siempre activada esta opción en tu teléfono, incluso, puedes definir que las aplicaciones solo accedan a tu ubicación cuando las estén usando, que te preguntan cada vez que abras la apps o denegarle el permiso. ¡Tú decides!

  • Establece cuáles apps tienen permisos para usar tu ubicación aproximada (un radio de unos 3 km2) o la precisa (punto exacto donde se encuentra tu dispositivo). La primera te permite conocer los bancos que están cerca de ti, mientras que la precisa es útil cuando pides comida por delivery, por ejemplo.

Estar conscientes de estos comportamientos poco comunes en los dispositivos y aplicaciones ayuda a estar alerta ante el uso indebido del servicio de geolocalización y te previene de ataques a tu seguridad en línea. Pon en práctica estas acciones y navega seguro por la web.

Continúa leyendo: El Spyware: así puedes proteger tus equipos

Compartir

No caigas más en phishing con estas 5 medidas

, , ,

Existen muchas maneras de caer en phishing, cada cual con un método distinto. Algunos comienzan a partir de un correo electrónico, un sms, una llamada telefónica o por Voz sobre IP (VoIP), o por un código QR, que terminan con una estafa.

Sin embargo, todos comparten una misma característica: puedes evitarlos utilizando estas 5 medidas de protección.

1. Nunca compartas información personal

Hasta los bancos envían notificaciones aclarando este punto. Ninguna institución financiera o empresa privada en general debería pedirte datos personales por un correo electrónico. Por lo tanto, si exigen información confidencial, puede ser phishing. Ponte en contacto con el número oficial de la institución que te envió el correo para confirmar si es real o solo un intento de phishing.

2. Verifica el dominio del correo electrónico

El dominio de un e-mail son todos los caracteres después del símbolo “@”. Los ciberdelincuentes pueden modificar pequeños detalles del dominio para que parezca legítimo. Por ejemplo: si un correo verdadero es oficina@empresaoficial.com, una falsificación sutil para engañarte podría ser oficina@empresaofficial.com. Con solo agregar una “f” el correo puede parecer auténtico a simple vista. 

3. No descargues archivos desconocidos

Podría pasar que recibes un archivo adjunto a tu correo electrónico, pero como no conoces a la persona que lo envía solo lo ignoras. Sin embargo, como vimos en el punto anterior, podrian tratar de enviar algún virus o malware mediante un correo ligeramente modificado para que parezca real. En ambos casos debes estar al tanto de los detalles.

4. Actualiza tu sistema operativo y navegador web

Las actualizaciones refuerzan la seguridad de tus dispositivos. Así como una bolsa con cierre hermético evita que no entren impurezas dentro, los softwares son constantemente revisados para solucionar errores y hacer que tu dispositivo sea cada vez menos vulnerable a un ciberataque.

5. No reutilices tus contraseñas

Utilizar la misma contraseña para diferentes cuentas básicamente facilita el trabajo de los ciberdelincuentes. Después de todo, solo tendrían que descifrar una para tener acceso a una parte importante de tu información en la web. Es importante que cambies tus contraseñas periódicamente y que estas sean diferentes para cada cuenta, ya sean tus correos electrónicos, banco en línea o tus redes sociales.

Los ataques de phishing son cada vez más comunes. Sin embargo, existen diferentes formas de protegerse contra él. En adición a esto, siempre puedes encontrar nuevas maneras de evadir las estafas cibernéticas. Empieza con estas 5 medidas y podrás navegar seguro todo el tiempo.

Compartir

¿Tienes redes sociales? Mira este video y responde ¿navegas seguro?

, ,

La pandemia nos enseñó que tenemos en nuestras manos el control de nuestra seguridad física.

Pero qué pasa con la ciberseguridad cuando usamos nuestras redes sociales, cuando recibimos un correo electrónico, o nos conectamos a una Wifi pública. Sabes… ¿cómo navegar seguro? Mira el siguiente video y responde.

Más vídeos AQUÍ.

Aprende más con nosotros en nuestras diferentes secciones: Cómo Navego Seguro para más información de cómo usar adecuadamente el internet, redes sociales y computadoras.

Si tienes una empresa o te interesa más información sobre cómo navegar seguro en tu organización visita la sección Tu empresa.

