¿La inteligencia artificial en RRHH está cambiando para siempre la forma de contratar?

Se ha hablado mucho de la inteligencia artificial como sustituta de los puestos de trabajo, pero ¿cómo han cambiado los procesos de contratación con el uso de la IA?

En la era de la transformación digital, la Inteligencia Artificial (IA) se ha convertido rápidamente en una piedra angular de las operaciones de una organización y el proceso de contratación no es una excepción.

El panorama de la captación de talento es un campo minado con una media de más de 250 candidatos para una vacante corporativa, lo que hace que los reclutadores pasen entre 6 y 8 segundos mirando cada CV. Cuando las personas adecuadas pueden marcar una diferencia tan grande en la cultura y el rendimiento de una empresa, un proceso de contratación ineficaz puede costar a las empresas tiempo y dinero para encontrar sustitutos para las malas contrataciones y deshacer cualquier daño que puedan haber causado en el ínterin.

Para los responsables de la selección de personal, la IA supone una alternativa interesante a la criba de innumerables currículos, la redacción de descripciones de puestos de trabajo y la gestión de un bucle interminable de tareas administrativas diarias.

Las herramientas y los algoritmos impulsados por la IA están cambiando, y en algunos casos sustituyendo, todo el proceso de selección de personal. Esto se traduce en contrataciones más rápidas y experiencias más eficientes tanto para los candidatos como para el responsable de la selección.

Aunque este cambio hacia la IA aporta numerosos beneficios, también plantea cuestiones críticas sobre la equidad, la parcialidad y la privacidad.

Ya hemos visto anteriormente cómo las empresas pueden evitar exponer sus datos cuando utilizan grandes modelos lingüísticos (LLM). En esta ocasión, vamos a considerar las implicaciones más amplias del uso de la IA para agilizar sus procesos de contratación.

La revolución de la IA en la contratación

Los profesionales de Recursos Humanos saben lo que se tarda en contratar a un nuevo candidato. En primer lugar, hay que redactar la descripción del puesto, lo que puede llevar tiempo hasta que las personas adecuadas identifiquen las tareas y responsabilidades clave del puesto. A continuación, hay que aprobarla internamente antes de publicarla en las plataformas de búsqueda de empleo pertinentes o compartirla con los candidatos potenciales. Una vez que se han presentado todas las candidaturas deseadas, el responsable de la contratación debe revisarlas y preseleccionarlas antes de iniciar las entrevistas.

Pero ahora llega la IA y un nuevo proceso de contratación más ágil. Alrededor del 85% de los reclutadores creen que la IA es una tecnología útil que sustituirá algunas partes del proceso de contratación. En muchos casos, ya se ha introducido. Ya en 2019, una portavoz de la empresa Unilever dijo que su herramienta de contratación de IA ahorró más de 100.000 horas y 1 millón de dólares en costes globales de contratación ese año. Usar la IA en todo su potencial puede crear beneficios significativos para los ocupados reclutadores que necesitan cubrir un puesto vacante.

1. Selección más rápida de candidatos

Los modelos de IA pueden automatizar tareas repetitivas como la selección de currículos y la búsqueda de candidatos. En lugar de leer cientos de solicitudes para una sola vacante, los responsables de selección pueden introducir la información en un modelo de IA que identifique determinadas palabras clave que coincidan con la descripción del puesto y con lo que se está buscando.

A continuación, el modelo puede preseleccionar automáticamente a los candidatos en función de su grado de adecuación a los criterios deseados. Como resultado, los responsables de contratación pueden centrarse en aspectos más estratégicos de la adquisición de talento, o simplemente dedicarse a todo lo demás de sus crecientes listas de tareas pendientes.

2. Mejora de la experiencia del candidato

¿Alguna vez has dudado en solicitar un puesto de trabajo porque el reclutador no respondía a sus preguntas sobre el puesto? Pues ya no: Los chatbots y asistentes virtuales basados en IA ofrecen respuestas inmediatas a las preguntas de los candidatos, garantizando una experiencia más fluida y atractiva durante todo el proceso de contratación.

Las interacciones personalizadas y las respuestas rápidas contribuyen a una marca de empleador positiva, lo que aumenta el número de personas que desean trabajar para la empresa y, por lo tanto, aumenta la reserva de talento de la que pueden seleccionar los reclutadores.

3. Toma de decisiones basada en datos

Las herramientas de IA pueden utilizar análisis predictivos para identificar a los mejores candidatos basándose en datos históricos y métricas de rendimiento. Mediante el análisis de patrones en contrataciones exitosas, las organizaciones pueden tomar decisiones más informadas basadas en el rendimiento de contrataciones anteriores.

4. Mejora de la diversidad y la inclusión

Algunas plataformas de IA afirman mitigar el sesgo inconsciente en la contratación mediante el anonimato de la información del candidato, centrándose únicamente en las cualificaciones y habilidades. Al eliminar información identificativa como el nombre, el sexo o el origen étnico, estas herramientas pueden promover la diversidad y la inclusión en la contratación.

Riesgos y retos de la IA

La aplicación de la IA en el proceso de contratación también abre un nuevo abanico de riesgos y retos de seguridad que las organizaciones deben abordar para utilizar esta nueva herramienta de forma eficiente y honorable.

1. Sesgo algorítmico

Si un modelo se entrena con un conjunto de datos históricos, los sesgos históricos pueden trasladarse al resultado del modelo. Por ejemplo, si una empresa utilizara la IA para buscar en los currículos candidatos para un puesto de médico, y si el conjunto de datos con el que se ha entrenado muestra que el 80% de los médicos que históricamente encajaban en el puesto eran hombres, es más probable que el modelo favorezca a los candidatos masculinos frente a los femeninos, a pesar de que tengan la misma idoneidad para el puesto.

Además de las implicaciones internas de no ver a todos los candidatos adecuados, esto puede tener importantes consecuencias financieras y para la reputación. Consideremos este caso de la vida real en el que una empresa de clases particulares tuvo que pagar 365.000 dólares de indemnización cuando la IA descalificó automáticamente a los solicitantes en función de la edad como resultado de los datos que se le proporcionaron.

Además, la IA puede sobrevalorar el uso de palabras clave y métricas al revisar los currículos enviados. A diferencia de un ser humano, un sistema de IA podría no captar las habilidades interpersonales y otras experiencias o rasgos de carácter que harían de alguien un candidato más deseable para el puesto.

