Archives febrero 2023

En el Foro Económico Mundial celebrado el pasado mes de enero en Davos se organizó una charla sobre la semana laboral de cuatro días sin reducción salarial. Durante el coloquio se hizo hincapié en algunas de las ventajas de la jornada semanal de 32 horas y se señaló, por otro lado, que numerosos países de Europa occidental están a la cabeza de los tests que prueban la eficacia de esta jornada reducida.

Dos de esos países son España y Portugal. En el país vecino, la prueba se celebrará durante el segundo semestre de este año, y ya ha generado el interés de un centenar de empresas, la mayoría de ellas de pequeña y mediana dimensión. Ello no es casual: muchas pymes de todo el mundo que han probado la semana de cuatro días reconocen numerosos beneficios. Estas son las experiencias de algunas de estas firmas.

Aumenta la productividad y los ingresos. El pasado 15 de febrero, Brad Griffith, presidente de Buckeye Innovation, compañía especializada en el desarrollo web, afirmó en un artículo de Forbes que la adopción de la semana laboral de cuatro días por parte de la firma había tenido resultados muy positivos: la productividad aumentó y los ingresos se incrementaron un 30%.

Además, Griffith señaló que el hecho de darle a la plantilla más tiempo para usarlo en su desarrollo personal y profesional, así como en atender a sus familias, ha aumentado el ánimo delos 16 miembros de la compañía.

Herramienta para contratar trabajadores. Por otro lado, Griffith indicó que la semana laboral de cuatro días puede ayudar a las pymes a la hora de reclutar personal. Ante las dificultades para contratar a un trabajador con el perfil ideal, la semana de 32 horas puede suponer un incentivo para trabajadores que, si bien no cumplen con todos los requisitos, sí poseen con una alta capacidad de concentración y productividad.

Ventaja competitiva respecto a las grandes firmas. Sin embargo, la semana laboral de cuatro días puede ayudar justamente a lo contrario: a contratar al personal más cualificado. Tal ha sido la experiencia de Rent a Recruiter, firma de reclutamiento irlandesa que adoptó la semana laboral de 32 horas y el teletrabajo para mejorar su competitividad tras realizar una prueba organizada por 4 Day Work Week.

Atrae al talento. Según Barry Prost, su CEO, esta jornada de tres días libres puede auxiliar a las pymes que son incapaces de ofrecer el mismo salario que empresas más grandes y convencer a profesionales con alta cualificación. Adicionalmente, Prost aseguró que la firma había conseguido retener a toda la plantilla (previamente tenían una rotación laboral del 20%), incrementar la productividad en un 50% y elevar el bienestar de los asalariados

Los profesionales no se quieren ir. Por su parte, Jon Leland, director del departamento de estrategia de Kickstarter, compañía de crowdfunding que participó en el mismo test de 4 Day Week Global, reconoció en un post publicado por esta organización que el resultado había sido un “verdadero win-win”: se retuvo a la plantilla, aumentaron los ingresos y el bienestar de los profesionales se elevó.

Algunos problemas. En contraste con los resultados tan positivos se encuentran los problemas que puede generar la semana laboral de cuatro días.  En este sentido, la agencia de diseño Lyon & Lyon señaló en declaraciones a Forbes que las relaciones mercantiles con determinados clientes se habían visto afectadas por la adopción de la semana laboral de cuatro días.

Falta de coordinación. Benny Lyon, cofundador de la empresa junto con su hermano Mat, reconoció que hay fechas de entrega que la firma no puede cumplir: “Hay clientes que quieren el producto rápidamente, y no podemos dárselo un viernes”. Por ello, Benny añadió que “la semana laboral de cuatro días está aquí para quedarse, pero todavía tenemos mucho que hacer para que nos funcione”.

La clave es la organización. Es decir, la semana laboral de 32 horas sin reducción salarial no se obtiene de la noche a la mañana: requiere de un elevado nivel de organización, algo que las pymes pueden obtener con mayor facilidad que las multinacionales, según afirmó en declaraciones a la BBC Pedro Gomes, profesor de Birkbeck University of London y coordinador del ensayo de la semana laboral de cuatro días que se realizará este año en Portugal.

Semana laboral de cuatro días al rescate. En este sentido, Victoria Firth, que fundó junto a Rhonda Curliss, la consultora Grey Lemon, señaló algunas dificultades que habían sufrido durante la implementación de la semana laboral de cuatro días. En su caso, la adopción de esta jornada se debió a la necesidad de conciliar, durante el confinamiento, la actividad de la firma y los cuidados domésticos. Ello confirma, por otra parte, la forma en la que el teletrabajo puede amplificar la brecha de género.

Evitar quemarse. Firth señaló que para evitar el estrés que puede generar tener un día menos para llevar a cabo toda la tarea de la semana, es necesario mejorar la organización de la empresa y establecer mecanismos de apoyo administrativos que proporcionen el tiempo y espacio necesarios para que los profesionales sean productivos y disfruten de su trabajo.