O ten a mano infografías muy útiles para tu ciberseguridad en el apartado: Descárgalo.

Si quieres saber más, te recomendamos leer: Cómo saber que una página web es segura.

Compartir

5 características del empleado ciberseguro (+ infografía)

, , ,

¿Descargas aplicaciones de terceros en tus equipos de trabajo? ¿Publicas información de tu empresa en tus redes sociales?

Si tu respuesta es sí a alguna de estas preguntas, podrías estar poniendo en riesgo, sin saberlo, la seguridad de la organización para la que trabajas.

Sigue leyendo⬇ y al final del texto descarga GRATIS la infografía del empleado ciberseguro.

A continuación aprende con nosotros 5 maneras de proteger la información confidencial de tu empresa:

1.- Guarda seguros los documentos

Cada documento de la organización sea físico o digital tiene gran información personal y empresarial muy apetecible para los ciberdelicuentes. Siempre que hagas uso de ellos compártelos de forma segura.

Si vas a usar discos extraíbles o memorias USB, cifra los documentos. Realiza al menos dos copias de seguridad de los archivos digitales.

No dejes a la vista en tu escritorio papeles que contengan información de sumo interés para la organización. Guárdalos en archivos, bajo llave o con claves que solo tú manejes.

Como clasificar tu informaciónEl empleado ciberseguro es cuidadoso al manejar la información confidencial de la empresa.

2.- Usa únicamente equipos corporativos

Una máxima para la seguridad de la organización es mantener a raya el uso de dispositivos, conexiones o equipos personales para el trabajo.

Si estás en la modalidad de teletrabajo, procura siempre usar los equipos de la empresa, nunca emplees ordenadores personales. Y si usas dispositivos externos para conectarlos a tu computadora, realiza un escaneo en búsqueda de virus.

Lee aquí: Cómo lograr que tus colaboradores cumplan con las políticas de ciberseguridad

Usa solo softwares autorizados por la empresa. No descargues aplicaciones de terceros sin el consentimiento de tu empleador.

Si usas una flota, procura usar el bloqueo de pantalla con una clave que solo tú conozcas. Igualmente, bloquea tu portátil cuando no la uses o debas pararte de tu puesto de trabajo.

El empleado ciberseguro usa solo equipos corporativos

y no comparte sus accesos con terceros.

3.- Sé celoso con tu información personal

La fuga de información en las empresas ocurre frecuentemente porque compartimos con mucha facilidad información personal en redes sociales u otros medios de comunicación.

Por eso, un hábito de un empleado ciberseguro es aplicar una configuración de privacidad en todas las redes sociales que uses.  

Evita compartir información personal (fechas de nacimiento, ubicación en tiempo real, etc.) no de la organización (datos de funcionamiento, claves, pin de tarjetas de crédito corporativas) que pueda ser captada para delitos informáticos.

Parece una recomendación lógica, pero todos hemos compartido esta información pensando que nadie se va a enterar o a nosotros no nos va a pasar. Pero al hacerlo abrimos una puerta a los ciberdelincuentes y nos volvemos vulnerables.

El empleado ciberseguro no comparte su información personal que pueda ser usada para un fraude contra la empresa.

4.- Entrénate para identificar el phishing

En estos tiempos de teletrabajo y entornos digitales cada vez más presentes en las empresas, debes estar educado no solo para realizar bien tu trabajo.

Debes ser capaz de detectar cuándo se trata, por ejemplo, de un correo legítimo y cuándo no. El phising es una de las prácticas más comunes de fraude y delito informático.

Elimina cualquier correo sospechoso y evita enviar cadenas de correos que lleguen a tu bandeja de entrada.

Confirma la procedencia del correo, quien crees que es el remitente real y si observas algo extraño en la redacción, en la misma dirección de email o en el asunto del correo. Quizá se trata de phishing.

El empleado ciberseguro se ha educado acerca de los diferentes delitos informáticos y aplica las políticas de seguridad de la empresa.

5.- Detecta e informa de cualquier actividad sospechosa

Al recibir un correo que parece de sospechosa procedencia es necesario reportar inmediatamente al departamento de seguridad informática o verificar con “el supuesto” remitente del email para confirmar el origen del mensaje.

Si sufres un robo o incidente de pérdida de los dispositivos corporativos es importante que reportes el incidente o bloquees los accesos conocidos desde otro aparato, para borrarlos de inmediato.

