«Tener un enfoque sostenible es esencial para la estrategia de negocio»

Pedro Lerner, CEO de Grupo UNACEM, que abarca empresas de cemento, hormigón y energía con una destacada presencia en América Latina, destaca la apuesta acometida por el grupo para descarbonizar su actividad y contribuir así a la transición ecológica del sector.

Foto: Pedro Lerner, CEO de UNACEM. Créditos: Cortesía del entrevistado.

La industria cementera es una de las que más gases de efecto invernadero produce, responsable de hasta el 8% de las emisiones mundiales de CO₂. Por ello, la descarbonización de este sector es especialmente relevante para mitigar el cambio climático, pero también supone una gran inversión: la transición ecológica de la industria de producción de cemento podría tener un coste de hasta 60.000 millones de dólares (unos 55.594 millones de euros) al año, según estimaciones.

Dar respuesta a un mismo tiempo a las necesidades del negocio y del planeta es el reto al que se enfrenta Grupo UNACEM, cuyo porfolio incluye compañías de cemento, hormigón y energía; presente en Perú, Ecuador, Chile, Colombia y EE UU. En 2021, anunció su intención de alcanzar la neutralidad de carbono para 2050. Una tarea que, tal y como relata su CEO Pedro Lerner, ya está siendo acometida en varios frentes, desde el uso de renovables a la conservación de recursos hídricos.

¿Por qué es importante para el sector adoptar estrategias que reduzcan su impacto medioambiental?

Las emisiones totales y globales de CO₂eq (emisiones de CO₂ equivalentes) estimadas están en el orden de los 40.000 millones de toneladas anuales; de estas, aproximadamente 2.800 millones de toneladas provienen de la industria del cemento. Existe actualmente una gran presión en la industria global para ver cómo logra la disminución de sus emisiones, considerando que es un sector hard to abate [difícil de mitigar], y que tiene consumidores que deben conocer y aceptar productos ecoeficientes que tienen características diferentes. 

De acuerdo con lo establecido en nuestra Declaración de Sostenibilidad [establecida en 2021 y basada en los pilares de Gobierno Corporativo, Medio Ambiente y Biodiversidad, Gestión Social, Economía Circular y Acción Climática], hemos definido metas para la reducción de huellas de carbono al 2030 y lograr la neutralidad de nuestros procesos y operaciones al 2050. Actualmente, ya contamos con metas concretas de reducción al año 2030 para nuestras unidades de negocio cementeras, las cuales representan una reducción del 21% con relación a las cifras del 2014.

¿Qué hitos se ha marcado el grupo para alcanzar este objetivo?

Hemos establecido lineamientos en base a dos palancas claves: la primera, relacionada a la reducción del factor clínker [cantidad de clínker que se emplea para fabricar una tonelada de cemento con relación al resto de materiales], que es uno de los principales desafíos en la industria; y la segunda, relacionada a la reducción del uso de combustibles fósiles y el uso de energías alternativas. Desde el Grupo UNACEM venimos invirtiendo desde hace años en energía y combustibles limpios. Por ejemplo, contamos con dos hidroeléctricas en Perú (El Platanal y Marañón), y las hidroeléctricas Carpapata I, II y II, que surten de energía exclusivamente a la Planta Condorcocha de UNACEM Perú. Solo en 2023, hemos destinado un aproximado de 500 millones de soles peruanos a proyectos que priorizan la eficiencia y sostenibilidad de nuestras operaciones.

Consideramos importante, también, invertir en el uso de residuos sólidos y soluciones basadas en la naturaleza para aprovechar los recursos naturales y la restauración de ecosistemas, así como apuntar a una economía circular de reutilización. Muestra de ello es nuestra Área de Conservación Privada (ACP), constituida por UNACEM Perú, la primera en Lima Metropolitana reconocida por el Ministerio del Medio Ambiente (MINAM) y promovida por una empresa privada. Esta área tiene la finalidad de conservar 787 hectáreas de lomas, además de destinar un espacio para la promoción de la investigación, el deporte y la recreación, pero sobre todo promover la dinámica productiva local.

¿Qué estrategias e innovaciones tecnológicas ha adoptado UNACEM para lograr estos objetivos?

Todas las empresas del Grupo UNACEM están enfocadas en la reducción de nuestra huella medioambiental. Este desafío implica, entre otros esfuerzos, un gran compromiso por la innovación. Por ello, estamos transformado nuestros procesos y nuestra manera de trabajar.

Dentro de la línea productiva, generamos cementos adicionados de alta resistencia y con baja huella de carbono. Por ejemplo, en UNACEM Ecuador utilizamos materiales que permiten el reemplazo del contenido de clínker en la elaboración de cemento, manteniendo su calidad. Adicionalmente, estimamos que en Drake Cement [planta cementera ubicada en Arizona propiedad del Grupo] al 2030 se pueda alcanzar una reducción de emisiones del 10% con la inclusión de combustibles derivados de residuos (CDR) y biomasa proveniente de residuos forestales.

En UNICON Perú cerca del 25% de la flota de mixers para el transporte del concreto tiene motores de combustión a gas GNV (combustible alternativo ecológico); y utilizamos gas natural en nuestra planta cementera de Lima, lo que nos ha permitido reducir más del 25% las emisiones de gases de efecto invernadero por consumo de combustible.

Por último, en el sector de energía, nuestra propuesta de valor con Celepsa [empresa generadora y distribuidora de energía carbono neutral] ha trascendido de la venta de un commodity. Contamos con un área de Sostenibilidad dentro de la Gerencia de Negocios, para ofrecer a nuestros clientes soluciones de eficiencia energética, como la certificación Triple C (Compromiso Carbono Negativo Celepsa).

Grupo UNACEM también presta atención al reaprovechamiento y la reducción del consumo de agua. ¿Qué acciones han emprendido para contribuir a la conservación de los recursos hídricos?

En Grupo UNACEM impulsamos una gestión responsable del agua en todas nuestras operaciones extractivas, portuarias y energéticas. En 2022 logramos recircular el 38% del total de agua consumida, es decir, 514.670 m3 de agua reciclada en todas nuestras subsidiarias de los negocios de cemento y energía.

Este resultado es el reflejo de los esfuerzos realizados en nuestros negocios como UNACEM Perú, que desde el 2013 cuenta con la medición de la huella de agua de sus actividades en las plantas de Atocongo y Condorcocha; y desde el 2018 ha sido reconocida por la Autoridad Nacional del Agua (ANA) con la entrega del Certificado Azul. Además, hacemos uso de un sistema de enfriamiento de la planta industrial para colaborar con la recirculación del agua y, a su vez, aprovechar esta para el riego de las áreas verdes y sistemas contra incendios.