Fuente: www.xataka.com

Imagen 3

En esta segunda parte revisamos los últimos cuatro pasos del método OCTAVE Allegro para hacer una evaluación de riesgos de ciberseguridad.

En la primera parte de esta serie de dos artículos que llamamos “8 pasos para la evaluación de riesgos de ciberseguridad”, revisamos los primeros cuatro pasos para hacer la evaluación de riesgos de una empresa según el método OCTAVE Allegro. Una guía útil para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta segunda parte, continuamos con los últimos cuatro pasos que propone esta metodología.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Imagen 1.

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:

Imagen 2

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Imagen 3

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

El método OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

Fuente: www.welivesecurity.com

¿Qué es un ataque man-on-the-side y en qué se diferencia de un ataque man-in-the-middle?

Hay ataques de los que todo el mundo ha oído hablar, como los ataques de denegación de servicio distribuido (DDoS); otros que solo suelen conocer los profesionales, como los ataques man-in-the-middle (MitM), y luego están los más raros y exóticos, como los ataques man-on-the-side (MotS). En esta publicación, hablaremos sobre este último en profundidad y debatiremos cómo se diferencian de los ataques man-in-the-middle.

¡¿Un ataque cómo?!

Entonces, ¿cómo funciona un ataque man-on-the-side? Básicamente, un cliente envía una solicitud a un servidor a través de un canal de transferencia de datos comprometido. Los ciberdelincuentes no tienen controlado este canal, pero sí pueden “escucharlo”. En la mayoría de los casos, un ataque de este tipo requiere el acceso al hardware del proveedor de Internet, algo muy raro, por ello son ataques muy poco comunes. Pero, una vez ejecutado, pueden monitorizar las solicitudes del cliente y generar sus propias respuestas maliciosas.

Los ataques man-in-the-middle funcionan de forma similar: los atacantes también aprovechan el proceso de transferencia de datos entre el cliente y el servidor. La principal diferencia entre estos dos tipos de ataques es que en el man-on-the-side la solicitud del cliente llega al destinatario (el servidor). Por tanto, el objetivo de los atacantes es responder lo más rápido posible a la solicitud del cliente.

En cuanto al man-in-the-middle, los atacantes tienen un mayor nivel de control sobre el canal de transferencia de datos. Interceptan la solicitud y pueden modificar o eliminar los datos enviados por otros usuarios en la misma la red. Por tanto, no tienen por qué ser más rápidos que la respuesta del servidor.

Sin embargo, el man-in-the-middle es un ataque mucho más invasivo que el man-on-the-side, lo que significa que es más fácil de detectar. Ya describimos con más detalle cómo funciona un ataque man-in-the-middle poniendo como ejemplo el clásico cuento de Caperucita Roja en esta publicación.

OK, pero ¿cómo funciona un ataque man-on-the-side?

Un ataque man-on-the-side exitoso permite enviar respuestas falsas a varios tipos de solicitudes al ordenador de la víctima de esta forma:

• Reemplazando un archivo que el usuario desea descargar. Por ejemplo, en el 2022 el grupo de APT LuoYu entregó el malware WinDealer a los dispositivos de sus víctimas, la mayoría diplomáticos, científicos o empresarios de China. Se envió una solicitud al servidor para actualizar el software legítimo, pero los atacantes lograron enviar su propia versión del parche que, como era de esperar, incluía el malware.
• Ejecutando un script malicioso en el dispositivo. De acuerdo con Electronic Frontier Foundation, así es cómo el gobierno chino intentó censurar a GitHub, la conocida comunidad de código abierto, en el 2015. Los atacantes usaron un man-on-the-side para entregar JavaScript malicioso a los navegadores de los usuarios. Como resultado, estos navegadores cargaban una y otra vez las páginas de GitHub. Este ataque DDoS duró más de cinco días y obstaculizó significativamente el servicio.
• Redireccionando a la víctima al sitio web.

Como dato curioso, se sospecha que las agencias de inteligencia de varios países también usen este tipo de ataque.

Cómo protegerte

Como ya hemos dicho, los ataques man-on-the-side son bastante inusuales, dado que necesitan el acceso al hardware del proveedor para poder llevarse a cabo. Por tanto, los viajes de negocios, las conferencias de trabajo o cualquier otra ocasión en la que tus empleados puedan conectarse a redes wifi sin protección son situaciones de alto riesgo. Para mantenerte a salvo, te recomendamos trabajar siempre a través de una VPN y usar una solución de seguridad sólida en todos los dispositivos corporativos de los empleados.

Fuente: www.latam.kaspersky.com

La pregunta nos la traslada un lector y aunque es muy simple, tiene más miga de la que parece a priori. Obviamente. Por eso la traigo aquí, a pesar de que también me mueven otras intenciones.