Es tu deber reportar cualquier incidente que te parezca fuera de lo normal:

  • Un acceso forzado.
  • Un virus en tu equipo.
  • Problemas de acceso a tus dispositivos sin razón aparente.
  • Mal uso de los recursos tecnológicos por parte de otras personas.

El empleado ciberseguro informa de los incidentes de ciberseguridad

que puedan poner en riesgo la organización.

En definitiva, está en tus manos la seguridad o vulnerabilidad de la información sensible de tu empresa.

Si te gustó esta información, haz clic sobre la imagen y descarga GRATIS nuestra Infografía del empleado ciberseguro :

Compartir

Cómo lograr que tus colaboradores cumplan con las políticas de ciberseguridad

, ,

Más del 50% de los empleados visitan páginas web o contenidos no relacionados con su puesto de trabajo, según un estudio de Eserp Business & Law School.

Esto podría resultar en un riesgo a la seguridad de la información confidencial de una empresa, si los colaboradores no cumplen con las políticas de ciberseguridad necesarias para prevenir los delitos informáticos.

Qué encontrarás en este artículo
– Teoría de los empujoncitos
– Políticas de ciberseguridad que no parezcan obligatorias
Educa mientras aplicas las políticas de seguridad
– Aplica las políticas de seguridad con transparencia

Entonces ¿cómo puedes implementar políticas de ciberseguridad que sean efectivas y respetadas?

Teoría de los empujoncitos

Diariamente tu equipo de trabajo debe tomar diferentes decisiones al utilizar internet. Desde la elección de la Wifi adecuada para conectarse hasta descargar o no una app.

Al respecto, Thomas Paulino, presidente de ciberseguridad de ABA, considera que “es en cada uno de estos momentos en que están expuestos a un fraude. Por lo que, al final, lo que va a minimizar la exposición al riesgo es la madurez que tenga el usuario”.

De acuerdo con el libro Decisiones Irracionales en Ciberseguridad, la “teoría del empujoncito, consiste en ayudar a tus empleados a que tomen decisiones inteligentes y que, a su vez, cumplan con las medidas de ciberseguridad sin que sientan que les restringen su libertad”.

El siguiente ejemplo grafica esta “teoría del empujoncito”:

“Estás en una cafetería. Necesitas conectar tu smartphone a una WiFi. Miras tu pantalla y ves estas opciones. Supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías?

red wifi publica
Imagen de una red wifi pública. Foto de Libro Decisiones Irracionales en Ciberseguridad

Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera, mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña.

Imagina que estás en la misma cafetería, pero en tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora?

red wifi segura
Imagen de una red wifi segura. Foto de Libro Decisiones Irracionales en Ciberseguridad

Tengas o no conciencia elevada en materia de seguridad, apostaríamos a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente.

Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión.

Es decir que juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc.

Todo ello conduce a que se seleccione la red 3gk6.

Políticas de ciberseguridad que no parezcan obligatorias

Las políticas de seguridad, según el sitio web UNIR, consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información, minimizando los riesgos que le afectan.

Pero para dar a conocer a los empleados las normas de seguridad es necesario que estas sean:

  • Concretas: con procedimientos y reglas bien definidos.
  • Claras: que expliquen de forma sencilla y directa las responsabilidades y obligaciones de los usuarios, sean colaboradores, administradores o equipo directivo.

Según el profesor experto en ciber leyes R. Calo, existen maneras de lograr que los usuarios acaten e implementen las políticas de seguridad con éxito.

“Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña”.

Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante «contraseña robusta» en color verde.

A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas”, explica el libro.

Educa mientras aplicas las políticas de seguridad

Otra manera de fomentar, sin forzar, un comportamiento seguro de nuestros usuarios es creando notificaciones informativas que lleven a la reflexión junto al medidor de fortaleza.

“Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc., e incluir el medidor de fortaleza en la misma página de creación de contraseñas”.

Más opciones

•  Elecciones predeterminadas: Ofrece más de una opción, pero asegurándote siempre de que la predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará.

•  Feedback: Proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón «Enviar».

Usa un lenguaje o comparaciones que el usuario entienda.