Por su parte, al cierre de 2022 UNACEM Ecuador logró reducir su consumo de agua en un 43,64%, gracias a su sistema de tratamiento y recirculación de agua de procesos. 

¿Cómo ha incluido UNACEM la descarbonización de sus operaciones en su planificación de negocio?

Tener un enfoque sostenible es esencial para la continuidad del negocio. Contamos con un comité encargado de asegurar que las iniciativas estratégicas de las empresas del grupo incorporen criterios ESG para garantizar la sostenibilidad de nuestro negocio, su crecimiento rentable, y la generación de valor para todos nuestros grupos de interés. 

A día de hoy, hemos avanzado en el planteamiento de nuestra estrategia para transitar hacia la carbono neutralidad. En ese sentido, la disminución del contenido de clínker por tonelada de cemento de nuestras unidades de negocio UNACEM Perú y UNACEM Ecuador en 2022 presentaron los avances más significativos, con un factor clínker/cemento del 85,0% y el 70%, respectivamente. 

En UNACEM Ecuador logramos también sustituir el uso de combustibles fósiles en un 11,8% por aceites usados y en un 6,16% por biomasa en el mismo año; y reducir el consumo de energía eléctrica un 3,14% en relación con la línea base de 2013, logrando la certificación ambiental Punto Verde del Instituto para la Certificación Ética y Ambiental (ICEA) de Ecuador. Mientras que en UNACEM Perú implementamos grandes avances tecnológicos en las plantas con el fin de lograr una mayor eficiencia energética, posicionando la sede de Atocongo dentro del 10% de las plantas más eficientes a nivel internacional.

Una de las estrategias con mayor impacto positivo en la reducción de emisiones a gran escala es la adopción de recursos energéticos renovables. Durante 2022, como Grupo UNACEM, utilizamos 799.327 MWh de energía de fuentes renovables en nuestras operaciones del rubro de cemento. 

¿Qué relevancia tienen las sinergias entre el sector público y privado para impulsar la descarbonización del sector?

El desarrollo sostenible es posible gracias al trabajo conjunto entre la empresa privada y autoridades o entidades públicas. Por ejemplo, en Perú, el registrar nuestras emisiones de GEI en la plataforma Huella de Carbono Perú, herramienta oficial del MINAM, permitió que UNACEM Perú se convierta en la primera cementera peruana en obtener el primer nivel de reconocimiento en dicha herramienta.

Mientras que, en Ecuador, participamos del proyecto de compensación del Programa Ecuador Carbono Cero, que cuantificará la huella de carbono por producto de los diferentes tipos de cemento que comercializa la empresa. 

Celepsa, por su lado, constituyó el Patronato de la Reserva Paisajística Nor Yauyos Cochas, para preservar los ecosistemas paisajísticos de la zona.  

Las start-ups dedicadas a la producción de cemento verde también ganan peso en el mundo de la inversión. ¿Qué oportunidades de colaboración existen con empresas emergentes? ¿Cómo pueden estas alianzas ayudar a acelerar e incorporar la innovación al sector?

Las start-ups de construcción en general están apostando por revolucionar el sector, introduciendo nuevas tecnologías, transformando los procesos de la industria y rompiendo esquemas tradicionales. Estas van desde generar automáticamente los planos en 3D de un edificio completo hasta tecnologías que capturan el CO₂ de cenizas volantes y escorias para transformarlas en material reactivo necesario para la fabricación de cemento que cumpla con los requisitos más estrictos de la industria.

Consideramos que las colaboraciones entre start-ups y empresas líderes deben afianzarse para seguir impulsando la adopción de nuevas tecnologías y prácticas sostenibles, lo que supone una contribución significativa a la descarbonización, posible reducción de costos económicos y sociales, así como la reducción del impacto ambiental del sector.

Fuente: www.technologyreview.es

 

Fortalecer el eslabón más débil: Concienciación sobre seguridad para empleados

ESET, compañía de seguridad informática, advierte sobre aquellas señales de alerta para cuidar los datos personales y cuentas bancarias.

Ecuador – Se destaca que a medida que el trabajo remoto es cada vez más común, las líneas entre ser un usuario hogareño y uno corporativo se hacen difusas y los riesgos de compromiso nunca han sido tan agudos. Según Verizon, tres cuartas partes (74%) de todas las violaciones de acceso globales del año pasado incluyen el «elemento humano», que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social.

“El conocimiento es un arma poderosa que puede convertir a los colaboradores de una organización en la primera línea de defensa contra las amenazas. Para construir un entorno corporativo más ciberseguro, los equipos responsables de TI deberían incorporar a sus programas de concienciación sobre seguridad para asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado.”, comparte Camilo Gutiérrez Amaya, Jefe del laboratorio de Investigación de ESET Latinoamérica.

Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. Desde ESET aseguran que no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo, sino que se trata de cambiar los comportamientos de los usuarios a largo plazo.

“La recomendación es ejecutar programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores y trabajadoras temporales, contratistas y el equipo de ejecutivo; cualquiera puede ser un objetivo, y basta un solo error para abrir la puerta de una organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.”, agregan desde ESET.

Las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.

Desde ESET aconsejan incluir en los programas los siguientes temas:

1) BEC y phishing: El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador. Existen varios métodos utilizados, como hacerse pasar por un directivo general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing. 

El phishing sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus tácticas están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.

Para 2024, desde ESET recomiendan considerar incluir contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

2) Seguridad en el trabajo remoto e híbrido: Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponer a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Ahí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los «gemelos malvados», en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica. También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.

3) Protección de datos: Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

Según ESET, la formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Además, se debería considerar si lo que se publica en las redes sociales debe mantenerse confidencial.


“Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. «Personas, procesos y tecnología» es el mantra que ayudará a construir una cultura corporativa más cibersegura.”, concluye Gutierrez Amaya, de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

Así estafan a los nuevos empleados

Los estafadores están usando la ingeniería social para engañar a los empleados recién incorporados que buscan la rápida aprobación de sus supervisores.