Este lector nos plantea su cuestión por correo porque tras lanzar la pregunta en los comentarios y no recibir respuesta, decidió intentarlo por ahí. A este respecto tengo que advertir que esto es una excepción: podemos responder alguna pregunta por correo, pero no damos soporte. Tenedlo en cuenta, por favor.

Dicho lo cual, su caso me pareció lo suficientemente interesante como para desarrollarlo aquí y no en una respuesta privada. Por el caso en sí, por los detalles que comparte y porque la inteligencia colectiva siempre funciona mejor que la individual y quizás alguien haya pasado por lo mismo y pueda responderle con más propiedad que yo.

Vamos ya con la pregunta y los detalles, aunque como he intercambiado un par de mensajes con él, lo voy a sintetizar para que sea resulte más sencillo.

La pregunta: qué distribución elegir.

El contexto: desarrollador web con 20 años de experiencia usando Mac, sistema al que está muy acostumbrado por características como «escritorios virtuales, clics, teclado, etc», así como por las aplicaciones de ofimática, si bien su herramienta principal es Visual Studio Code. También usa MAMP como entorno de pruebas. Lo que más echa de menos de macOS es el menú global. No le da miedo la consola, y de hecho ya la usaba en macOS.

La experiencia: su primera elección fue elementary OS, distribución que ha usado y que le gusta, pero no se termina de fiar del proyecto; también se ha fijado en Deepin, pero tampoco se termina de fiar; a GNOME lo encuentra muy restrictivo; y ahora está probando Budgie, con la que casi ha replicado su flujo de trabajo previo, aunque «algunas cosas no van fluidas».

Ahora, mi respuesta, que no va a ser corta… aunque podría serlo. tan corta como «sigue haciendo lo que estás haciendo, probando, porque así es como llegarás a tu destino«. Al fin y al cabo, ya sabemos todos que ese es el camino que recorremos la mayoría de usuarios de Linux: puedes empezar por algo que te parece tal o cual, que lo más probable es que conforme adquieras algo de experiencia des el salto en busca de nuevos horizontes hasta encontrar tu sitio.

Sin embargo, esa respuesta, siendo la obvia y más razonable, dejaría este artículo en blanco. Así que voy a contestar a todo, pero en orden inverso, que me resulta más directo. Con respecto a la experiencia que me transmite este usuario, que no tiene nada de novato, aunque apenas haya usado Linux, le diría que:

• Que no tenga miedo de que elementary OS o Deepin desaparezcan: son distribuciones que llevan años en desarrollo y no van a esfumarse así como así… Pero yo no las recomendaría para un equipo en producción no porque sean malas, sino porque hay alternativas mejores. Que se parezcan a macOS puede tener su atractivo para el que viene de macOS, pero hasta ahí llegan sus ventajas (podría extenderme mucho más, pero esto se haría tedioso). Solo una cosa más: ni en la una, ni en la otra vas a tener menú global… lo cual importa poco, cabe añadir (y más adelante explicaré el porqué).
• De las alternativas que menciona, señala a GNOME como la más restrictiva… y no es cierto: puede que por defecto no tengas las mismas opciones de personalización que Elementary OS o Deepin, pero con las extensiones les da varias vueltas.
• Por el contrario, Budgie no se lo recomendaría a nadie. Entiendo 1que haya a quien le guste y le vaya bien, en cuyo caso adelante, que cada cual haga lo que quiera; pero en mi opinión es un escritorio que aporta entre poco a nada ya no como alternativa en sí, sino como proyecto derivado y apoyado en GNOME. Por no mencionar lo lento de su desarrollo. Perosnalmente, tendría mucho más miedo a que desapareciese Budgie, a que lo hiciese elementary OS o Deepin.

Entrando en el contexto, VSCode está disponible para Linux, como lo están alternativas a MAMP como XAMP o LAMP (estoy un poco desactualizado en estos temas, que dudo que Linux no esté cubierto en este sentido). Y en cuanto a las aplicaciones ofimáticas, no llega a decir si se refiere e iWork, pero en cualquier caso, en Linux tienes alternativas para aburrir y de calidad: LibreOffice y OnlyOffice, Google Docs y Microsoft Office… Hablemos del menú global, pues.

Entiendo el apego al menú global, porque yo mismo llegué a tenerlo en mi tiempo con Unity, único escritorio que lo ha implementado con excelencia por encima incluso de como funciona en macOS… Y sí, se puede seguir usando Unity porque el escritorio está de vuelta y con energías renovadas, pero, de nuevo en mi opinión (este es un artículo de opinión), ya no es lo que era. De manera que, aun cuando le recomendaría echarle un vistazo a Ubuntu Unity, más ahora que ya es parte oficial de Ubuntu, yo me iría por otro lado.

(Nota al margen: añado a continuación un par de vídeos de GNOME y KDE Plasma, personalizados por Linux Scoop al estilo de macOs, para darle un poco de color a la entrada y mostrar las capacidades de personalización de ambos escritorios, no porque recomiende hacerlo así. Soy de la opinión de que cuanto menos se toque lo que viene por defecto, mejor. Pero que no sea porque no se puede.)

