Ciberseguridad – del 9 de noviembre de 2018

Tema: Ciberseguridad

Subtema:

¡Cuidado! Cibercriminales estarán muy activos en El Buen Fin

El Universal

Notimex

08 de noviembre de 2018

Género: Informativo

 

Con el evento comercial de rebajas El Buen Fin, se marca el inicio de una temporada donde los cibercriminales emplean sofisticados métodos y herramientas para obtener datos financieros y personales de los compradores en la red, afirmó la empresa Hewlett-Packard (HP).

Ante ello, y con el objetivo de mantener alerta a los usuarios y compradores, la empresa tecnológica llamó a la comunidad cibernauta a prevenir y erradicar el robo de cuentas y datos bancarios por medio del comercio electrónico.

En un comunicado, subrayó la importancia de verificar que las compras a realizar sean en sitios oficiales o en tiendas online reconocidas, y no por los links que lleguen al usuario vía SMS, redes sociales, WhatsApp o e-mail.

Además, dijo, es mejor ejercer la compra mediante una conexión segura y tratar de evitar organizar la adquisición en redes públicas o conexiones abiertas.

También recomendó no ingresar los datos de la tarjeta de crédito o débito más de una vez en el sitio, y jamás refrescar el navegador mientras se confirma la compra, así como evitar el autoguardado de información.

Del mismo modo, sugirió no confiar en los precios demasiado bajos, y en caso de ejercer la compra, imprimir o guardar los registros de las transacciones con la intención de contar con un respaldo y la posibilidad de reintegro del monto efectuado, en caso necesario.

Comentó que nunca está por demás, aunque resulte cansado e incluso tediosopara algunos cibernautas, leer las políticas de privacidad del sitio web donde se hace la compra, dado que ahí se estipula el tipo de información que recolectan y el uso que le dan.

[hr]

Tema: Ciberseguridad

Subtema:

Protege tus pagos móviles

El Universal

Marisol Morelos

09 de noviembre de 2018

Género: Informativo

 

Nuestra información personal y actividades actualmente están registradas en Internet debido a que ya no existe una marcada separación entre el mundo digital y el físico, lo cual ha generado nuevos riesgos que nos vuelven vulnerables en el ciberespacio. Aunque hay ventajas como el que ya no sea necesario salir de casa para comprar productos o pagar servicios, las transacciones a través de un dispositivo tecnológico nos exponen a amenazas.

Las transacciones de e-commerce o m-commerce (comercio electrónico desde un celular y un navegador o una app), según información de Mastercard, tienen mayor riesgo de fraudes, reembolsos y declinaciones equivocadas; es decir que es un ecosistema más difícil de controlar comparado con el mundo offline.

Pese a las amenazas, el comercio online sigue creciendo. De hecho, destaca el m-commerce con un 50% de aumento. Sin embargo, de acuerdo con datos de Mastercard, en Latinoamérica y el Caribe (LAC) se declinan 40% de las transacciones en línea, la tasa más alta en el mundo. Asimismo, subraya que el 90% de los fraudes con tarjetas en LAC corresponden a “Tarjeta no presente” y que el 78% de las reclamaciones registradas hacia la banca comercial en los tres primeros meses del año fueron por un presunto fraude.

Por lo anterior, los usuarios muestran desconfianza respecto a la seguridad de su información en línea (personal y financiera). El estudio Global Cybersecurity Survey: Capítulo México, presentado por Mastercard, indica que la seguridad digital financiera se encuentra dentro de las mayores preocupaciones de los internautas mexicanos pues 92% se siente intranquilo por el acceso o el robo de su información. A su vez, 73% de los encuestados considera que no hay mucho que puedan hacer para evitar que su información sea robada o comprometida en una violación o piratería de datos, y más de la mitad (55%), se siente impotente cuando se trata de la seguridad en línea.
¿Cómo generar confianza? México se sitúa en un nivel de Baja Confianza, es decir que pocos se sienten seguros con la experiencia de uso en el mundo digital.