El proceso automatizado que utilizan los modelos de IA puede incluso favorecer a los candidatos que han utilizado la IA para crear su cur rículum utilizando la descripción del puesto publicada. El resultado es una presentación que «sobre el papel» parece perfecta para el puesto, pero que no es una representación auténtica u honesta de la idoneidad del candidato.

2. Falta de transparencia

Muchos algoritmos de IA funcionan como cajas negras, lo que significa que el proceso de toma de decisiones es poco claro y difícil de entender. Esta falta de transparencia plantea dudas sobre la responsabilidad y la capacidad de cuestionar o corregir los resultados sesgados.

Si las empresas no saben que su IA está sesgada o «envenenada», ¿cómo pueden rectificarla? ¿Y cómo van a saber cómo hacerlo? Esta falta de transparencia también puede ser una oportunidad para que los candidatos furtivos encuentren posibles lagunas en el sistema que lleven sus currículos a los primeros puestos de la lista.

3. Privacidad y seguridad de los datos

Para el uso de la IA en la contratación, los modelos necesitarían alimentarse de grandes cantidades de datos personales proporcionados por los candidatos y la propia organización. Garantizar la confidencialidad y seguridad de estos datos con suficientes medidas de ciberseguridad es primordial para proteger los derechos de privacidad de la empresa y de las personas, así como para cumplir con normativas como el Reglamento General de Protección de Datos (GDPR).

4. Supervisión humana y rendición de cuentas

Si bien la IA puede mejorar la eficiencia, la supervisión humana sigue siendo esencial para evitar el mal uso o la mala interpretación de los conocimientos generados por la IA. Las organizaciones deben establecer marcos y mecanismos claros de rendición de cuentas para abordar los errores algorítmicos o las infracciones éticas.

5. Cumplimiento legal y normativo

El uso de la IA en la contratación está sujeto a diversos marcos legales y reglamentarios, incluidas las leyes contra la discriminación y las normas de protección de datos. El incumplimiento de estos requisitos puede acarrear repercusiones legales y daños a la reputación.

¿Cómo puede su organización aprovechar la IA para la contratación de manera segura y eficaz?

Para aprovechar los beneficios de la IA y, al mismo tiempo, mitigar los riesgos asociados, las organizaciones deben adoptar un enfoque holístico de la IA. Esto incluye

1. Diseño ético de la IA

Priorizar la equidad, la transparencia y la responsabilidad en el desarrollo y despliegue de la IA en todos los sistemas de TI. Esto se puede hacer mediante la aplicación de medidas tales como algoritmos de detección de sesgos y evaluaciones periódicas de imparcialidad para identificar y abordar patrones discriminatorios.

2. Supervisión y evaluación continuas

Evaluar periódicamente el rendimiento de los algoritmos de IA para identificar y mitigar sesgos o errores. Establezca mecanismos de retroalimentación para que los candidatos informen de sus preocupaciones o proporcionen información sobre sus experiencias con los procesos de contratación impulsados por IA. Esta supervisión y seguimiento constantes significan que si algo va mal con el sistema de IA, se puede identificar y rectificar antes de que se acumulen las consecuencias negativas.

3. Perspectivas de equipos con conocimientos mixtos

Fomentar la colaboración entre profesionales de RRHH, científicos de datos, especialistas en ética y expertos legales para garantizar un enfoque multidisciplinar del funcionamiento de la IA. Una serie de conocimientos y perspectivas con vistas al modelo y los programas de IA respaldan el desarrollo de políticas y prácticas de IA sólidas y exhaustivas.

4. Educación y formación

Proporcionar formación a los reclutadores y directores de contratación sobre el uso ético de la IA en la contratación, incluida la concienciación sobre las estrategias de mitigación de sesgos y la importancia de la privacidad y la seguridad de los datos. Cultivar una cultura de adopción responsable de la IA en toda la organización con transparencia y directrices sobre la mejor manera de utilizarla.

5. Cumplimiento normativo

Mantenerse a la vanguardia de la evolución de los requisitos legales y reglamentarios en torno a la IA en la contratación y adaptar las políticas y prácticas de la empresa para garantizar un cumplimiento completo y mantenerse informado sobre los riesgos inminentes y cualquier laguna en el sistema de IA que los ciberdelincuentes puedan aprovechar.

En conclusión…

La IA presenta inmensas oportunidades para transformar los procesos de contratación, permitiendo a las organizaciones identificar y atraer a los mejores talentos de manera más eficaz en menos tiempo. Sin embargo, la adopción generalizada de la IA en la contratación también crea riesgos en torno a la parcialidad, la privacidad y la responsabilidad. Mediante la aplicación de las mejores prácticas enumeradas anteriormente, las organizaciones pueden superar estos desafíos y aprovechar la IA de manera responsable para lograr sus objetivos de contratación, manteniendo los principios de equidad, inclusión y autenticidad.

 

Fuente: www.welivesecurity.com

Malware al acecho en enlaces “oficiales” de GitHub y GitLab

¿Puedes ser víctima de malware cuando descargas archivos de los repositorios de Microsoft en GitHub? Resulta que sí. ¡Mantente alerta!

Uno de los consejos de seguridad más antiguos es: “Descarga solo software de fuentes oficiales”. Por lo general, las “fuentes oficiales” son las principales tiendas de aplicaciones de cada plataforma, pero para millones de aplicaciones de código abierto útiles y gratuitas, la fuente más “oficial” es el repositorio del desarrollador en un sitio especializado como GitHub o GitLab. Allí, puedes encontrar el código fuente del proyecto, las correcciones y las incorporaciones al código y, a menudo, una compilación de la aplicación lista para usar. Cualquiera que tenga el más mínimo interés en ordenadores, software y programación conoce estos sitios. Por eso fue un descubrimiento desagradable para muchas personas (incluidas las especialistas en seguridad de TI y los propios desarrolladores) que un archivo al que se puede acceder con un enlace como github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} podría ser publicado por otra persona que no sea el desarrollador y contener cualquier cosa.

Por supuesto, los ciberdelincuentes se aprovecharon de esto inmediatamente.