Si el menú global fuese un elemento imprescindible, mi elección sería KDE Plasma. Sin pensarlo mucho, además. Es cierto que le tocaría perder tiempo retocando el escritorio para asemejarlo a lo que le gusta, al estilo de macOS, pero si no a nivel estético, a nivel de funcionalidad es el más personalizable que va encontrar en Linux y fuera de Linux. El proceso de adaptación tal vez le costase más, pero a la larga sería la mejor decisión.

En esencia, con KDE Plasma te puedes montar un estilo de escritorio similar al de macOS sin apenas salirte de las preferencias predeterminadas: dock, panel superior con el menú global, Spotlight (KRunner), Mission Control (Vista general), escritorios virtuales, atajos de teclado personalizables al extremo… Todo en su justa medida, claro; o sea, salvando las distancias, pues KDE Plasma no pretende imitar a macOS, pero por posibilidades de personalización, es el que más se le puede acercar (GNOME tampoco se iría mucho, ojo).

Para empezar elegiría una distribución de soporte extendido, con pocos cambios, como Kubuntu 22.04 LTS y una vez me hiciese con el escritorio ya vería (aunque me esperaría unos días porque Ubuntu 22.04.2 LTS está al caer). Por cierto: para hacerse con algo lo mejor es tocarlo y romperlo las veces que haga falta y si no quieres guarrear con la sesión que usas para trabajar y prefieres ir sobre seguro, te agregar un nuevo usuario para experimentar.

Por otro lado, la recomendación de KDE Plasma solo se la haría al usuario que -con la premisa de que busca algo similar a macOS- no le importe perder tiempo, aunque sea de vez en cuando, adentrándose en la configuración del entorno para, como he dicho, hacerse con él y adaptarlo en todo lo posible a sus gustos y necesidades. En caso contrario, de tratarse de un usuario que quiera complicarse lo mínimo indispensable, pero que no desee alejarse mucho del paradigma de macOS, mi recomendación sería…

Ubuntu. Repito: hablamos de no complicarse. En este sentido, Ubuntu 22.04 LTS se me antoja como una elección muy acertada, tanto por lo que aporta la propia distribución (y más siendo desarrollador: Ubuntu Pro cobra valor añadido en este caso) como el GNOME que viste. En serio: ponle Dash to Dock y alguna que otra extensión que te interese para recuperar funcionalidad, dale los retoques que consideres y tienes un escritorio a la Mac fantástico.

¿Por qué Ubuntu y no cualquier otra distribución con GNOME? Bueno, digo Ubuntu para empezar y por lo mismo que he señalado a Kubuntu: es una versión LTS de largo recorrido, enfocada en la estabilidad, etc. Lo único negativo es la gestión de software, pero lo resuelves en un periquete si te pones a ello. Y en cuanto al menú global… Se puede vivir sin él, te lo aseguro. Todo es acostumbrarse. Además, GNOME prescinde de él en la mayoría de aplicaciones por diseño y en otras como LibreOffice o VSCode tienes HUD que van mucho mejor que un menú al uso.

En resumen: KDE Plasma si prefieres una experiencia lo más personalizada posible,siempre que no te importe arremangarte para conseguirla; o GNOME, si prefieres algo similar por defecto, pero más limitado y a lo que tendrás que adaptarte tú en cierta medida. Y, para empezar, Kubuntu o Ubuntu, pero LTS.

Esta, por supuesto, es mi propuesta… mi recomendación… mi opinión. ¿Quién la mejora?

Fuente: www.muylinux.com

Consejos para detectar estafadores en las redes sociales y aplicaciones de citas.

ECUADOR – ESET, compañía líder en detección proactiva de amenazas, comparte 10 señales de alerta para ayudar a detectar no solo perfiles falsos de redes sociales y aplicaciones de citas, sino también estafadores en general.

“Las citas a distancia se han vuelto cada vez más comunes. Desafortunadamente, esto también abre la puerta a los estafadores. Si sucede lo peor y te conviertes en una víctima, es muy importante que no sufras en silencio. No te avergüences y realices la denuncia del delito. Tus acciones podrían ayudar a evitar un dolor de a los demás. Además, para minimizar las posibilidades de ser el blanco de una posible estafa amorosa, se aconseja no compartir demasiados detalles personales de forma pública en redes sociales, realizar muchas preguntas y prestar atención si las respuestas son evasivas. Tampoco se recomienda enviar fotos o videos comprometedores.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Dentro de los 10 puntos a prestar atención para detectar perfiles falsos de redes sociales y aplicaciones de citas, se encuentran:

1. Tener cuidado con los perfiles que parecen demasiado buenos para ser verdad, especialmente si la foto de perfil de la persona parece haber sido tomada por un fotógrafo profesional.
2. Tener cuidado con los perfiles que carecen de información importante, como una biografía o una lista de intereses.
3. No proporcionar información personal, como el nombre completo o sus detalles financieros, hasta que haya conocido a una persona en persona.
4. Tener cuidado con las personas que afirman tener mucho dinero o un trabajo bien remunerado, pero aun así le piden ayuda financiera.
5. Estar atento a las personas que piden dinero, sin importar la razón que proporcionen para necesitarlo.
6. Tener cuidado con las personas que afirman estar experimentando una emergencia y dicen que necesitan que se haga una transferencia de dinero de inmediato, o con cualquier persona que dice ser personal militar y solicita ayuda con un paquete que está tratando de enviarle. Ambas son tácticas comunes utilizadas por los estafadores.
7. Tener cuidado con las personas que parecen estar avanzando muy rápido en la relación.
8. Ser escéptico con las personas que usan un lenguaje demasiado formal o romántico en sus mensajes.
9. Hay que recordar que la tecnología evoluciona constantemente y que los estafadores también adaptan continuamente sus métodos. Por lo tanto, es esencial estar atento en todo momento, incluso cuando el perfil de una persona parezca perfecto.
10. Al notar que se está frente a un estafador de citas, denunciarlo a la aplicación de citas para evitar que la estafa perjudique a otras personas.

Fuente: www.eset-la.com

Desde que está debajo del paraguas de Mozilla Corporation (ahora identificada como MZLA Technologies), el cliente de correo Thunderbird ha ido mostrando poco a poco ambiciosos planes con los que pretende volver al primer plano después de que su desarrollo haya quedado bastante parado durante años, una situación derivada en buena medida del desinterés de la propia Mozilla Foundation ante la caída del uso de este tipo de aplicaciones en escritorio.

A pesar de que Thunderbird no ha vivido sus mejores momentos durante el transcurso de la pasada década, sigue contando con millones de usuarios. Después de muchos años en los que su evolución ha sido escasa a niveles generales, los actuales responsables tienen toda la intención de relanzar la aplicación, lo que obviamente abarcará una renovación de la interfaz de usuario.

En la entrada más reciente de las publicadas en el blog oficial de Thunderbird se ha anunciado que se está reconstruyendo la interfaz de usuario desde cero. Dicho anuncio deriva de preguntas que los usuarios hacen cada vez más a menudo, y es que, siendo honestos, el cliente funcionará muy bien, pero a niveles generales sigue luciendo como una aplicación de la primera década del Siglo XXI.

Los responsables han explicado a través del blog oficial que, “con el lanzamiento de este año de Thunderbird 115 ‘Supernova’, estamos haciendo mucho más que otro lanzamiento anual. Es una revisión modernizada del software, tanto visual como técnicamente. Thunderbird está experimentando una reelaboración masiva desde cero para deshacerse de toda la deuda técnica y de interfaz acumulada en los últimos 10 años”. Aunque reconocen que la tarea no es sencilla, según su visión es algo necesario para el mantenimiento del proyecto durante los próximos 20 años, además de que la adición de cosas sobre una arquitectura que se “desmorona” empieza a no ser sostenible.

Con el fin de abordar el desafío que supone la renovación de Thunderbird, se han apuntado tres objetivos principales a cumplir durante el transcurso de los próximos tres años:

• Hacer que la base de código sea más ágil y confiable mediante la reescritura de código antiguo y la eliminación de la deuda ténica.
• La reconstrucción de la interfaz desde cero para crear un sistema de diseño consistente, además de desarrollar y mantener una interfaz de usuario adaptable y extremadamente personalizable.
• Cambiar a un calendario de lanzamientos mensuales.

Los planes en torno a Thunderbird no solo responden a la necesidad de modernizar la aplicación por fuera, sino también por dentro. En el blog oficial se explica que “es una aplicación monolítica que ha sido desarrollada por miles de personas a lo largo de dos décadas. Hacer cambios importantes, como lo estamos haciendo con Supernova, requiere una consideración muy cuidadosa.”

“Mientras lees esto, podría ayudarte imaginar a Thunderbird como una enorme torre de Lego que has construido. Pero años más tarde, te das cuenta de que la pieza central crucial que sirve como base está usando la forma incorrecta. Si reemplaza solo esa pieza, toda la torre se derrumbará. Esto significa que tienes que quitar lentamente los bloques de arriba para evitar que la torre se derrumbe. Luego, una vez que llegue a esa pieza central, la reemplaza y luego vuelve a agregar las piezas que quitó con piezas ligeramente diferentes”.

En resumidas cuentas, parece que la actual arquitectura de Thunderbird se ha vuelto difícil de evolucionar. Si bien eso no quita que los responsables hayan señalado que les gusta tener a Firefox como arquitectura base, su mantenimiento tiene un alto coste debido a que los cambios en el navegador web provocan roturas cuando son trasladado al cliente de correo. Aquí influyen los cientos de desarrolladores que están involucrados en Firefox frente a los poco más de doce que actualmente están dedicados a Thunderbird.