Los primeros días en un nuevo trabajo suelen ser un sin parar de reuniones, formaciones, sesiones de onboarding, etc. Mucho lío, por lo que es normal que acabes perdido entre tanta actividad. A su vez, hay ciertos “rituales” por los que pasan muchas contrataciones hoy en día: una de ellas es la publicación en redes sociales (normalmente en LinkedIn, aunque también en otras) de las últimas incorporaciones. Así es cómo muchas empresas anuncian y reciben cálidamente a un nuevo miembro en el equipo, y ahí es cuando el empleado recién incorporado atrae la atención de los estafadores.

Como norma general, en estas publicaciones de redes sociales se comparte tanto el nombre del empleado y la compañía, como el cargo; información suficiente para identificar a su nuevo director, a través de la misma red social o el sitio web corporativo. Con los nombres, ya puedes encontrar o descubrir sus direcciones de correo electrónico. En primer lugar, hay muchas herramientas de búsqueda de correos para ayudarte con esta tarea y, en segundo lugar, muchas empresas suelen utilizar el nombre o el apellido del empleado como nombre de usuario de correo electrónico, por lo que ya solo haría falta comprobar qué sistema está en uso para poder calcular la dirección. Y una vez que el ciberdelincuente se ha hecho con tu correo electrónico, es el momento de la ingeniería social.

Primera tarea: transferir dinero a los estafadores

Durante los primeros días en un nuevo trabajo el empleado todavía no está a la altura de las circunstancias, aunque intenta aparentarlo frente a sus compañeros y superiores, algo que podría hacer disminuir su vigilancia: lleva a cabo cada tarea rápidamente sin pararse a pensar de dónde viene, si suena razonable o, incluso, si se trata realmente de su empresa. Alguien quiere el trabajo hecho, y eso hará. Esto pasa sobre todo cuando la orden viene de su superior directo o, incluso, de alguno de los fundadores de la empresa.

Los estafadores explotan esta faceta para engañar a los empleados. Envían un correo electrónico supuestamente de parte del jefe o de algún superior, pero usando una dirección de fuera de la compañía, en el que solicitan al empleado que haga una tarea “de inmediato”. Evidentemente, el novato está encantado de ayudar. Esta tarea puede consistir en la transferencia de fondos a un proveedor o la compra de vales de regalo de cierta cantidad. El mensaje deja claro que la “rapidez es esencial” y que se le “devolverá el dinero al final de la jornada”, ¿cómo no? Además, los estafadores resaltan la urgencia del asunto para que el empleado no tenga tiempo de pensarlo o comprobarlo con otra persona.

El jefe tiene cierto aire de autoridad y el empleado quiere ser de utilidad. Por ello, no se detienen a buscar lógica de la solicitud o a por qué le han podido elegir a él en concreto para esta tarea. La víctima transfiere el dinero a la cuenta en específico sin dudar y avisa a su “jefe” respondiendo a la misma dirección de correo electrónico, de nuevo sin detectar que el nombre de dominio parece sospechoso.

El estafador sigue jugando a ser el jefe: solicita la documentación que confirma la transición y, después de recibirla, elogia al empleado e informa de que reenviará estos documentos al solicitante, añadiendo una sensación de legitimidad. Para terminar de conceder a esta interacción una apariencia laboral normal y corriente, los atacantes también afirman que se pondrán en contacto de nuevo si necesitan algo más del (desdichado) empleado.

No es hasta después de cierto tiempo cuando el empleado comienza a preguntarse por qué le habrán asignado esta tarea, detecta que el e-mail no es corporativo o menciona el incidente en una conversación con el jefe real. Y ahí es cuando la triste verdad sale a la luz: todo ha sido una estafa.

Circunstancias agravantes

Como cualquier otra estafa corporativa, esta estrategia se ha beneficiado del movimiento masivo que sufrieron las empresas de la oficina al teletrabajo. Incluso las pequeñas empresas han comenzado a contratar empleados de todo el mundo, lo que implica que muchos empleados no solo no conozcan a su jefe, sino que ni siquiera sepan cómo es ni cómo se expresa. Por otro lado, aunque quisieran, tampoco pueden consultar con un compañero si la tarea es o no real.

Además, si el supervisor y la mayoría del resto de empleados trabajan en países diferentes, la solicitud de una transferencia monetaria a alguien de tu región podría parecer verosímil. Las transferencias bancarias nacionales siempre son más sencillas y rápidas que las internacionales, lo que puede aportar normalidad a la estafa.

Por último, las pequeñas empresas, que parecen ser objetivos comunes, suelen contar con procedimientos financieros menos formales, sin tener que completar formularios ni directores financieros: simplemente envíalo ahora de tu dinero, te lo devolveremos en seguida. Este es otro factor que imparte legitimidad a los correos electrónicos de estafa.

Cómo pueden los empleados evitar la trampa

Lo más importante para un nuevo empleado es no perder la cabeza a la hora de intentar mostrarse al servicio de la compañía.

  • Es importante comprobar minuciosamente las direcciones de los mensajes que recibes por correo electrónico o mensajero. Si no te resulta familiar, es el momento de estar alerta.
  • No dudes en preguntar a tus compañeros si este tipo de solicitud es normal. Si parece raro, es mejor preguntar que lamentarse luego.
  • Si recibes una solicitud inusual aparentemente desde dentro de la compañía, aclara los detalles con el remitente mediante un canal de comunicación diferente. ¿Te ha pedido tu jefe que compres vales de regalo en un correo electrónico? Compruébalo con él directamente desde un mensajero.

Cómo pueden proteger las empresas a sus empleados

Lo más importante por parte de la empresa es configurar correctamente el servidor de correo electrónico de la compañía, que puede adaptarse para que señale los correos que no procedan de direcciones corporativas. Por ejemplo, Google Workspace, herramienta popular entre las empresas, etiqueta estos mensajes como externos por defecto. Y, cuando intentas responderlos, te advierte claramente: “Cuidado con el intercambio de información sensible”. Estas notificaciones ayudan a los empleados a saber si están hablando con un compañero de la empresa o no. Además, te recomendamos:

  • Impartir formaciones en materia de seguridad de la información a los empleados desde el primer día. La sesión debería introducir el concepto del phishing, en caso de que sea algo nuevo para ellos, además de aportar una serie de instrucciones sobre qué prácticas están en uso en la empresa y cuáles no.
  • Crear una guía de la seguridad de la información para nuevos empleados con reglas básicas y precauciones contra las amenazas más importantes. Para ayudarte a crear, puedes echar un vistazo nuestra publicación en la que compartimos la información más revelante.
  • Impartir formaciones periódicas para concienciar a tus empleados en seguridad; puedes hacerlo, por ejemplo, con una plataforma online especializada.