“Cuando hablamos de pagos, si no hay seguridad, no hay confianza y todo está expuesto al fraude y al mal uso de información personal y financiera. ¿Quién va a querer usar un sistema que lo exponga y le extraiga fondos? Es por eso que la seguridad es fundamental, es un requisito para operar”, planteó en entrevista para Tech Bit Patricio Hernández, VP senior de soluciones en seguridad de Mastercard América Latina y el Caribe.

El especialista enfatizó que existen grandes desafíos en términos de seguridad, sobre todo en el comercio electrónico, por la complejidad que conlleva. “Lo que se tiene que hacer es aumentar la seguridad y mejorar la experiencia del usuario, lo que ha sido un desafío porque, generalmente, a mayor seguridad, la experiencia de usuario es peor, pero ahora ya no aceptan eso, desean pagar cuando quieran, desde el lugar que quieran y desde el dispositivo que tengan”, dijo.

Retos para reforzar la seguridad.

Lorenza Martínez, consultora y economista, expone que uno de los principales desafíos en México es la baja penetración de los medios de pago electrónicos. “Ha habido un crecimiento importante, en particular en los últimos 10 años, pero se está partiendo de una base muy pequeña. Además, los ataques cada vez son más sofisticados y se enfocan más en los
endpoints (cualquier dispositivo fuera del firewall corporativo): podría ser una computadora portátil, tableta o celular”.

Por su parte, Patricio Hernández comentó que otro de los principales retos que tiene la industria de pagos es asegurar la identidad de la persona que realiza la transacción; es decir, si las credenciales que presenta para pagar son realmente suyas o se usurparon los datos e inclusive la identidad de alguien más. Para ello, hay un nuevo protocolo de autenticación digital que es un estándar de industria con mucha más información y que puede aplicar Inteligencia Artificial para ayudar a verificar la identidad de las personas y reducir los intentos de fraude mientras permite pasar las transacciones legítimas”, dijo.

“Esta riqueza de información no solo tiene que ver con las características del hardware o software, sino con la dirección IP desde donde se está conectando el usuario y hasta con los datos del comercio; por ejemplo, cuáles son las características de su carrito de compras para saber qué grado de seguridad tiene la tienda”, añadió el especialista de Mastercard.

Plataformas de pago trabajan por la seguridad. Representantes de reconocidos sitios de comercio en línea como MercadoLibre y Linio, así como la solución de Samsung Pay, coinciden en que se debe ofrecer certeza y seguridad a los usuarios para que utilicen sus plataformas.

Omar Galicia, director comercial de MercadoLibre en México, ejemplificó que en el año 2014 decidieron cerrar la opción de que vendedor y comprador se pusieran de acuerdo directamente para que el total de las transacciones se llevaran a cabo por MercadoPago y así otorgar garantías de compra basadas en seguridad, incentivos y beneficios para quien está haciendo transacciones digitales. Asimismo, ofrecen protección para que los usuarios se sientan libres de comprar: si desconocen el cargo, MercadoPago cubre el monto.

Por su parte, Francisco Martínez, gerente senior de servicios de valor agregado de Samsung, expuso que mediante la solución de Samsung Pay buscan habilitar y dar valor agregado al eliminar el uso de efectivo y brindando seguridad al usuario. Aunque también coincide en que aún es bajo el número de pagos electrónicos.

Su sistema se basa en tecnología de Comunicación de Campo Cercano (NFC) y Magnetic Secure Transmission, gracias a la cual los dispositivos emiten una señal magnética que emula la acción de deslizar una tarjeta física en una terminal punto de venta. Mientras la información privada del usuario se mantiene segura porque la transacciones deben verificarse con sistemas biométricos (huella digital o iris) y un PIN de seguridad.

Los voceros coincidieron en que las personas no deben frustrarse al usar los pagos móviles, sino tener certeza de que pueden hacerlos sin inconvenientes. Agregaron que también es importante hacerles saber que son los principales jugadores para que los fraudes dejen de suceder.

Finalmente, Patricio Hernández señaló: “la coordinación y compartir información entre los tres jugadores (banca, comercio y cliente) es vital. A veces la gente se da por vencida y no intenta utilizar el servicio, lo que merma el crecimiento del comercio electrónico, que si bien ha ido avanzado, no ha crecido al ritmo de su verdadero potencial”, concluyó.