Desglosemos el problema

GitHub y su pariente cercano GitLab se construyen en torno a la colaboración en proyectos de desarrollo de software. Un desarrollador puede cargar su código y otros pueden ofrecer incorporaciones, correcciones o incluso crear bifurcaciones, que son versiones alternativas de la aplicación o biblioteca. Si un usuario encuentra un error en una aplicación, puede informarlo al desarrollador mediante un informe del problema. Otros usuarios pueden confirmar el problema en los comentarios. También puedes escribir comentarios sobre nuevas versiones de la aplicación. Si es necesario, puedes adjuntar archivos a los comentarios, como capturas de pantalla que muestran el error o documentos que hacen que la aplicación falle. Estos archivos se almacenan en servidores de GitHub mediante enlaces del tipo que describimos anteriormente.

Sin embargo, GitHub tiene una peculiaridad: si un usuario prepara un comentario y carga los archivos adjuntos, pero no hace clic en “Publicar”, la información permanece “atascada” en el borrador y es invisible tanto para el propietario de la aplicación como para otros usuarios de GitHub. Sin embargo, se crea un enlace directo completamente funcional al archivo cargado en el comentario y cualquiera que lo abra recibe el archivo de la CDN de GitHub.

Se genera un enlace de descarga para un archivo malicioso después de que el archivo se añade a un comentario no publicado en GitHub.

Mientras tanto, los propietarios del repositorio donde se publica este archivo en los comentarios no pueden eliminarlo ni bloquearlo. ¡Ni siquiera se enteran! Tampoco hay una configuración para restringir la carga de dichos archivos para el repositorio en su conjunto. La única solución es desactivar los comentarios por completo (en GitHub, puedes hacerlo por hasta seis meses), pero eso privaría a los desarrolladores de recibir comentarios.

El mecanismo de comentarios de GitLab es similar, lo que permite que se publiquen archivos a través de borradores de comentarios. Se puede acceder a los archivos a través de un enlace como gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.

Sin embargo, el problema en este caso se mitiga un poco por el hecho de que solo los usuarios de GitLab registrados y conectados pueden cargar archivos.

Un regalo para las campañas de phishing

Gracias a la capacidad de publicar archivos arbitrarios en enlaces que comienzan con GitHub/GitLab y que contienen los nombres de desarrolladores respetados y proyectos populares (ya que se puede dejar un comentario no publicado con un archivo en casi cualquier repositorio), los ciberdelincuentes tienen la oportunidad de realizar ataques de phishing muy convincentes. En los repositorios de Microsoft ya se han descubierto campañas maliciosas en las que se dejan “comentarios”, que supuestamente contienen aplicaciones de trucos para juegos.

Un usuario atento podría preguntarse por qué habría trucos de un juego en el repositorio de Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Pero es mucho más probable que las palabras clave “GitHub” y “Microsoft” tranquilicen a la víctima, que no examinará demasiado el enlace. Los delincuentes más inteligentes pueden disfrazar su malware con más cuidado, por ejemplo, presentándolo como una nueva versión de una aplicación distribuida a través de GitHub o GitLab y publicando enlaces a través de “comentarios” en esa aplicación.

Cómo protegerte del contenido malicioso en GitHub y GitLab

Este error de diseño aún no se ha corregido y cualquiera puede cargar archivos arbitrarios libremente en la CDN de GitHub y GitLab, por lo que los usuarios de estas plataformas deben tener mucho cuidado.

  • No descargues archivos de enlaces directos de GitHub/GitLab que encuentres en fuentes externas: otros sitios web, correos electrónicos o chats. En su lugar, abre la página del proyecto (github{.}com/{User_Name}/{Repo_Name} o gitlab{.}com/{User_Name}/{Repo_Name}) y asegúrate de que realmente puedas descargar el archivo desde allí. Los archivos oficiales de los desarrolladores deben estar publicados y aparecer en el repositorio.
  • Asegúrate de estar en la página de desarrollador correcta: en GitHub, GitLab y otros repositorios de código abierto, los ataques de typosquatting son comunes: la creación de proyectos falsos con nombres que difieren del original en una o dos letras (por ejemplo, Chaddev en lugar de Chatdev).
  • Evita descargar aplicaciones que tengan pocas estrellas (me gusta) y que hayan sido creadas recientemente.
  • Usa la protección contra malware y phishing en todos tus ordenadores y teléfonos inteligentes. Kaspersky Premium proporciona una protección integral para jugadores y entusiastas de la informática.

 

Fuente: latam.kaspersky.com

 

«Quizás sea el momento de pasarse a Linux», dice Elon Musk

Es un simple comentario, pero lo hace Elon Musk y eso vende.Por eso nos hacemos eco del mismo, aunque completamos la información con un dato de interés que, valgan las redundancias, interesará a cualquier interesado en algo tan interesante como es…

Comencemos por el principio, mejor. Y el principio no es otro que el anuncio por parte de Microsoft de Recuerdos, una futura característica de Windows 11 que está haciendo saltar todas las alarmas, o así se está recogiendo en la prensa especializada. En Reino Unido ya están investigando el asunto porque pinta castaño oscuro, pese a la funcionalidad que aportaría y a que Microsoft asegura que la información nunca abandonará el equipo y estará siempre bajo el control del usuario.

Pero fíate tú de Microsoft ¿eh? Nadie parece hacerlo. Dicho lo cual, si quieres enterarte con todo detalle de en qué consiste Recuerdos, te recomiendo abrir los enlaces en el párrafo anterior. A grosso modo, se trata de una función apoyada en la IA de Copilot que recopilará todo lo que el usuario hace mientras usa el sistema a base de imágenes, si bien el fondo es más complejo. Digamos que el invento consiste en permitir recular al usuario al milímetro para lo que sea: recordar algo, recuperar algo, etc.

«Satya Nadella dice que las PC con Windows tendrán una función de memoria fotográfica llamada Recuerdos que recordará y comprenderá todo lo que hace en su computadora tomando capturas de pantalla constantes», resumía en un mensaje en X un usuario el día de la presentación de Recuerdos. Un mensaje que compartía una usuaria de la red social añadiendo: «Por si acaso faltaran razones para no usar Windows». Y a ese mensaje, respondía Elon Musk:

«Quizás sea hora de migrar los escritorios de los consumidores a Linux» es la traducción más literal, aunque el significado es el mismo que se plasma en el titular. No deja de ser una anécdota, pero…

Lo cierto es que el comentario de Elon Musk llega unos meses después del desencuentro que tuvo el hombre más rico del mundo con un portátil recién comprado con Windows 11 preinstalado. El resumen sería que Elon Musk no pudo utilizar Windows 11 y se enfadó con Microsoft, con motivo de la obligatoriedad de utilizar una cuenta de Microsoft para usar el sistema (algo que se puede saltar, aunque requiere de líos).