Fuente: latam.kaspersky.com

El colapso de Silicon Valley Bank, el «banco de las startups», ha provocado un terremoto financiero: qué esperar ahora

 

Terremoto financiero en la meca tecnológica. Y de una sismicidad tal que ya ha llevado a algunos analistas a remontarse a 2008, a la caída de Washington Mutual, para encontrar símiles. Silicon Valley Bank, uno de los mayores bancos de EEUU y más concretamente de Silicon Valley, ha colapsado. Su situación ha llegado a ser tan crítica que los reguladores han optado por cerrarlo y designar un organismo que se encargará de la administración y la devolución de fondos.

El alcance de la quiebra y la fuerza con la que se ha sentido entre las startups tecnológicas y los mercados globales empieza a concretarse poco a poco.

¿Qué es el Silicon Valley Bank (SVB)? Quizás su nombre no sea muy conocido entre el gran público, al menos a este lado del Atlántico, pero el SVB es (era) una pieza destacada en el esquema financiero estadounidense, especialmente entre las startups. Al cierre de 2022 sumaba cerca de 209.000 millones de dólares en activos totales y 175.400 millones en depósitos, datos que —detalla Reuters— lo convertían en el decimosexto prestamista más grande de EEUU.

El Silicon Valley Bank —subsidiaria del SVB Financial Group— jugaba un papel importante para las empresas de capital riesgo y la financiación de las startups, compañías emergentes que intentan abrirse camino en el sector tecnológico. Para entender su peso y, sobre todo, el arraigo en la industria llega con observar la tremenda «sismicidad» que ha generado su colapso en cuestión de horas.

¿Qué le ha pasado? Que, muy a su pesar, el viernes Silicon Valley Ban escribió uno de los capítulo más aciagos de la crónica financiera estadounidense reciente: protagonizó la mayor quiebra bancaria desde la crisis de 2008. Y como a grandes tamaños, grandes caídas, el episodio ha sacudido los mercados a escala global y varado miles de millones de dólares de empresas e inversores, con las posibles consecuencias que eso puede acarrear a su vez en el pago de nóminas.

En un escenario marcado por el aumento de las tasas de interés de la FED y el agotamiento de la financiación de capital riesgo, SVB se topó con que los depósitos caían más rápido de lo previsto. En un intento por recaudar capital y compensar la fuga, el miércoles la entidad vendió una cartera de bonos de 21.000 millones de dólares —sobre todo bonos del Tesoro— y anunció otra operación de unos 2.250 millones en acciones. El objetivo: llenar su agujero de financiación. El banco californiano acabó perdiendo sin embargo cerca de 1.800 millones.

Entre pérdidas de valor y reguladores. A algunos inversores el anuncio —confiesa un capitalista de riesgo a la CNBC— les recordó lo ocurrido con Lehman Brothers. «Por desgracia repitieron viejos errores y cualquiera que haya vivido ese episodio dijo: ‘Oye, quizás no estén bien; ya nos lo dijeron la última vez'». A pesar de los intentos del SVB por calmar los ánimos, la entidad afrontó una alarmante pérdida de valor: el jueves sus acciones se precipitaron alrededor de un 60% y, al temerse otra sangría similar, el Nasdaq suspendió su cotización el viernes.

El siguiente capítulo de la crónica del SVB lo escribió la Corporación Federal de Seguros de Depósito (FDIC), que ayer emitió un comunicado anunciando que el Departamento de Innovación y Protección Financiera de California había cerrado el banco. Su síndico será la propia FDIC, que ya ha movido ficha para proteger los depósitos asegurados. Quienes estén cubiertos podrán acceder a sus fondos a más tardar el 13 de marzo por la mañana. Los que no lo estén cobrarán un anticipo la próxima semana y recibirán un certificado oficial por la cantidad restante.

Y ahora… ¿Qué podemos esperar? Reuters asegura que el 89% de los 175.000 millones de dólares en depósitos del banco no estaban asegurados al cierre del año pasado y que la FDIC busca otra entidad dispuesta a fusionarse con el banco para salvaguardar los fondos. De momento —precisa la agencia de noticias— no hay ningún garantías de pacto. La matriz de la entidad estaría moviéndose además para encontrar compradores para otros activos, como el SVB Securities.

Donde ya se deja sentir el efecto de la quiebra es en la banca. Las bolsas se han teñido de rojo, lastradas por un miedo y nerviosismo que ha pesado en las acciones de grandes bancos y deja botando la pregunta de cómo evolucionará el escenario o si hay un riesgo sistémico. «Podría haber un baño de sangre la próxima semana ya que los vendedores en corto están ahí fuera y van a atacar a todos y cada uno de los bancos, sobre todo a los más pequeños», comentan a Reuters en Whalen G. A.

Algunos casos concretos. Pese a que hace unas horas del colapso y el movimiento de ficha del FDIC, el episodio del SVB deja ya unos cuantos casos interesantes y que, sobre todo, dan una idea del alcance del banco. Según Variety, la empresa de streaming Roku tendría en la entidad financiera casi 500 millones de dólares, lo que equivaldría a alrededor de una cuarta parte de su efectivo. La compañía no sabe cuánto podrá recuperar. En las últimas horas Garry Tan, dejaba otra pincelada en su perfil de Twitter: «El 30% de las empresas de YC expuestas a través de SVB no pueden hacer frente a las nóminas en los próximos 30 días».

No es un caso único. No. Bloomberg se hacía eco ayer de cómo hay ya fundadores de startups que empiezan a preocuparse por si podrán abonar sus nóminas tras la quiebra. En el peor de los escenarios, hay empresarios que temen que «decenas de miles de personas» no puedan recibir su pago la próxima semana.

Otra de las startup consultadas por el medio económico y que operaba con SVB optó por descartar sus planes de despido porque, sencillamente, ya no dispone de capital para hacer frente a las indemnizaciones. Las hay que valorarían despidos o suspensiones. El exsecretario del Tesoro, Larry Summers, ya ha advertido de «consecuencias sustanciales para Silicon Valley y la economía del sector».

 

Las aguas bajan agitadas. Muy agitadas. La de SVB no es la única mala noticia financiera del sector tecnológico que deja la semana. Hace días Silvergate anunciaba su cierre voluntario al no haber logrado superar el mazazo que supuso la caída de FTX. La entidad se había lanzado a finales de los años 80, centrada en los préstamos, pero hace una década empezó a experimentar un cambio radical gracias a las criptomonedas. En 2021 su valor de mercado llegó a rozar los 6.000 millones de dólares y sumaba 11.900 millones en activos digitales depositados.