Protégete con estas soluciones de transacciones electrónicas

Dado que 55% de los mexicanos se siente impotente cuando se trata de la seguridad de su información personal y financiera en línea, las compañías de comercio electrónico han desarrollado sistemas que ayuden a proteger las transacciones.

MercadoPago

Protege la información en el trayecto que va de la computadora, smartphone o tableta hasta su servidor. Encriptan los datos de modo seguro para cumplir con altos estándares de seguridad online. Además, protege el dinero del usuario hasta que tenga su compra. Cuando se realiza el pago, el vendedor puede ver el dinero en su cuenta, pero tiene que esperar para poder usarlo hasta que sea evaluado.

Samsung Pay

Toda la información del usuario está protegida mediante su huella digital, un token de seguridad y Samsung Knox. El sistema no almacena ni comparte los datos de las compras. Las transacciones son validadas con biometría para asegurar que solo el usuario pueda confirmar el pago. Para usar el servicio se debe ingresar a la app desde un smartphone de la marca, añadir los datos de tarjetas y empezar a pagar.

Paypal

Su sistema de Protección al Comprador ofrece cobertura para todas las compras en línea que cumplan los siguientes requisitos: es necesario que las cuentas no hayan registrado incidencias y que la controversia se presente en un plazo máximo de 180 días desde la fecha en que se realizó la compra o el pago. Con esta garantía la empresa realiza el reembolso total.

Oxxo Pay
Está pensado para ofrecer una buena experiencia a los clientes que realizan transacciones en sus tiendas. Su plataforma Conekta provee de infraestructura, notifica al comercio en tiempo real sobre pagos realizados y transfiere, de acuerdo al calendario de pagos, el monto correspondiente de manera automática. Además, implementa herramientas antifraude robustas.

Linio
Cuenta con una política de garantía que permite al cliente devolver el producto hasta 14 días después de haberlo recibido en caso de que no le haya gustado o de recibirlo dañado, en cuyo caso la empresa reembolsa el 100% de la compra. Además protege la información según lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Amazon cash

Permite depositar efectivo al saldo Amazon usando un código de barras o número celular en establecimientos participantes. Es posible abonar entre 100 y cinco mil pesos para comprar productos en su sitio web. De esta manera el usuario ya no necesita compartir la información de sus tarjetas bancarias para realizar transacciones en el portal de comercio electrónico.

Prevención inteligente de la mano de drones

Alina Adán

El uso de drones tiene aproximadamente dos años en el mercado del sector de construcción en México

Estos dispositivos permiten obtener datos en puntos de difícil acceso

Además de los usos de entretenimiento, como la captura de fotografía y grabación de video, los drones están siendo utilizados para actividades de industria más específicas.

Un ejemplo de lo anterior es Zurich, compañía aseguradora que en México tiene una nueva campaña llamada “Prevención inteligente” con el objetivo de concientizar a la población sobre los riesgos más frecuentes y cómo, con pequeñas acciones, es posible mantenerse seguro.
Como parte de dicha campaña, están implementando el uso de drones para la prevención de riesgos. Al respecto Nicholas Deakin, director de Ingeniería de Riesgos en Zurich México, dijo: “empezamos a pensar en el uso de drones hace como cinco años. Era una tecnología muy interesante para nosotros porque nos permitía dar otra perspectiva a nuestros asegurados.”

La compañía utiliza drones para obtener información en puntos de difícil acceso y, de esta manera, no poner en riesgo a sus ingenieros.

Además la aseguradora, en conjunto con los contratistas, personaliza los drones implementando cámaras topográficas, tomográficas y de alta calidad, lo cual genera un cambio en el peso, tipo de vuelo y batería, entre otros detalles.
El uso de estos dispositivos, explica Deakin, está pensado para los sectores de construcción, infraestructura, carreteras, hidrocarburos, hidráulicos, edificios y plantas industriales. Sin embargo, mencionó que se encuentran en la búsqueda de nuevas opciones para ampliar el servicio a otras líneas de negocio.