Por supuesto, la historia generó muchos comentarios, incluyendo aquellos que le sugirieron crear un sistema operativo. Pero es que ya los hay. He aquí el dato de interés adelantado más arriba: las grandes distribuciones Linux son sistemas operativos con un muy buen nivel y cualquiera puede moverse por voluntad propia, con muy poco esfuerzo por su parte.

¡Ea!

Fuente: www.muylinux.com

Linux puede ser la mejor manera de evitar la pesadilla de la IA

La IA está llegando a tu ordenador, te guste o no, pero ¿qué puedes hacer al respecto?

Los ordenadores Copilot+ de Microsoft están tan repletos de inteligencia artificial que hasta su nombre lo indica. Esperamos que Apple añada un montón de nuevas funciones de IA en iOS 18 y macOS 15 en la WWDC del mes que viene, y Google es, bueno, Google. Pero, ¿y si no quieres IA en tu ordenador? ¿Y si te preocupan el impacto medioambiental de la IA, los agujeros de privacidad y los problemas éticos de entrenar con datos sin el permiso de los creadores? La respuesta podría ser cambiar a Linux. Sí, Linux.

«Como alguien que ha trabajado extensamente en tecnología y ciberseguridad, puedo decirte que Linux es una alternativa viable para aquellos que desean evitar las integraciones de IA que se encuentran en sistemas operativos convencionales como macOS y Windows«, dijo Reade Taylor, ex ingeniero de IBM Internet Security Systems y fundador de la empresa de ciberseguridad Cyber Command, a Lifewire por correo electrónico.

Fuera de control

A medida que añaden más funciones, tenemos cada vez menos control sobre nuestros ordenadores. Dropbox, iCloud, Copilot y todas las funciones de Continuidad de Apple dependen de la nube, enviando datos de un lado a otro. La inteligencia artificial ya está firmemente integrada en nuestros ordenadores: autocorrección de texto, reconocimiento de nuestros amigos y familiares en las fotos que añadimos a nuestras fototecas, etcétera.

Estas funciones son increíbles y muy prácticas. Pero tienen un precio. ¿Recuerdas cuando podías poner tu Mac a dormir y, al despertarlo unos días después, la batería apenas se había descargado? Ahora ya no, porque en realidad tu ordenador ya nunca duerme. Y, por supuesto, están los problemas de privacidad que supone tener tu ordenador en contacto constante con el propietario de la plataforma: Microsoft, Google y Apple.

Y ahora parece que el tren de la IA se está extendiendo por todos los aspectos de nuestra vida informática. Me preocupan el uso desmesurado de energía y la búsqueda de datos de entrenamiento sin tener en cuenta los deseos de sus creadores. Además, la próxima generación de ordenadores está incorporando silicio adicional para procesar la IA en el dispositivo. Por último, hemos llegado a un punto en el que los ordenadores son más que rápidos, duran todo el día cargados y lo hacen todo sin ventilador, ¿y queremos arruinar todo eso?

El año de Linux en el escritorio

La respuesta a esto ha sido durante mucho tiempo Linux, un sistema operativo de código abierto que puede ser tan privado y cerrado como quieras. El problema es que nunca ha sido especialmente fácil de usar. Históricamente, para instalar una nueva aplicación había que abrir una ventana de terminal -esas ventanas de texto blanco sobre negro que usan los hackers en las películas- y teclear comandos arcanos.

Pero en los últimos años, muchas cosas han cambiado. Es posible comprar ordenadores con Linux ya instalado, pero aún mejor, es fácil instalarlo en el ordenador que posees actualmente. De hecho, puedes probarlo sin borrar nada de tu configuración actual.

La instalación de aplicaciones también es mucho más fácil, con repositorios similares a las tiendas de aplicaciones que te permiten añadir aplicaciones con un solo clic. Y encontrarás todas las aplicaciones que necesitas, como Slack, listas y esperando. Si no, hay alternativas.

«Pasarse a Linux significa que quizá tengas que decir adiós a ciertos programas y juegos propietarios. Aplicaciones como Adobe Creative Suite o algunas herramientas profesionales especializadas no tienen versiones nativas para Linux y, aunque existen alternativas, puede que no satisfagan las necesidades de todo el mundo«, explica a Lifewire por correo electrónico Cameron Lee, CEO de ACCURL y experto en tecnología.

¿Qué es Linux exactamente? No es más que otro sistema operativo, como macOS o Windows, pero con muchos más «sabores» o combinaciones de aplicaciones y entornos de escritorio. Es mucho menos exigente con el hardware que macOS y Windows, por lo que es perfecto para resucitar ordenadores antiguos.

Tendrá que acostumbrarse a una nueva forma de hacer las cosas, como al pasar de Windows al Mac, pero le resultarán familiares sobre todo las carpetas, los menús, etcétera. Algunas versiones están diseñadas específicamente para que resulten fáciles de usar a quienes vienen de otros sistemas operativos.

«Una distribución fácil de usar como Ubuntu puede ser una excelente opción para las personas que desconfían de la privacidad y las cuestiones éticas que rodean a la IA», dice Taylor. «Proporciona un entorno robusto y fácil de usar que minimiza el seguimiento y la recopilación de datos que se suelen encontrar con macOS o Windows».

Ubuntu y otras ‘distros’ suelen venir con un paquete de aplicaciones, un navegador web, alternativas a Microsoft Office, apps de correo electrónico, etcétera. Podrás ponerte en marcha en un abrir y cerrar de ojos.

Puede que Linux aún no sea para todo el mundo, pero ahora es para cualquiera. Cualquiera que quiera tener más control sobre su vida informática o que simplemente quiera seguir utilizando su viejo ordenador en lugar de verse atrapado en un ciclo de actualizaciones ahora impulsado por las necesidades de la IA. Échale un vistazo. Puede que te guste.