Por ejemplo, el uso de metáforas bien conocidas, como «cerrojos» y «ladrones», hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones (Raja, Hawkey, Hsu, Wang, & Beznosov, 2011).

Informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento en el futuro (Wang, y otros, 2014).

•  Comportamiento normativo: Muestra el lugar que ocupa cada usuario en relación a la medida de seguridad en comparación con sus compañeros.

Por ejemplo, tras la selección de una contraseña, el mensaje «el 87% de tus compañeros han creado una contraseña más robusta que tú» consigue que usuarios que crearon una débil recapaciten y creen una más segura.

•  Orden: Presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen.

•  Convenciones: Usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente.

•  Prominencia: Destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen.

Aplica las políticas de seguridad con transparencia

Al crear medidas de ciberseguridad a través de estos “empujoncitos” debes hacerlo de  manera ética sin violentar la libertad de tus colaboradores.

La misma teoría indica que hay una serie de principios a la hora de “diseñar tus propios empujoncitos para tu organización” (Renaud & Zimmermann, 2018):

  1. Autonomía: El usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas. Es decir que ninguna opción será prohibida o eliminada del entorno, y si lo hacen se debe explicar por qué.
  2. Beneficio: Debe significar un beneficio claro y real para la seguridad de la organización.
  3. Justicia: Debería beneficiar al máximo número posible de individuos dentro del sistema.
  4. Responsabilidad social: Deberían contemplarse siempre empujoncitos pro-sociales que avancen el bien común.
  5. Integridad: Los empujoncitos deben diseñarse con un respaldo científico, en la medida de lo posible.

Al final la idea es que ayudes a tus usuarios o colaboradores a tomar mejores decisiones a la hora de navegar por la internet y red empresarial. Empújalos a navegar seguro, siempre respetando su libertad.

Antes de crear la política de ciberseguridad, lee esto 👇
¿Qué profesionales necesito en mi empresa para estar ciberseguro?

Compartir

Me robaron mi cuenta de correo ¿cómo lo hicieron?

, , ,

Tus contactos te dicen que están recibiendo un email desde tu cuenta de correo vendiéndoles un reloj de marca a precios increíbles. Si es así, es casi seguro que te hayan robado tu email.

Como usamos nuestros correos electrónicos en aplicaciones, suscripciones de servicios o en sites de interés, los ciberdelincuentes hackean las cuentas para obtener toda esa información importante que dejas.

Pero, ¿cómo te roban tu email?

Correo phishing

El phishing es una de las técnicas de ingeniería social más usada para acceder de manera fraudulenta a los datos de inicio de sesión de tu cuenta de correo electrónico.

Es decir, los ciberdelincuentes suplantan la identidad de tu servicio de mensajería de emails (Gmail, Hotmail, Yahoo, Outlook).

Cómo comprobarlo:

  • Colocan una dirección en el campo remitente casi idéntica a la legítima.
  • Usan logos, cabeceras y pie de páginas similares a los proveedores de correo.
  • Agregan al correo enlaces a fuentes oficiales.

Así luce un correo fraudulento, de actividad inusual de Microsoft:

Imagen tomada de welivesecurity.com

En este caso la supuesta actividad inusual le pide al usuario que confirme si realizó tal inicio de sesión con un link que dice “revisar la actividad reciente” y que al dar clic lo llevará a un sitio, también falso.

La página a la que llega el usuario le solicitará ingresar su contraseña, momento en el que el ciberdelincuente habrá obtenido los datos de acceso de la víctima.

[Al final de este artículo comprueba si tu contraseña es segura con nuestro verificador]

El email fraudulento ha sustituido sutilmente algunos aspectos, que si no somos conscientes pueden pasar desapercibidos:

  • El URL sustituye puntos por guiones.
  • Hay caracteres de más en la dirección.
  • El diseño parece auténtico, pero tiene ligeros errores.
Ejemplo de página falsa para robar correo electrónico
Así luce la página falsa para que el usuario coloque su contraseña.
Imagen tomada de welivesecurity.com

Consejo del experto: de acuerdo con Miguel M. Arias, experto en ciberseguridad de la Universidad INTEC, puedes evitar el robo de tu correo considerando la autenticidad del email (dude si te parece extraño), verifica la dirección de correo del remitente; chequea bien el cuerpo del correo para detectar faltas ortográficas, pon atención al horario de envío y el contexto del mensaje.