Sobre el impacto del proyecto en el país, señaló: “ha tenido una gran aceptación, tanto con los agentes, que pueden ofrecer el servicio a sus asegurados como valor agregado; como con las constructoras, que pueden ver en un reporte digital el vuelo ya editado con cada punto de riesgo e interés señalados por los expertos”.

Aseguró, además, que el proyecto cuenta con pilotos certificados y equipos registrados ante la Secretaría de Comunicaciones y Transportes, a pesar de que, cuando empezaron a operar, no existía un reglamento en el país, por lo que se basaron en la legislación de Estados Unidos, “la más estricta a nivel mundial”, afirmó.

Por último, Deakin explicó que, para brindar el servicio, la compañía cuenta con equipos
integrados por un experto en vuelo que proporciona el contratista y un ingeniero experto en construcción de Zurich.

[hr]

Tema: Ciberseguridad

Subtema:

 

Arriesga gobierno su ciberseguridad

NTR Guadalajara

Darío Pereira

9 de noviembre de 2018

Informativo

 

El posicionamiento de Jalisco como capital de la innovación tecnológica ha sido una de las principales apuestas de la administración que está por concluir; pero, paradójicamente, los sistemas de información del gobierno estatal cuentan con deficiencias en sus procesos de seguridad que pueden suponer riesgos de índole financiera o, incluso, afectaciones a las infraestructuras críticas de la entidad.

Como parte de la fiscalización de la Cuenta Pública 2017, la Auditoría Superior de la Federación (ASF) aplicó al gobierno de Jalisco una auditoría a las tecnologías de la información y comunicaciones (TIC). Además de verificar la correcta ejecución de una parte del gasto destinado a este rubro, el ejercicio incluyó una revisión de las acciones emprendidas en ámbitos como “gobierno y administración de las TIC, gestión de la seguridad de la información y continuidad de las operaciones”.

A pesar de que, entre 2013 y 2017, el gobierno estatal invirtió más de 2 mil 99 millones de pesos en el ámbito de las TIC, los resultados del análisis fueron negativos.

El ejercicio se realizó, específicamente, a la Secretaría de Planeación, Administración y Finanzas (Sepaf), a la que se encuentra adscrita la Dirección General de Innovación y Gobierno Digital (DGIGD), unidad que tiene entre sus funciones el planear y coordinar políticas y disposiciones en materia de gobierno digital, realizar la dictaminación técnica para los contratos relacionados con las tecnologías de la información de las dependencias estatales, o generar los manuales administrativos sobre el tema.

En el informe de la ASF se recoge, entre muchas otras deficiencias, que el gobierno estatal no cuenta con un registro de incidentes de seguridad de la información ocurridos en sus sistemas ni se tiene una relación de las pruebas de hackeo ético realizadas por la propia administración; que se carece de una bitácora de las actividades ejecutadas sobre las bases de datos que permita monitorear movimientos o extracciones no autorizados; que en el procesamiento de transacciones financieras y en la elaboración de los reportes respectivos no se aplica una segregación de funciones que posibilite, a través de las TIC, la detección de eventuales fraudes, errores e irregularidades; que no se cuenta con una metodología para la administración de riesgos de TIC, y que no se pudo acreditar la existencia de mecanismos que garanticen la protección de las infraestructuras críticas.

PAGAN SERVICIOS SIN RECIBIRLOS

Para verificar la correcta gestión financiera en la materia y a manera de muestra, la ASF auditó el gasto de más de 31 millones 440 mil pesos derivado de dos contratos de prestación de servicios celebrados entre la Sepaf y empresas proveedoras.

Uno de ellos, el 503/17, relativo a la adquisición de una póliza de mantenimiento a equipo de cómputo de la dependencia, y el segundo (417/17) por la contratación de “servicios profesionales para la adecuación del motor contable”.

Sobre este último, la ASF expuso que “se carece de la documentación que acredite que las mejoras al motor contable del Sistema Integral de Información Financiera (SIIF) hayan sido implementadas por el prestador de servicios (…) No se comprobó por parte de la DGIGD que hayan validado que el personal del proveedor contara con el perfil requerido para el desempeño de sus funciones y no fue posible verificar que éstos hayan estado físicamente en las instalaciones de la Dirección de Tecnología Financiera (DTF)”.