Fuente: www.somoslibres.org

Kaspersky lanza un escáner de malware para Linux

¿Virus en Linux? De todo hay en la viña del Señor, pero no los llames virus, llámalos malware, que es lo que se lleva ahora. La cuestión es ¿hay que preocuparse de estas cosas en Linux? Lo cierto es que hay opiniones para todos los gustos, aunque no todas las opiniones tengan el mismo valor. Sea como fuere, he aquí una nueva herramienta que quizás te interese conocer.

La veterana firma de seguridad acaba de anunciar el lanzamiento de una aplicación contra el malware para sistemas Linux, dirigida tanto para el ámbito del escritorio como del servidor: Kaspersky Virus Removal Tool (KVRT), una utilidad básica que, advierten, «no puede monitorear ataques en tu ordenador o servidor en tiempo real», sino que «permite escanear sistemas Linux en busca de ciberamenazas conocidas».

KVRT es una herramienta de búsqueda y limpieza, no de protección, por lo que no sustituye las buenas prácticas en materia de privacidad, imprescindibles también en Linux; pero tampoco te va a consumir los recursos del equipo solo por estar ahí, a la espera de que aparezca alguna amenaza. En este sentido, funciona de manera similar a ClamAV, el antivirus libre: bajo demanda.

KVRT dispone de interfaz gráfica y por consola y permite escanear diferentes parámetros como la memoria, los procesos en el arranque y otros, además de directorios y archivos, incluyendo archivos comprimidos. Tiene una sección de cuarentena, otra con los informes de los análisis… y poco más. Por no tener, no tiene ni sistema de actualización, de manera que tendrás que actualizar la propia aplicación para mantenerla al día.

Si quieres probarlo, puedes descargar KVRT en ese enlace. El ejecutable es un genérico que funcionará en la mayoría de distribuciones, aunque para más datos tienes esta página de información donde se indican los requisitos de hardware y software. Para ejecutar la aplicación tienes que darle permisos y demás, tal y como se indica en las instrucciones (es muy sencillo).

Por supuesto, Kaspersky Virus Removal Tool es una herramienta de código cerrado, pero viene de una compañía bien conocida en el sector y es totalmente gratuita, pese a que sus carencias son también destacadas (que no actualice su base de datos y obligue a descargar la aplicación… A ver si lo arreglan). En todo caso, es una alternativa que te puede interesar conocer.

Fuente: www.muylinux.com

¿Cómo aplicar la ISO 27001:2022 en el sector público?

La norma ISO 27001:2022 es un estándar internacional para la gestión de la seguridad de la información, que proporciona un marco para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Su aplicación en el sector público es crucial para proteger la información sensible y garantizar la confianza de los ciudadanos en las instituciones gubernamentales. 

Comprender la Norma ISO 27001:2022

Antes de implementar la norma, es esencial comprender sus requisitos y principios. La ISO 27001:2022 se centra en la protección de la confidencialidad, integridad y disponibilidad de la información mediante un enfoque de gestión de riesgos. Los principales componentes de la norma incluyen:

  • Política de seguridad de la información
  • Gestión de riesgos
  • Control de acceso
  • Gestión de incidentes
  • Auditorías internas
  • Mejora continua

Compromiso de la Alta Dirección

El compromiso de la alta dirección es fundamental para el éxito de la implementación de la norma. Los líderes deben demostrar su apoyo mediante la asignación de recursos, la definición de roles y responsabilidades, y la promoción de una cultura de seguridad de la información.

Evaluación Inicial y Análisis de Brechas

Realizar una evaluación inicial para identificar el estado actual de la seguridad de la información en la organización es esencial. Un análisis de brechas ayudará a comparar las prácticas actuales con los requisitos de la ISO 27001:2022 y determinar las áreas que necesitan mejoras.

Establecimiento del Alcance del SGSI

Definir el alcance del SGSI es un paso crítico. En el sector público, esto puede implicar determinar qué departamentos, sistemas y procesos estarán cubiertos por el SGSI. Es importante considerar la información sensible y crítica para la misión de la organización.

Evaluación y Gestión de Riesgos

La gestión de riesgos es el núcleo de la ISO 27001:2022. Identificar, evaluar y tratar los riesgos asociados con la información y los activos es crucial. Esto incluye la creación de un inventario de activos, la identificación de amenazas y vulnerabilidades, y la implementación de controles adecuados para mitigar los riesgos.

Desarrollo de Políticas y Procedimientos

Elaborar políticas y procedimientos específicos para la gestión de la seguridad de la información. Estos documentos deben alinearse con los requisitos de la norma y adaptarse a las necesidades y contexto del sector público. Entre los documentos clave se incluyen:

  • Política de seguridad de la información
  • Política de gestión de riesgos
  • Procedimientos de respuesta a incidentes
  • Política de control de acceso

Capacitación y Concienciación

Capacitar al personal es esencial para asegurar que todos comprendan sus roles y responsabilidades en relación con la seguridad de la información. Programas de concienciación continua ayudarán a mantener una cultura de seguridad robusta.

Implementación de Controles

Implementar los controles necesarios para mitigar los riesgos identificados. Estos controles pueden ser de naturaleza técnica, administrativa o física. En el sector público, esto podría incluir el cifrado de datos, la gestión de accesos y la seguridad física de las instalaciones.

Monitoreo y Revisión Continua

El monitoreo y la revisión continua son fundamentales para mantener la eficacia del SGSI. Esto incluye realizar auditorías internas periódicas, monitorear los incidentes de seguridad y revisar los controles para asegurar su adecuación.

Auditoría Externa y Certificación

Finalmente, someter el SGSI a una auditoría externa por parte de una entidad certificadora acreditada es el último paso para obtener la certificación ISO 27001:2022. Esta certificación demostrará el compromiso de la organización con la seguridad de la información y la conformidad con los estándares internacionales.

La implementación de la ISO 27001:2022 en el sector público es un proceso estratégico que requiere el compromiso de toda la organización. Proteger la información sensible y garantizar la confianza de los ciudadanos es esencial para el éxito de cualquier entidad gubernamental. Siguiendo estos pasos, las organizaciones del sector público pueden establecer un SGSI eficaz y alineado con los mejores estándares internacionales de seguridad de la información.

Fuente: www.somoslibres.org

¿Por qué los influencers son blanco de los cibercriminales?