A través de lo que tecleamos

Cada tecla que marcas cuando escribes en tu computadora puede dejar un rastro a través del cual el ciberdelincuente puede adivinar tu contraseña.

¿Cómo lo hace? Con la instalación de un tipo de malware llamado keylogger que, aunque es un programa que puede ser usado legítimamente, cuando se usa en contra de la seguridad se convierte en un mecanismo de fraude.

Ese software rastrea cada tecla y envía la información al pirata informático, que da con la contraseña de cualquier cuenta de email o aplicación, cuenta de banco o los datos de la tarjeta de crédito, para hacer más ataques.

Cómo evitarlo: Usa un gestor de contraseña para crear claves fuertes y seguras y recuerda actualizarlas periódicamente.

Mensajes de texto

Aunque los mensajes de textos (SMS) están en desuso, pueden ser una vía para el robo de email.

Esta estafa consiste en el envío de un SMS a tu celular a través del cual te indican, supuestamente enviado por Google (o cualquier otra empresa de mensajería) para informar al usuario, que alguien ha intentado entrar en su Gmail.

Acto seguido recibes vía email un correo fraudulento que te alarma de un intento de inicio de sesión. Igual que en el caso anterior, adjuntarán un enlace que te llevará, supuestamente a una página para poder cambiar tu contraseña.

La estafa es tan limpia, que incluso el aparente servicio de Gmail enviará de vuelta otro SMS para solicitar el código de verificación, con lo que los ciberdelicuentes entran con la contraseña desde otra ubicación.

Solución: Si recibes un mensaje de texto similar, omítelo o elimínalo. No descargues ni des clic a ningún enlace.

Comprueba si tu contraseña es segura

Pon una contraseña de referencia en este cuadro:

Se necesitarían 0 segundos para descifrar su contraseña

    Compartir
    tiendas online en republica dominicana

    Tiendas online seguras de República Dominicana

    , ,

    ¿Sabes cuáles son las páginas de tus tiendas favoritas en República Dominicana donde puedes comprar online y consultar la información de manera segura?

    Te traemos el listado de las empresas socias de la Organización Nacional de Empresas Comerciales del país, donde puedes navegar seguro mientras realizas tus compras.

    TiendaPágina web, da clic y te lleva al site
    Almacenes Semawww.sema.com.do
    Remix www.remix.com.do
    Punto Íntimo www.puntointimo.com
    Aliss Dominicanawww.gomarket.com.do
    Supermercados Nacional www.supermercadosnacional.com
    Casa Cuesta www.casacuesta.com
    Juguetónwww.jugueton.com.do
    Cuesta Libroswww.cuestalibros.com
    Bebé Mundowww.bebemundo.com.do
    Supermercados Jumbo www.jumbo.com.do
    Casa Virginiawww.casavirginia.com
    Cole Haan www.colehaan.do
    Nine West www.ninewest.com.do
    La Licorerawww.gomarket.com.do
    Sambilwww.sambilonline.do
    Distribuidora Corripiowww.tiendascorripio.com.do
    Tiendas Garridowww.garrido.com.do
    Farmacia Carolwww.farmaciacarol.com
    Price Club www.priceclub.com.do
    La Sirenawww.sirena.do
    Farmacias Los Hidalgoswww.farmaciasloshidalgos.com.do
    EPK www.epkrd.com
    www.instagram.com/epkrd
    Kenneth Coledo.kennethcolelatino.com
    Naturelizewww.naturalizerrd.com
    Plaza Lamawww.plazalama.com.do
    PriceSmartwww.pricesmart.com
    Ikea Dominicanawww.ikea.com.do/es
    Sportlinewww.sportline.com.do
    La Curacao onlinewww.lacuracaonline.com/do
    Vital Saludwww.vitasalud.com.do
    Zushoeswww.zushoesrd.com/
    Antes de comprar en cualquier tienda online, lee👇
    6 consejos para identificar una tienda online segura.

    Compartir
    ABA 2021 - Todos los derechos reservados.
    Política de Privacidad
    Protégete de los ciberdelitos
    Recibe informaciones, recursos gratis y consejos para navegar seguro.
    Protégete de los ciberdelitos
    Recibe informaciones, recursos gratis y consejos para navegar seguro.
    Ir al contenido