Sus acciones se habían desplomado 97% desde que alcanzaron sus máximos niveles, hace dos años. Para cumplir con las retiradas de fondos en 2022 la entidad tuvo que asumir unas pérdidas de casi mil millones. «Como banco elegido para las criptomonedas, el fracaso de Silvergate Bank es decepcionante, pero predecible», reflexionaba hace poco la senadora Elizabeth Warren. Ayer el bitcoin se situaba bajo la barrera de los 20.000 dólares por primera vez en dos meses.

Fuente: www.xataka.com

Los pros y contras del código abierto en empresas

Cada vez más empresas usan soluciones de código abierto. ¿Cómo se puede hacer esta transición correctamente y cuáles son los riesgos que deben tener en cuenta?

Las aplicaciones de código abierto se han establecido en los sistemas TI de las grandes y medianas empresas. De dominar segmentos como servidores web, bases de datos y analíticas, las soluciones de código abierto ahora también se utilizan para la contenerización, el aprendizaje automático, DevOps y, por supuesto, el desarrollo de software. Muchas empresas se están pasando al código abierto para tareas que no son del sector TI, como el CRM, la producción de contenido visual y la publicación de blogs. De acuerdo con Gartner, más del 95 % de las empresas TI utilizan soluciones de código abierto, pero incluso entre las empresas que no se incluyen dentro de este sector la cifra supera el 40 % y no deja de aumentar. Por si fuera poco, esta cifra no incluye los muchos casos en los que se utilizan bibliotecas de código abierto dentro de aplicaciones.

Elegir entre código abierto y cerrado no es nada fácil: no es solo un dilema entre pago o gratuito, con o sin soporte. A la hora de decidir sobre cualquier solución TI, las empresas deben tener en cuenta una serie de aspectos importantes.

El coste y cronograma de implementación

Aunque las soluciones de código abierto no suelen tener coste, implementarlas no sale gratis. Dependiendo de la complejidad de la solución, puede que debas gestionar las horas de dedicación del equipo TI, traer consultores expertos o incluso contratar desarrolladores que adapten constantemente la aplicación a las necesidades de tu empresa.

También existe el modelo de licencia híbrida, que te permite usar una edición comunitaria de la aplicación de forma gratuita, pero la versión extendida con funciones “empresariales” requiere una licencia de pago.

Además, muchos productos de código abierto no cuentan con documentación completa y/o actualizada o cursos de formación para usuarios finales. En grandes implementaciones, es posible que todas estas brechas sean necesarias y deban cubrirse internamente, lo que cuesta tiempo y dinero.

La ventaja del código abierto en la fase de implementación es, por supuesto, que permite realizar pruebas completas. Aunque planees implementar una solución de código abierto como alojamiento dedicado o, con la ayuda de un contratista especializado, realizar una prueba piloto (prueba de concepto) por tu cuenta es mucho más eficaz que ver demostraciones en vídeo de soluciones privativas. Inmediatamente verás lo funcional y aplicable que es la solución para tu empresa en particular.

Al comparar soluciones de código abierto y cerrado antes de la implementación, es importante comprender qué tiempo queda disponible para las pruebas y si tienes la opción de cambiar el producto en sus primeras etapas. Si los plazos no son constantes y la respuesta a la segunda pregunta es afirmativa, tiene sentido realizar pruebas exhaustivas de un producto de código abierto.

El coste del soporte

El soporte y la configuración del día a día de muchas aplicaciones de código abierto a escala industrial, así como su adaptación a altas cargas de trabajo, requieren un conocimiento muy específico y profundo por parte del equipo TI. Si esta opción no está disponible, este conocimiento deberá adquirirse, ya sea mediante la contratación o subcontratación de expertos. Entre los tipos más comunes de subcontratación se encuentra la ayuda de expertos específicos de la aplicación (formato Red Hat) o el alojamiento dedicado optimizado para una solución TI específica (Kube Clusters, WP Engine o un formato similar).

Por supuesto, el soporte de pago también es un estándar de las soluciones privativas; el de código abierto no es el único que lo necesita. El coste no es muy diferente: como muestra la práctica, el soporte técnico anual para una aplicación corporativa típica de código abierto es solo entre un 10 y un 15 % más económico que el de las soluciones privativas.

La corrección de errores, las nuevas funciones y la posibilidad de escala

Aunque las soluciones maduras de código abierto se actualizan regularmente para ampliar sus funciones y corregir errores, a menudo puede suceder que los desarrolladores no prioricen un error crítico para una empresa en particular. Esto es aún más común en el caso de las solicitudes de funciones. Aquí, debes sentarte y esperar pacientemente, o gastar el valioso tiempo de tus desarrolladores (internos o contratados) para que escriban el código necesario. Lo bueno es que esto es posible al menos teóricamente; lo malo, que puede convertirse en un gasto importante e impredecible.

Ten en cuenta que el alojamiento dedicado elimina la preocupación de tener que andar instalando parches y actualizando aplicaciones, pero no puede evitar estos ajustes individuales. Una empresa con esta necesidad que accede al mercado de desarrollo debe elegir el formato de la extensión que crea: una bifurcación del producto de software principal o una adición a la rama de desarrollo principal en asociación con los desarrolladores originales de la aplicación. Es aquí donde entran en juego las ventajas estratégicas del código abierto: la flexibilidad de uso y la velocidad de la innovación.

La integración y el soporte multiplataforma

Para las soluciones multicomponente a gran escala que intercambian datos de forma activa, la integración y la compatibilidad con diferentes plataformas pueden desempeñar un papel importante en la elección del producto de software. La prioridad aquí es el soporte de formatos de la industria para el almacenamiento e intercambio de datos, además de interfaces de programación de aplicaciones (API) bien documentadas. A veces, una solución de un solo proveedor con código de fuente cerrada puede cumplir estos requisitos mejor que un enjambre de soluciones de fuente abierta, incluso las de alta calidad. Pero siempre resulta útil estimar el coste que supone modificar una solución de código abierto si gana en otros criterios y ha pasado la fase de prueba de concepto.

Riesgos, seguridad y cumplimiento

A menudo, el código abierto se promociona como la opción más segura. Después de todo, que alguien pueda ver el código fuente y corregir errores, debe ser más seguro que la oferta de propiedad de una caja negra, ¿cierto?