A pesar de ello, la dependencia realizó pagos a la empresa proveedora (MF de Occidente SA de CV) por un monto de 18 millones 990 mil pesos, mismo que la ASF calificó como “recuperaciones probables”, toda vez que, si las observaciones emitidas no se solventan de forma adecuada, el recurso tendrá que ser reintegrado al erario.

En el contrato en cuestión se especifica que la elección del proveedor se dio a través de la licitación pública local 74/2017 resuelta por el Comité de Adquisiciones de la Administración Pública Centralizada del Poder Ejecutivo del Estado y que el pago correspondiente sería solventado con recursos estatales.

Como resultado general de la auditoría, la ASF dictaminó la emisión de cinco observaciones, 14 recomendaciones y una promoción de responsabilidad administrativa sancionatoria.

Este medio solicitó a la oficina de comunicación de la Sepaf información respecto a si los señalamientos hechos por el ente auditor fueron o no solventados; sin embargo, al cierre de esta edición no se había recibido una respuesta.

FALLA. El Poder Ejecutivo no cuenta con datos de incidentes de seguridad ocurridos en sus sistemas.

OBJETIVOS LEJANOS

Los hallazgos de la ASF sobre las vulnerabilidades existentes en los sistemas de información de la administración estatal denotan que Jalisco se encuentra lejos de alcanzar algunos de los objetivos planteados en la Estrategia Nacional de Ciberseguridad (Ensg), una especie de ruta crítica mediante la que se aspira a fortalecer las acciones en la materia aplicables a los ámbitos social, económico y político.

La efectiva protección de las infraestructuras críticas de la información (definidas por la Ensg como las redes, servicios, equipos e instalaciones considerados estratégicos por estar relacionadas con la provisión de bienes y la prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer ​la ​seguridad ​nacional), punto en el que la ASF encontró deficiencias en Jalisco, es uno de los ejes primarios del proyecto.

Si bien su implementación no se concretó durante la administración federal saliente y probablemente quedará reducida a una serie de recomendaciones que se entregarán al próximo gobierno, en el documento se estipula la necesidad de que las instituciones públicas federales y estatales mejoren sus esquemas de seguridad ante el incremento sostenido de ataques informáticos sofisticados.

Prueba de ello es que, según se desprende del reporte Tendencias de seguridad en América Latina y el Caribe, publicado por la Organización de los Estados Americanos (OEA), los ciberdelitos ocurridos en México durante 2013 supusieron un impacto económico de alrededor de 3 mil millones de dólares, posicionándose como la segunda nación más afectada de la región, únicamente por detrás de Brasil.

¿Qué observó la ASF?

El pago de casi 19 millones de pesos por concepto de prestación de “servicios profesionales para la adecuación del motor contable” sin que se haya podido verificar que el proveedor realizó dicha acción

Deficiencias en la supervisión de contratos y falta de documentación

Inexistencia de una metodología para la administración de riesgos de TIC

Falta de evidencia sobre la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) y de mecanismos que garanticen la protección de las infraestructuras críticas

Carencia de definición del Plan de Continuidad de Negocio (BCP), el Análisis de Impacto al Negocio (BIA) y el Plan de Recuperación en caso de Desastres (DRP)

 

etius

noviembre 9, 2018

0 Comments

Contenido relacionado

Vinculación

Vinculación Tienes ideas para un torrente de iniciativas:  eventos, intervenciones, actividades. Incitas a la gente a pensar y debatir. Colaborar con otros estudiantes creativos y con productores e investigadores profesionales te motiva. El PAP ETIUS Comunicación y...

Producción

Habilidad: Producción Tienes ideas flamantes. Eres ágil produciendo contenido original y quieres un trabajo creativo, pero con fondo y complejidad. En el PAP ETIUS Comunicación y cultura puedes desarrollar esta habilidad, además de participar en debates de temas...

Investigación

Habilidad: Investigación Tienes la semillita de analizar todo, estás al pendiente de los temas recientes e identificar fake news como si hicieras fotosíntesis. En ETIUS Comunicación y Cultura hay un lugar para que desarrolles y compartas esta habilidad además de...