Los responsables han mostrado su agradecimiento a la comunidad, a la que atribuyen el hecho de que Thunderbird haya permanecido vivo en los últimos años: “Millones de usuarios activos, colaboradores, donantes y simpatizantes han dedicado horas y horas de su tiempo libre para garantizar una herramienta usable y útil para tantos. E hicieron un gran trabajo, algo por lo que estamos eternamente agradecidos. Nuestra comunidad respondió y se adaptó al escenario que encontraron, y trataron de sacar lo mejor de él”.

Veremos si los ambiciosos planes en torno a Thunderbird terminan dando resultados tangibles para los usuarios, aunque viendo los importantes anuncios, tiene pinta de que los desarrolladores van en serio. Además del rediseño y la reconstrucción de la aplicación para escritorio, MZLA Technologies ha movido ficha para adoptar la aplicación K-9 Mail para transformarla en Thunderbird para Android. Os dejamos con un vídeo donde se exponen los planes en torno a la aplicación.

Fuente: www.muylinux.com

Ninguna empresa opera correctamente sin una cooperación fluida entre la dirección general y los especialistas responsables de las distintas áreas que la conforman. Claro que dicha cooperación requiere comunicación, lo que puede llegar a ser difícil, ya que los gerentes y especialistas trabajan en burbujas de información distintas y, generalmente, hablan diferentes idiomas. La dirección piensa en ganancias, costes y el desarrollo; los especialistas, y el servicio de seguridad de la información no son la excepción, piensan en sus tareas técnicas específicas.

Un estudio reciente realizado por nuestros compañeros demostró que, aunque el entendimiento mutuo entre directivos y especialistas en seguridad de la información va en aumento en general, todavía existen problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado algún tipo de malentendido con el servicio de seguridad de la información al menos una vez que, como consecuencia directa, habría provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % informó de impactos negativos en la empresa, incluidas las pérdidas, la partida de empleados clave o un deterioro de la comunicación entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: al 42 % de los líderes empresariales les gustaría que los especialistas en seguridad fueran más claros al comunicarse, ¡pero el 76 % de estos especialistas aseguran que todos los entienden a la perfección!

Usualmente hay problemas con el lenguaje que se usa: los directivos no siempre entienden todos los tecnicismos que usan los servicios de seguridad de la información. Pero la terminología no es el único problema en su comunicación; de hecho, está lejos de ser problema principal. Tratemos de comprender el resto de los problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su discurso en la Kaspersky Industrial Cybersecurity Conference de 2019.

Una concepción muy diferente del riesgo.

La mayoría de los especialistas en seguridad de la información tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que usualmente los directivos están dispuestos a asumir riesgos mayores. Para el jefe, el principal objetivo es encontrar el equilibrio ideal entre ganancias y potenciales pérdidas. El objetivo real del departamento de seguridad, por raro que parezca, no es eliminar todas las amenazas, sino ayudar a que la empresa gane tanto como sea posible.

Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos tratarán de tomar los máximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la información es solo una pequeña parte de la imagen, de hecho, es casi seguro que ni siquiera quieran piensen en ella.

Por ende, los especialistas en seguridad de la información no deben pensar en cómo cerrar todas las brechas, sino en identificar y neutralizar las amenazas que realmente puedan causar daños graves a la empresa. En consecuencia, también deberían pensar en cómo explicar a los directivos por qué vale la pena gastar dinero en resolver algo.

El FUD no funciona

Tratar de persuadir a la dirección mediante tácticas de miedo, incertidumbre y duda (FUD por sus siglas en inglés) no funcionará, ya que la empresa no paga al servicio de seguridad de la información para ser asustados. Los especialistas están para resolver problemas y, mejor aún, para que nadie note si surge alguno.

Otro problema con el uso del concepto FUD es que los directivos ya viven estresados, solo por el hecho de que cualquier error que cometan podría ser el último; por ejemplo, hay muchas personas alrededor que aprovecharán la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por ende, no necesitan sentir miedo adicional.

Y, por último, a ningún jefe le gusta demostrar que desconoce algo. Por tanto, cualquier intento de bombardear a la dirección con términos que suenen inteligentes está claramente condenado a fracasar.

Piensa como empresa

El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos ven todo desde esa perspectiva, es lo que saben hacer. Por ende, si un especialista en seguridad de la información se les acerca y les dice: “apareció una amenaza y necesitamos invertir X cantidad de dinero para neutralizarla”, lo que escucha es “si nos arriesgamos y no hacemos nada, ahorraremos X cantidad”. Suena loco, pero justo así es cómo piensan las empresas.