Como siempre, la realidad es más complicada. En primer lugar, muchas aplicaciones de código abierto tienen millones de líneas de código que nadie puede auditar en su totalidad. La gran cantidad de actualizaciones de este código solo complica aún más la tarea. Dicho esto, pequeño no significa seguro. Por ejemplo, la vulnerabilidad Shellshock basada en Bash pasó desapercibida durante 20 años.

En segundo lugar, el problema de las dependencias es grave, ya que las aplicaciones y el código tienen su propia cadena de suministro. Una aplicación de código abierto puede usar una biblioteca de código abierto de terceros, que a su vez esté vinculada a otra biblioteca de terceros, y es poco probable que los encargados de verificar la aplicación comprueben también todas esas bibliotecas. Los riesgos de esta cadena se han demostrado muchas veces, por ejemplo: la vulnerabilidad en la biblioteca de registro gratuita Log4j que afectó a miles de grandes soluciones de código abierto, impactando a gigantes como Amazon, Cloudflare y Elastic; el ataque que reemplazó las bibliotecas npm con homónimos maliciosos funcionó en Apple y Microsoft; y la decisión de un desarrollador independiente de no admitir la biblioteca left-pad en el repositorio de npm que bloqueó más de mil aplicaciones y sitios populares (incluido Facebook) durante varias horas.

Dependencias de software. Fuente.

Otro problema con las dependencias son las licencias. Las licencias de código abierto son bastante específicas y no tener que pagar no significa que no haya un titular de los derechos de autor. La aplicación en sí y sus bibliotecas pueden venir con varias licencias, y la violación de las más estrictas (copyleft) está plagada de litigios. Al igual que el proceso bien establecido de auditoría de seguridad TI y mitigación de vulnerabilidades, los principales usuarios y desarrolladores de software de código abierto deben tener un proceso similar para verificar periódicamente el cumplimiento de la licencia, a poder ser semiautomatizado.

Todo lo anterior no significa que el código abierto sea la peor opción desde la perspectiva de la seguridad de la información. Solo debes comprender todos los riesgos: el equipo de implementación debe evaluar la cultura de desarrollo y la frecuencia de las actualizaciones de seguridad en las aplicaciones de la competencia y controlar las dependencias y licencias (por ejemplo, mediante el uso de SBOM, siglas en inglés de software bill of materials). Además, si tu empresa trabaja en el campo de desarrollo de software, es una buena idea escanear todos los paquetes de código abierto en busca de vulnerabilidades y funcionalidades maliciosas.

Fuente: latam.kaspersky.com

Rol estratégico y clave en la digitalización: el área TI en las empresas latinoamericanas

El departamento de Tecnologías de la Información (TI) gana responsabilidad en la toma de decisiones y se posiciona como un referente para las demás áreas de la compañía, de acuerdo con un análisis de ‘MIT Technology Review en español’ en colaboración con Dell Technologies. La ciberseguridad cobra importancia en un entorno cada vez más digital y tecnologías como el 5G y la multinube marcarán el futuro de las organizaciones de la región.

En una realidad cada vez más digital, las empresas latinoamericanas están reconfigurando su cultura. ¿Cómo lo están haciendo? ¿De qué manera planean transformarse digitalmente? ¿Qué tecnologías tienen mayor presencia en el mercado actual y cuáles serán tendencia? Dell Technologies y MIT Technology Review en español han llevado a cabo el estudio El rol de TI en la transformación digital en Latinoamérica para responder a esas preguntas a través de encuestas y entrevistas con 111 empresas de diferentes sectores y países de la región. Un análisis que ha permitido obtener una visión del desarrollo digital en América Latina y el papel clave del área de TI en este proceso.   

IT crece hacia un rol líder y transversal

Las compañías de América Latina ya habían dado sus pasos hacia la digitalización cuando llegó la pandemia, un punto de inflexión que aceleró el proceso. En este contexto, un área de la empresa ha adoptado un rol cada vez más estratégico: el departamento de tecnologías de la información (TI). Su propia labor también ha evolucionado. Tradicionalmente dedicado a cuestiones de mantenimiento informático, ahora se responsabiliza de la adopción del plan de transformación digital, que incluye iniciativas de teletrabajo, implantación de los sistemas en la nube, protección de la ciberseguridad o aplicación de metodologías ágiles del trabajo.

En este sentido, 8 de cada 10 empresas encuestadas aseguran tener un plan de transformación digital, pero solo un 62% de ellas lo están ejecutando. Entre las razones que dificultan la digitalización en las empresas de la región está la cultura tradicional anclada, un factor que limita la innovación según 6 de cada 10 compañías encuestadas.

El área de TI también tiene la responsabilidad de alcanzar resultados con visión de futuro, un enfoque innovador que permite la toma de decisiones basada en datos y que marca el ejemplo a seguir por el resto de los departamentos. En muchos casos, se apoya en otras áreas como Finanzas o Recursos Humanos (RR HH) para lograr esos resultados.

Por otro lado, los departamentos de RR HH de las empresas latinoamericanas tienen el desafío de captar y retener talento tecnológico. Para hacer frente a esta situación, los modelos flexibles y de teletrabajo son opciones que ofrecen el 68% de las compañías que han participado en el estudio. No obstante, la transformación cultural es un proceso que engloba otros aspectos más allá del teletrabajo.

El auge de nuevas tecnologías

El desarrollo tecnológico está en continua evolución en la región latinoamericana, pero cada sector presenta unas características concretas en relación con las tecnologías del momento. Por ejemplo, la informática de alto rendimiento (HPC por sus siglas en inglés, High Performance Computing) despunta en el sector edtech (educación tecnológica) y se prevé su expansión a corto plazo. También se espera una próxima implantación de chatbots y robots en el sector de las telecomunicaciones. De hecho, la automatización de consultas mediante chatbots forma parte de los planes a corto plazo de todas las empresas de este sector que han participado en el estudio.

Por otro lado, existen una serie de tecnologías cuya penetración todavía es baja en la región, pero se espera un importante desarrollo en todos los sectores. La primera de ellas es el 5G, la generación de redes móviles más potente hasta la fecha: la emplean tan solo el 8% de las empresas encuestadas, pero el 45% esperan implantarla próximamente. La inteligencia artificial (IA) también formará parte de los sistemas de 4 de cada 10 compañías de América Latina. La tercera tendencia en importancia es el internet de las cosas (IoT por sus siglas en inglés), que aparece en el plan a corto plazo del 34% de las organizaciones.