Aquí las estrategias principales que los cibercriminales emplean contra los influencers, quienes, debido a su gran número de seguidores y el movimiento de dinero a su alrededor, se han convertido en un objetivo atractivo para estos atacantes.

Ecuador ­– Facebook, YouTube e Instagram se han convertido en plataformas que literalmente catapultaron a ciertas personas al estrellato, otorgándoles el galardón de “Influencers”. Es tal la cantidad de seguidores que cosechan y el dinero que se mueve a su alrededor, que los cibercriminales han enfocado su mira en ellos, poniendo en práctica estrategias y engaños que les permitan sacar su propio rédito económico. ESET, compañía líder en detección proactiva de amenazas, advierte que analiza las tácticas más frecuentes utilizadas por los ciberatacantes para acceder al dinero y de qué manera los influencers pueden estar más protegidos.

El mercado mundial de marketing de influencers, que en el año 2022 fue valuado en 33.200 millones de dólares, seguirá creciendo exponencialmente. De hecho, se espera que para el año 2032 roce los 200 mil millones de dólares. A su vez, según el sitio HubSpot, existen varias categorías de influencers según la cantidad de seguidores y dependiendo de ello (entre otros factores) “un nanoinfluencer gana entre 10 y 100 USD, un micro entre 100 y 500 USD, y un macro entre 5000 y 10.000 USD por publicación”. Estas cifras sirvieron como cebo para que los cibercriminales comiencen a buscar (e implementar) estrategias para sacar un rédito económico.

La ingeniería social es una de las herramientas preferidas de los ciberatacantes para vulnerar a los influencers, que muchas veces no tienen los recursos o los conocimientos con los que habitualmente se protegen las empresas. ESET, comparte algunos de ejemplos de estafas, robos y engaños relacionados:

El falso podcast: Hannah Shaw es popularmente conocida en las redes sociales como la “Dama Gatita”: su pseudónimo se debe a que en sus videos enseña a las personas cuáles son los cuidados adecuados para los gatos recién nacidos. Gracias a sus seguidores (más de un millón), recaudó importantes cifras para ayudar a rescate de estos animales y a refugios. Viendo en la popularidad de Shaw una veta para sacar un rédito económico y gracias a una técnica de ingeniería social, los ciberdelincuentes lograron apoderarse de su cuenta comercial de Meta.

Esto lo lograron simulando ser conductores de un podcast. En la previa y para coordinar los detalles de la entrevista, los actores maliciosos invitaron a la víctima a una llamada de Zoom. Allí, solicitaron a Shaw acceso a la configuración de Facebook Live con la excusa de generar ingresos y ella accedió pensando que era parte normal del proceso. En ese momento, los ciberatacantes tomaron poder de la cuenta en calidad de Administrador, dejando limpia la página para sustituirlos por enlaces falsos que en realidad direccionaban a sitios para generar ingresos fáciles y rápidos con publicidad.

Embajadores pero de la estafa: Los “Finfluencers” son un subgrupo de influencers dedicado especialmente a la industria de las finanzas. En sus cuentas, brindan asesoramiento económico, consejos y tips a su gran cantidad de seguidores con el objetivo de que puedan hacerse ricos rápidamente, inviertan en acciones o criptomoneda y puedan implementar una planificación financiera. En este caso, los cibercriminales (y también valiéndose de la ingeniería social para lograr su cometido), ofrecían una falsa oportunidad laboral para que los finfluencers se conviertan en embajadores de una marca y promocionen los productos de la misma.

Lo cierto es que el objetivo final de los atacantes era hacerse de la información personal y financiera de sus víctimas. Con la excusa de necesitar esos datos para hacer el pago del supuesto trabajo, lo que hacían una vez que obtenían esa información era vaciar sus cuentas bancarias hasta tomar el control de sus redes sociales.

El malware siempre presente: Otros influencers han sido atacados con malware, ya sea por la descarga de algún archivo malicioso o un clic en un enlace también apócrifo. Así, los ciberatacantes pueden tomar el control muy fácilmente de las cuentas y manejarlas. Esto lo logran al publicar contenidos que nada tiene que ver con el que comparte el influencer normalmente, borrando todo el contenido que había disponible, y hasta cambiando el logo y el nombre de las cuentas. También es común que los actores maliciosos pidan sumas exorbitantes de dinero para que la víctima pueda recuperar la potestad de sus redes sociales.

Suplantación de identidad con suspensión incluida: Otra de las técnicas que se conoció en el último tiempo puntualmente en Instagram consiste en que los ciberatacantes duplican la cuenta original del influencer y piden su suspensión. Para ello, o bien adquieren una cuenta verificada, cambian la biografía e imagen de usuario, para luego presentar un informe a aduciendo que en realidad la víctima se está haciendo pasar por él. Otra opción es realizar un “ataque de spam” contra la cuenta, denunciándola, ya sea por mostrar imágenes de desnudez o violar algún derecho de autor. Un aves que el atacante logra que la cuenta sea suspendida, se comunica con la víctima para ofrecerle el desbloqueo de la cuenta siempre y cuando pague cierto monto de dinero

Los seguidores, también en la mira: La suplantación de identidad es otra de las técnicas utilizadas en el ámbito de las redes sociales, pero en este caso las víctimas son los seguidores. Es normal que los influencers lancen sorteos, los cuales generan un alto nivel de interacción. Allí entran en juego los ciberdelincuentes, que crean una cuenta duplicada que se hace pasar por la original, y desde allí contacta a los usuarios informando que han sido ganadores de algún sorteo. El objetivo es acceder a la información personal y financiera de sus víctimas.

Más allá de todas estas estrategias que existen actualmente, los influencers pueden tomar acciones concretas para no ser una víctima más de los engaños de los ciberatacantes. ESET comparte algunas buenas prácticas para tener en cuenta:

  • Desconfiar como primera medida, si una oferta laboral o posibilidad comercial parece demasiado bueno para ser verdad, probablemente no lo sea.

  • No brindar información personal ni financiera sin tener confirmado que del otro lado existe una posibilidad real y verdadera. Una buena investigación es la mejor aliada, como también el contactar con la empresa para confirmar la oferta.

  • No dejar que ninguna persona, empresa o aplicación realice publicaciones en sus redes sociales.

  • Utilizar en todas las cuentas contraseñas únicas, robustas, extensas y seguras (con mayúsculas, caracteres especiales y números), y cambiarlas periódicamente.