Para el directivo, es esencial que todas sus acciones (o inacciones) den como resultado números financieros positivos, incluso aunque dicha cifra positiva sea la diferencia entre dos negativos. Por tanto, deben presentarle la situación de una forma que pueda comprender: “Existe una amenaza con una probabilidad del Z % de causar un daño Y al negocio. Necesitamos gastar X para neutralizarlo”. Esta es una ecuación que, en la mentalidad empresarial, tiene sentido.

Claro que no siempre es posible predecir de forma realista el coste potencial del daño, por lo que puedes usar valores conocidos como el tiempo de inactividad (durante el cual se limpiarían las consecuencias del incidente), la cantidad o el tipo de datos que podrían perderse o comprometerse, las pérdidas de reputación, etc. Después, la empresa podrá trasladar esta información a números comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la información puede hacerlo por sí mismo, ya que se ahorra mucho tiempo.

Naturalmente, la posibilidad de que la ecuación no funcione a favor de la seguridad de la información siempre existe. Esto no siempre es un problema de falta de comunicación; puede que la dirección escuche y entienda todo a la perfección, pero que correr el riesgo sea más rentable. Eso o que la seguridad de la información no haya podido argumentar de forma convincente su posición dado que todavía no sabe pensar como empresa.

La clave aquí es tener una buena comprensión de la posición del servicio de seguridad de la información dentro de la empresa y las ganancias que genera. Esto permitirá evaluar y clasificar mejor las posibles amenazas, evitar la pérdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegarán a ningún lado y, en general, trabajar de forma más eficiente.

Los plazos y el factor tiempo

El factor tiempo es crucial para la seguridad: algunas amenazas deben protegerse cuanto antes. Pero el tiempo también importa para las empresas, donde el tiempo es dinero. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos hábiles, X se convertirá en X*n y X*(n-1) permanecerá en el banco.

Aunque la directiva comprenda el problema y entienda que debe resolverse, no se apresurarán a gastar dinero a menos que se les dé una fecha límite clara y bien fundamentada. También deben saber que, cuando el plazo venza, automáticamente deben asumir la responsabilidad por el riesgo en específico, ya que entonces la seguridad de la información solo puede limpiar las consecuencias.

Este plazo debe ser lo más realista posible. Si la seguridad de la información siempre exige que se tome una decisión “para ayer”, la directiva dejará de escuchar y los tratará como el niño del cuento del lobo. Y si siempre dice “bueno, tienes un año para pensarlo”, los despedirán directamente o después del siguiente incidente. Es importante poder evaluar, establecer un plazo real y resaltar los potenciales riesgos.

Hay que señalar que muy pocas empresas reservan dinero en sus cuentas, esperando que el director de seguridad de la información venga y les diga cuanto antes dónde gastarlo. Los fondos para resolver problemas deberán tomarse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Por cierto, para entender este tiempo, también es importante saber cómo funciona y se financia una empresa.

Piensa en marketing

Para comunicarte correctamente, los especialistas en seguridad de la información deben tener algunas habilidades de marketing; así podrán vender a los jefes sus soluciones.

• Ofrece una solución, no un problema. Obviamente, no puedes vender un problema.
• Apóyate en datos reales y fácilmente comprobables, cuando sea posible. A los directivos les encantan: disminuyen la incertidumbre.
• En lugar de términos técnicos, usa un atractivo lenguaje de ventas y diapositivas con gráficos coloridos.
• Ofrece varias opciones, incluso aquellas que claramente no son viables.
• Pon toda la oferta en una única página: nadie leerá más que eso.
• Usa sinónimos para la expresión “seguridad de la información”: reducción de riesgos, garantía de la resistencia/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducción del tiempo de inactividad, prevención de daños, etc.
• Utiliza los menos posible el lenguaje emocional y mantén un estilo de comunicación profesional y empresarial.

¿Qué hacer?

El saberse adaptar es la clave para una comunicación comercial exitosa. Para ello, debes salir de tu burbuja especializada y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles técnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la información, es importante reconocer que eres solo una parte de la empresa, por lo que debes saber cómo funciona y ayudar a obtener los máximos ingresos con el menor coste.

Fuente: www.kaspersky.com

Es la propuesta de las ‘telecos’: que las Big Tech -como Alphabet, Netflix o Meta- ayuden a pagar la infraestructura de Internet, ya que son estas empresas las que utilizan la mayor parte del ancho de banda.

Imagen de una antena de telefoníaEduardo Parra – Europa Press – Archivo

Este no es un cuento nuevo: desde hace ya algunos años, una de las grandes reivindicaciones de las compañías de telecomunicaciones en Europa es que los gigantes tecnológicos paguen ‘su parte del pastel’ en lo que a infraestructura se refiere. Es decir: operadoras como Telefónica, Vodafone y Orange exigen a multinacionales como Amazon, Meta, Netflix o Google que financien el despliegue y mantenimiento de unas redes fijas y móviles de Internet que están siendo utilizadas por ellos y sus servicios.