Otras tecnologías destacadas son los servicios de almacenamiento en la nube o cloud computing que, a pesar de estar presentes en el 82% de las empresas, se encuentran en una etapa inicial de implantación en la mayoría de ellas. De forma similar, el 92% tiene en cuenta la ciberseguridad, pero su nivel de madurez es intermedio.

¿Qué se espera en el futuro?  

El desarrollo tecnológico ha incentivado la transformación del área de TI y su importancia en las organizaciones latinoamericanas. La nueva situación saca a la luz nuevos retos.  Entre los desafíos a los que deben hace frente se encuentran:

  • Implementación de big data. El almacenamiento masivo de datos requiere un correcto tratamiento de estos. Sin embargo, está tecnología no presenta un gran desarrollo en Latinoamérica.   

  • Cultura de la ciberseguridad. Todas las áreas de una empresa pueden verse impactadas por los ciberataques, de ahí que se trate de un desafío clave. La IA, entre otras tecnologías, puede ayudar a automatizar y mejorar la seguridad de la red en la nube.

  • Trato cercano y fiel con el cliente. Las nuevas tecnologías permiten personalizar la relación con el usuario y atenderle por nuevos canales.  

  • Captación y retención de talento tecnológico. El 80% de las empresas encuestadas encuentran problemas para atraer a estos profesionales y conseguir mantenerlos en el tiempo, algo que muestra la importancia de resolver este desafío.  

Más allá de los retos, el futuro de las empresas de Latinoamérica se verá marcado por tendencias como las estrategias multinube y la hiperconectividad con el crecimiento del internet de las cosas, el edge computing (computación en el borde o en la periferia), la red 5G y los entornos de trabajo híbridos que ya están transformando a las organizaciones.

Las tendencias tecnológicas han revolucionado y seguirán revolucionado el escenario latinoamericano. Por eso, el área de TI se ha convertido en un pilar de las compañías de la región y será una pieza cada vez más fundamental en los próximos años.

Fuente: www.technologyreview.es

5 amenazas corporativas que NO son ransomware

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com

5 ideas para establecer una dinámica de capacitación en seguridad en una empresa

En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.

Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.

#1. Establecer un correo de consulta

Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.

Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.

#2. Reporte de alertas tempranas

Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.

#3. Charlas y/o capacitaciones

Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.

Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.

También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.

#4. Dinámicas o concursos

Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.

Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.

#5. Guía de buenas prácticas en seguridad

Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.

Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.

Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.

Fuente: www.welivesecurity.com

5 acciones de seguridad que resultan clave para la productividad de una organización

La productividad es una capacidad que se mide en relación entre lo que se produce y los medios que se emplean, como son los recursos. Es por eso que en el Día Mundial de la Productividad decidimos poner el foco en cómo los hábitos productivos pueden marcar la diferencia a la hora de proteger los activos de una organización. Además, repasamos una serie de acciones que se promueven desde el ámbito de la seguridad de la información y que sirven para garantizar al máximo posible la productividad por el simple hecho de reducir la posibilidad de ser víctima de un incidente.

A continuación, destacamos una serie de acciones clave que fundamentalmente en el campo laboral deberían llevarse adelante y que contribuyen en la mejora de la productividad.

1. Realizar backup de la información

Contar con una copia de seguridad de toda la información necesaria para el correcto funcionamiento de una empresa permite que la productividad no se vea afectada (o no tanto) en caso de sufrir un incidente de seguridad que comprometa los sistemas de información.

Perder el acceso a archivos fundamentales podría tener consecuencias tan severas para la productividad que incluso pueden llevar a la quiebra de una empresa. De hecho, datos de un estudio realizado en 2016 aseguran que el 60% de las empresas que sufren la pérdida de información quiebran en seis meses.

Por último, además de realizar un backup de la información, es importante dedicar el tiempo suficiente para hacerlo correctamente (establecer una periodicidad, tener en cuenta el soporte, etc), ya que no hacer el backup de la manera correcta podría significar tanto la pérdida de la información como del tiempo.

2. Contar con una política de actualización de software

Similar a no contar con una copia de seguridad de la información de valor, no contar con una política de actualización que asegure la instalación de los parches de seguridad de las herramientas que se utilicen podría significar la exposición a un ataque o incidente de seguridad. Solo basta con recordar lo que ocurrió con el brote de WannaCry, un ransomware que explotaba una vulnerabilidad en Windows para la cual Microsoft ya había lanzado un parche de seguridad que lo mitigaba, pero que requería que los usuarios actualicen sus sistemas para instalarlo. Sin embargo, debido a que muchos equipos no llevaron adelante la actualización sufrieron las consecuencias del ransomware.

Es importante tener presente que todo software es susceptible de necesitar actualizaciones de seguridad. A través de estas actualizaciones, los fabricantes añaden mejores a los productos, corrigen errores y reparan fallos de seguridad. En este sentido, contar con la última actualización podría evitar ser víctima de un intento de ataque que busque robar información y/o credenciales.

3. Contar un plan de respuesta a incidentes

Contar con plan de respuesta a incidentes implica tener herramientas para tratar de lograr recuperar el funcionamiento normal de una empresa en el menor tiempo posible, de forma que no se vea perjudicada la productividad; así como su imagen u otras consecuencias como las que puede surgir a partir de ser víctima un incidente de seguridad. En este sentido, esta herramienta que generalmente forman parte de un Sistema de Gestión de Seguridad de la Información, funciona como un lineamiento de los pasos a seguir para responder de manera adecuada en diferentes escenarios en los que los datos de una empresa estén en riesgo.

En el siguiente artículo, el investigador de seguridad de ESET, Camilo Gutiérrez, ofrece algunas recomendaciones que deberían tenerse en cuenta para mejorar el Plan de Respuesta a Incidentes.

Por otra parte, desde Academia ESET también se ofrece un curso online gratuito de gestión de respuesta ante incidentes de seguridad que será de ayuda.

4. Llevar adelante capacitaciones de seguridad

La capacitación es clave para evitar incidentes de seguridad, ya que el ser humano es el eslabón más vulnerable en toda la arquitectura de seguridad de una organización. Según datos publicados a fines de 2018 de un estudio realizado por IBM, el 95% de las incidencias en ciberseguridad se deben a errores humanos. Teniendo esto presente y las consecuencias para la productividad que puede tener para una organización sufrir un incidente de seguridad, es que la capacitación se convierte en un pilar clave para disminuir el riesgo a incidentes. Por lo tanto, ofrecer las herramientas a los colaboradores para que aprendan a reconocer las técnicas de engaño utilizadas por los cibercriminales, como son las técnicas de ingeniería social, contribuye a disminuir los riesgos.