  • Prestar atención y analizar de manera atenta y cuidadosa antes de hacer clic en cualquier enlace que llega de manera inesperada.

  • Por último y siempre muy importante, contar con una solución de seguridad que brinde protección integral consumiendo menos recursos.

Fuente: Dep. Comunicación ESET Ecuador

El veterano reproductor de música Winamp ¿se pasa al código abierto?

Seguro que todos habéis leído ya acerca de la liberación del código fuente de Winamp, y es que la noticia saltaba a los medios especializados la semana pasada con bastante eco. Qué menos, tratándose de todo un referente de la pretérita computación de consumo de finales del siglo pasado, principios del actual. Las cosas como son, Winamp es todo un icono de aquella época.

Ahora bien, ha llovido mucho desde entonces y la nostalgia no lo puede todo. De hecho, la última versión estable del popular reproductor de música tiene apenas un año desde su lanzamiento, aun cuando su irrelevancia es palmaria, no solo porque el software se ha renovado en este tiempo, en el que Winamp ha pretendido seguir viviendo de los réditos -y de su particular expresión-, sino porque lo los hábitos de consumo han cambiado y mucho.

Como comentaba recientemente a raíz del lanzamiento de Amarok 3, la música se consume a día de hoy -en un amplio margen, al menos- por otras vías y, en consecuencia, este tipo de reproductores no es tan popular como lo fue antaño. ¿Y cómo pretenden reinventarse en Winamp? Entre otros planes, «Winamp abrirá el código del reproductor de Windows, permitiendo que la comunidad participe en su desarrollo«, anunciaba la compañía.

«Esta es una invitación a la colaboración global, para que los desarrolladores de todo el mundo puedan aportar su experiencia, ideas y pasión para ayudar a que este software icónico evolucione», explicaban. Y, dicho así, puede tener su sentido: antes que dejar que el viejo software muera, se abre y que la comunidad haga lo que pueda con él, si es que hay interés ¿no? Pues no… O tal vez sí. No está nada claro, la verdad.

Por un lado, cuando se publicita que «Winamp ha anunciado que abrirá su código fuente para permitir el desarrollo colaborativo de su legendario reproductor para Windows«, se da a entender una cosa que, yendo al detalle, queda bastante desdibujada. ¿Eso de «abrir el código fuente» significa, en efecto, liberar el código fuente? En principio se podría decir que sí, pero sabemos bien por estos lares que no siempre es así.

https://x.com/winamp/status/1791121664689725683?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1791121664689725683%7Ctwgr%5Ed34215fe6fb23b8b1ce2e098ce25948df6d76300%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.muylinux.com%2F2024%2F05%2F22%2Fwinamp-codigo-abierto%2F

Señala el CEO de Winamp que a partir de ahora se enfocarán en el mercado móvil, para lo cual están preparando el lanzamiento de un nuevo reproductor este verano, pero como no quieren olvidarse de las «decenas de millones de usuarios» que todavía usan la aplicación en Windows, han tomado esta decisión. Una decisión que matizan, «Winamp seguirá siendo el propietario del software y decidirá las innovaciones realizadas en la versión oficial«.

Un poco vago todo, porque si liberas el código, no puedes seguir siendo el propietario del software, sino de la marca. Esto es lo único que parece tener sentido: que sigan gestionando Winamp como lo han hecho hasta ahora, mientras que el código fuente se desarrolla con algo de indedpendencia, en este caso, bajo el proyecto FreeLLama, que es como lo han denominado.

Hay quien lo ha entendido de manera muy diferente, eliminando el término código abierto de la ecuación, pero a falta de que, como decía Linus Torvalds, enseñen el código -y la licencia que lo acompaña-, todo son conjeturas derivadas, eso sí, de un mensaje quizás deliberadamente confuso.

¿Y si al final es que sí? Tampoco es que importe mucho, habida cuenta del panorama. Incluso aunque cayese una versión para Linux, tenemos alternativas de sobra y más adecuadas, en mi opinión. Es más: los amantes del «estilo Winamp» tienen en Audacious un mejor aliado. Pero seamos honestos: quién, salvo para rememorar viejos tiempos por un rato, quiere seguir usando algo como Winamp (ojo: que Winamp se remozó, pero aquí hablamos del viejo reproductor).

Fuente: www.muylinux.com

 

¿Por qué las empresas prefieren soluciones de Software Libre en sus servicios de Internet?

En el mundo empresarial actual, cada vez más empresas están optando por utilizar soluciones de software libre en sus servicios de internet. Esta tendencia no es casualidad; las soluciones de software libre ofrecen una serie de ventajas que las hacen atractivas para las organizaciones de todos los tamaños y sectores.

A continuación, exploraremos las razones clave por las que las empresas prefieren soluciones de software libre en sus servicios de internet.

1. Reducción de Costos

Uno de los beneficios más evidentes del software libre es la reducción de costos. Las soluciones de software libre, al no tener costos de licencia, permiten a las empresas ahorrar significativamente en gastos de software. Esto es especialmente importante para las pequeñas y medianas empresas que tienen presupuestos más ajustados y buscan maximizar su retorno de inversión.

2. Flexibilidad y Personalización

El software libre ofrece un nivel de flexibilidad y personalización que no se encuentra en las soluciones propietarias. Las empresas pueden modificar y adaptar el software libre para satisfacer sus necesidades específicas, lo que permite una mayor alineación con sus objetivos y procesos empresariales. Esta capacidad de personalización es crucial para desarrollar soluciones a medida que optimicen la eficiencia y la productividad.

3. Seguridad y Transparencia

Las soluciones de software libre son conocidas por su alto nivel de seguridad. Al ser de código abierto, el software libre permite que cualquier persona pueda revisar y auditar el código fuente. Esta transparencia facilita la identificación y corrección de vulnerabilidades de seguridad de manera más rápida y eficaz que en el software propietario. Además, una comunidad global de desarrolladores contribuye constantemente a mejorar y actualizar el software, asegurando que se mantenga seguro y confiable.

4. Independencia del Proveedor

Utilizar software libre libera a las empresas de la dependencia de proveedores específicos. Con el software propietario, las empresas a menudo quedan atrapadas en contratos a largo plazo y enfrentan desafíos significativos si desean cambiar de proveedor. El software libre, en cambio, ofrece la libertad de elegir y cambiar proveedores de soporte y servicios según las necesidades de la empresa, evitando el problema del «vendor lock-in».