De hecho, según los datos que exponen las operadoras recogidos por la Asociación Europea de Operadores de Redes de Telecomunicaciones (ETNO), Google, Facebook, Netflix, Apple, Amazon y Microsoft acumulan más de la mitad del tráfico mundial de Internet. Y el porcentaje aumenta hasta un escandaloso 80% cuando se incluyen los gigantes de los videojuegos como el fabricante de Call of Duty, Activision Blizzard.

Sin embargo, y como empezaba diciendo, esta guerra no es ninguna novedad. Incluso el Gobierno de España participó en este debate hace pocos meses, cuando la vicepresidenta primera y ministra de Asuntos Económicos, Nadia Calviño, se posicionó del lado de la postura de las ‘telecos’ y afirmó que se debe garantizar “la igualdad de condiciones” y que las Big Tech “también tienen que pagar o contribuir con su parte justa”.

Ahora la polémica se ha reabierto a raíz de un documento visto por Bloomberg. El medio de comunicación afirma que la Unión Europea estaría sopesando una propuesta para que las empresas de tecnología que utilizan la mayor parte del ancho de banda ayuden a pagar la próxima generación de infraestructura de Internet.

“Las sugerencias son parte de una visión de «participación justa» del brazo ejecutivo de la UE que podría requerir que las grandes empresas tecnológicas, que brindan transmisión de vídeos y otros servicios pesados de datos, ayuden a pagar el tráfico que generan. El borrador del documento, que es parte de una consulta con la industria, sugirió que las empresas podrían contribuir a un fondo para compensar el costo de construir redes móviles 5G e infraestructura de fibra, así como la creación de un sistema obligatorio de pagos directos de los gigantes tecnológicos a operadores de telecomunicaciones”, dice el citado periódico.

Según el documento señalado, también se preguntó a las empresas de telecomunicaciones si debería haber un umbral que califique a una compañía como “gran generadora de tráfico”, de manera que se pudiera baremar en qué casos tendrían que ‘pagar la fiesta’.

La agencia de noticias Reuters también publica información al respecto, detallando que la Comisión Europea preguntaría a las grandes empresas tecnológicas y a los proveedores de telecomunicaciones de la UE sobre sus desembolsos de inversión y planes de infraestructura en la nube antes de presentar una legislación acorde, la cual podría hacer que las Big Tech paguen los costes de la red.

Crónica de una muerte anunciada

Que el uso de datos está aumentando es una realidad. Y en el borrador de la comisión se dice que el movimiento hacia “metaversos y mundos virtuales, el rápido movimiento hacia la nube, el uso de tecnologías innovadoras online” están haciendo “más evidente” que se necesita “hacer más para proteger la inversión en infraestructura de red”.

La noticia sobre la posibilidad de que esto se materializase viene del año pasado: a principios de septiembre, el comisario europeo de Industria, Thierry Breton, anunció que lanzará una consulta en 2023 sobre si los gigantes tecnológicos deberán pagar. Insistió entonces en que se tendría que revisar la regulación de los ‘GAFA’ -Google, Apple, Facebook, Amazon-.

La consulta no será definitiva, aunque este suele ser el camino habitual antes de crear una legislación. No obstante, y en cualquier caso, esa supuesta futura ley deberá ser refrendada por los estados miembro y los legisladores de la UE.

No ha gustado a Silicon Valley

Aunque una propuesta concreta aún estaría lejos, la noticia ya ha generado polémica. Google, Netflix, Meta, Amazon y otros gigantes tecnológicos dicen que la idea equivale a un ‘impuesto al tráfico de Internet’ que podría “socavar las reglas europeas de neutralidad de la red que tratan a todos los usuarios por igual”.

El pasado mes de octubre, el regulador de comunicaciones electrónicas de la UE afirmaba que “no hay evidencia” de que plataformas como Netflix o YouTube deban pagar a las empresas de telecomunicaciones para que inviertan en infraestructura de red y que llevar a cabo tal medida podría causar “un daño significativo al ecosistema de Internet”.

Ahora las compañías tecnológicas temen que la consulta, que permanecerá abierta durante dos o tres meses, sea el primer paso hacia esa cofinanciación en el futuro. 

Obviamente, las grandes empresas tecnológicas no están por la labor de cumplir con los deseos de las operadoras. Desde 20Bits hemos contactado con muchas de ellas, pero no existe actualmente un comunicado o postura oficial al respecto de esta polémica.

Nos remiten a una nota publicada por la Asociación de la Industria de la Computación y las Comunicaciones (CCIA por sus siglas en inglés) en la que se afirma directamente que “la demanda de las empresas de telecomunicaciones de la UE por pagos de tráfico de red es fundamentalmente defectuosa”.

Aseguran que los propios clientes de las operadoras “ya pagan altas tarifas de suscripción” y que la petición de las ‘telecos’ se basa “en la noción errónea de que el déficit de inversión es causado por servicios que impulsan la demanda de una mejor calidad de red y una mayor velocidad”.

Fuente: www.20minutos.es