5. Configurar los accesos según el principio de menor privilegio 

Tal como explicó el investigador en seguridad de ESET, Miguel Ángel Mendoza, la estrategia de limitar el acceso a lo que es imprescindible, conocido como el principio del menor privilegio, se apoya en la idea de otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad. De esta manera, dedicar tiempo y esfuerzo a este modelo reduce el grado de exposición a incidentes al reducir al mínimo posible los permisos de acceso. Sin embargo, se debe prestar atención a que esta limitación de los accesos no afecte las necesidades de cada profesional de la empresa, ya que podría afectar a la productividad de la misma.

Como conclusión, las acciones que tengan como objetivo la disminución de riesgos suponen una mejora para la productividad al reducir las probabilidades de que una amenaza atente contra el funcionamiento natural de la organización, aunque se deben llevar adelante de tal forma que las propias acciones no afecten de manera negativa la dinámica laboral.

Fuente: www.welivesecurity.com

Recomendaciones para optimizar el uso del software libre en entornos empresariales

Liferay, Inc., proveedor líder mundial de software empresarial Open source de portales y colaboración, hace públicas las que considera 5 Recomendaciones clave para optimizar el uso del software libre en los entornos empresariales actuales. El software libre, consolidado ya como alternativa de referencia, está presente, según el INE, en un 75% de empresas españolas y en el 90% de las administraciones públicas, y ofrece valores como la innovación y una armonía plena con las necesidades reales de los usuarios, lo que ha permitido su penetración en todos los sectores y mercados.

Linux_empresas«Durante los últimos 10 años el uso del software libre ha tenido un crecimiento exponencial en los entornos corporativos hasta lograr la penetración en proyectos críticos y consolidarse como referencia. Pero mucha gente desconoce que existen una serie de recomendaciones muy sencillas que pueden ayudar a potenciar más si cabe las inversiones realizadas en el mundo Open Source», destaca Jorge Ferrer, vicepresidente de Ingeniería de Liferay y uno de los expertos más prestigiosos en software libre de nuestro país. «Valerse de las auditorías, propias o independientes, a la hora de evaluar un producto de software libre o comprobar la experiencia en el mismo de la empresas que aportan su know-how para construir un proyecto empresarial son sólo algunos de los consejos que se pueden seguir para potenciar todas sus ventajas».

Desde la fase de evaluación hasta ver completado un proyecto, Liferay destaca las siguientes recomendaciones clave para obtener el máximo beneficio cuando se están usando de base productos de software libre:

1. OBJETIVIDAD: Evaluar los proyectos de software libre en base a datos objetivos, conociendo la evolución del producto y su contribuidores, su nivel de colaboración y apertura, su ecosistema de servicios locales. Ya que esta modalidad de software da acceso a toda la información acerca del producto y es 100% auditable «las compañías han de valerse de ello para obtener todos los datos necesarios que les permitan evaluar si responde a sus necesidades», destaca Ferrer.

2. COMPROMISO: Si la empresa decide llevar a cabo su proyecto acompañada de un socio tecnológico, es recomendable buscar siempre empresas involucradas en el desarrollo del software libre, con la experiencia y el conocimiento suficientes para asistirles en el proceso. Identificar proveedores que entiendan el software libre y sus dinámicas de participación permite aprovechar mejor las libertades que proporciona.

3. CRECER CON EL PRODUCTO: Desarrollar el proyecto sin modificar el código fuente, de esta forma siempre podrán beneficiarse de las aportaciones de toda la comunidad a largo plazo y su mantenimiento será más sencillo. Y, si lo modifican, reportarlo para que retorne en beneficio de todos los usuarios del producto. Las mejoras comunes serán más útiles y siempre permitirán que las nuevas versiones de producto respondan a nuestros requerimientos.

4. INVERTIR EN FORMACIÓN Y EXPERIENCIA: Invertir en conocer los productos libres usados o rodearse de proveedores de confianza que realicen esta inversión. Al poder acceder al código fuente es más fácil y rápido conocer el potencial del producto y construir sobre el mismo. Sin embargo, también es fácil caer en la idea de que cualquiera puede resolver problemas en entornos críticos, tanto por la propia empresa como terceros. No es así: la formación, cercanía con el producto y su fabricante (cuando exista), experiencia en proyectos anteriores y contar con personal certificado se hacen indispensables para garantizar el éxito de los proyectos, tanto para la empresa como para sus proveedores.

5. CULTURA DE PARTICIPACIÓN: Participar con tareas simples que aporten beneficios rápidos a la empresa – como notificar potenciales bugs, aportar ideas, mejorar la documentación o contribuir con pequeñas mejoras- permite alinear la evolución del producto con nuestras necesidades. «La participación ayuda además a las empresas a atraer y mantener el talento, ya que los desarrolladores buscan compañías que ofrezcan una cultura abierta de desarrollo, al estilo de una comunidad, lo que genera un alto índice de fidelización», destaca Ferrer.

Asimismo, las empresas deben tener en cuenta al abordar cualquier proyecto de software libre que, si requieren soporte, la calidad del mismo es una nota reseñable. «Los tiempos en los que no había garantías para productos de software libre hace tiempo que pasaron; actualmente, es muy sencillo contar con una plataforma abierta y flexible con soporte de nivel empresarial 24×7».

«La realidad es- concluye Ferrer- que el software libre aporta beneficios a lo largo de todas las fases de un proyecto, desde la evaluación inicial hasta la etapa de evolución, facilitando el ahorro de costes y fomentando la innovación de un modo ágil, participativo y estandarizado».

Jorge Ferrer, bajo el título «Beneficios del software libre en entornos corporativos», expuso recientemente todo este argumentario en el transcurso de su presentación para LibreCon 2014, el evento de referencia centrado en la creación de negocio y empleo en todos los sectores de la sociedad a través de las tecnologías libres, la innovación y el emprendimiento. En esta edición participaron junto a Ferrer otros ponentes de alto nivel y casos de estudio de entidades como el grupo Santander, Ford, la Universidad Complutense de Madrid, Euskaltel o Amnistía Internacional, entre otros.

Fuente: www.somoslibres.org