5. Innovación Continua

El software libre fomenta la innovación continua. La naturaleza colaborativa del desarrollo de software libre permite que una amplia comunidad de desarrolladores trabaje en conjunto para mejorar y expandir las funcionalidades del software. Esta colaboración global resulta en un ciclo continuo de mejoras e innovaciones, lo que beneficia a las empresas que utilizan estas soluciones al mantenerse a la vanguardia de la tecnología.

6. Cumplimiento y Normativas

En algunos sectores, las normativas y regulaciones pueden requerir un alto nivel de transparencia y seguridad en el software utilizado. Las soluciones de software libre pueden cumplir con estos requisitos de manera más eficaz debido a su naturaleza abierta y revisable. Esto es especialmente relevante en sectores como el financiero, el de salud y el gubernamental, donde el cumplimiento es crítico.

7. Comunidad y Soporte

El software libre cuenta con el respaldo de una amplia y activa comunidad de usuarios y desarrolladores. Esta comunidad es una fuente invaluable de soporte, recursos y conocimiento. Las empresas pueden beneficiarse de esta red de soporte comunitario, accediendo a foros, documentación, y colaborando con otros usuarios para resolver problemas y mejorar el software.

Las soluciones de software libre ofrecen una serie de ventajas que las hacen especialmente atractivas para las empresas que buscan optimizar sus servicios de internet. La reducción de costos, la flexibilidad, la seguridad, la independencia del proveedor, la innovación continua, el cumplimiento normativo y el respaldo comunitario son factores clave que impulsan la adopción de software libre en el entorno empresarial. Al aprovechar estas ventajas, las empresas pueden mejorar su eficiencia operativa, reducir riesgos y mantenerse competitivas en un mercado en constante evolución.

 

Fuente: www.somoslibres.org

Tu información en la Dark Web: ¿cuánto vale y cómo protegerte?

En el vasto y sombrío mundo de la Dark Web, la información es la moneda principal. Desde datos personales hasta credenciales de acceso, cada pedazo de información tiene un valor asignado por los compradores y vendedores que operan en este reino digital.

Si bien en otras entradas te hemos contado acerca del mercado del phishing as a service en la dark web y en la clear web o de los productos y servicios que ofrecen los cibercriminales en esta área de internet, surgen otras preguntas relacionadas en esta órbita como, ¿cuánto vale realmente nuestra información en la Dark Web?, ¿qué factores influyen en su precio? Y, lo más importante, ¿cómo podemos protegernos de su explotación?

¿Cuánto vale tu información?

El valor de la información en la Dark Web varía según una serie de factores, incluidos la rareza, la calidad y la demanda del dato. Un número de tarjeta de crédito activo con un alto límite de crédito y sin alertas de fraude asociadas, por ejemplo, puede valer mucho más que un número expirado o bloqueado.

La información personal completa de un individuo, incluido su nombre, dirección, fecha de nacimiento, número de seguro social y detalles de la tarjeta de crédito, puede ser extremadamente valiosa para los ciberdelincuentes que buscan cometer fraudes de identidad o realizar actividades delictivas en nombre de la víctima.

Factores que influyen en el precio de los datos en la Dark Web

Tipo de Información:

Los datos financieros, como los números de tarjeta de crédito y las credenciales bancarias, tienden a tener un valor más alto que otros tipos de información, como direcciones de correo electrónico o nombres de usuario.

Calidad y Frescura:

La calidad y la frescura de la información son cruciales. Los datos actualizados y válidos son más valiosos que los obsoletos o incorrectos.

Demanda del Mercado:

La demanda del mercado también juega un papel importante. Si hay una alta demanda de ciertos tipos de datos, su precio tiende a aumentar.

Riesgo de Exposición:

El riesgo asociado con la adquisición y venta de ciertos datos también puede influir en su precio. Por ejemplo, la información que puede ser rastreada fácilmente hasta su origen puede tener un valor menor debido al mayor riesgo de exposición para el comprador y el vendedor.

Valores reales de los datos en la Dark Web

Si bien el valor de la información dependerá en gran medida de los factores mencionados anteriormente, estos precios se relativizaran según la identidad y/o entidad sobre la que se quiera obtener información, pues no vale lo mismo la información de una persona pública que de alguien que no lo es. Todas estas son varias variables que pueden hacer caer o elevar los precios, sin embargo, algunos estudios como los de NordVpn parametrizaron esta información para los individuos promedio y obtuvieron los siguientes resultados:

  • Tipo de información: Los datos más preciados incluyen:
    • Información financiera: Números de tarjetas de crédito, cuentas bancarias, datos de PayPal, etc. (entre $6 y $100 USD)
    • Credenciales de acceso: Contraseñas de redes sociales, servicios de streaming, correo electrónico, etc. (entre $1 y $75 USD)
    • Documentos de identidad: DNI, pasaportes, carnets de conducir (entre $5 y $25 USD)
    • Historial médico: Registros de salud, información de seguros médicos (entre $1 y $30 USD)

¿Cómo protegerte?

Dada la creciente prevalencia de violaciones de datos y robos de identidad, proteger nuestra información personal se ha vuelto una tarea de gran importancia para nuestra salud digital, veamos a continuación algunas recomendaciones:

  • Utiliza contraseñas seguras y únicas para todas tus cuentas.
  • Habilita la autenticación de dos factores siempre que sea posible.
  • Ten cuidado con los sitios web y correos electrónicos sospechosos que solicitan tus datos personales.
  • Mantén tu software y sistemas operativos actualizados con las últimas medidas de seguridad.
  • Utiliza un antivirus y firewall para proteger tu dispositivo.
  • Sé consciente de las estafas de phishing y otras técnicas utilizadas por los ciberdelincuentes para obtener tu información.

Comprender el valor de nuestra información y tomar medidas proactivas para protegerla son pasos esenciales en la lucha contra el cibercrimen y el robo de identidad en el mundo digital actual.

Recuerda: tu información personal es valiosa. Protegerla es tu responsabilidad.

Fuente: www.welivesecurity.com

 


Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in /home1/uiolibre/public_html/wp-content/plugins/simple-lightbox/includes/class.utilities.php on line 545