Archives junio 2024

La norma ISO 27001:2022 es un estándar internacional para la gestión de la seguridad de la información, que proporciona un marco para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Su aplicación en el sector público es crucial para proteger la información sensible y garantizar la confianza de los ciudadanos en las instituciones gubernamentales. 

Comprender la Norma ISO 27001:2022

Antes de implementar la norma, es esencial comprender sus requisitos y principios. La ISO 27001:2022 se centra en la protección de la confidencialidad, integridad y disponibilidad de la información mediante un enfoque de gestión de riesgos. Los principales componentes de la norma incluyen:

• Política de seguridad de la información
• Gestión de riesgos
• Control de acceso
• Gestión de incidentes
• Auditorías internas
• Mejora continua

Compromiso de la Alta Dirección

El compromiso de la alta dirección es fundamental para el éxito de la implementación de la norma. Los líderes deben demostrar su apoyo mediante la asignación de recursos, la definición de roles y responsabilidades, y la promoción de una cultura de seguridad de la información.

Evaluación Inicial y Análisis de Brechas

Realizar una evaluación inicial para identificar el estado actual de la seguridad de la información en la organización es esencial. Un análisis de brechas ayudará a comparar las prácticas actuales con los requisitos de la ISO 27001:2022 y determinar las áreas que necesitan mejoras.

Establecimiento del Alcance del SGSI

Definir el alcance del SGSI es un paso crítico. En el sector público, esto puede implicar determinar qué departamentos, sistemas y procesos estarán cubiertos por el SGSI. Es importante considerar la información sensible y crítica para la misión de la organización.

Evaluación y Gestión de Riesgos

La gestión de riesgos es el núcleo de la ISO 27001:2022. Identificar, evaluar y tratar los riesgos asociados con la información y los activos es crucial. Esto incluye la creación de un inventario de activos, la identificación de amenazas y vulnerabilidades, y la implementación de controles adecuados para mitigar los riesgos.

Desarrollo de Políticas y Procedimientos

Elaborar políticas y procedimientos específicos para la gestión de la seguridad de la información. Estos documentos deben alinearse con los requisitos de la norma y adaptarse a las necesidades y contexto del sector público. Entre los documentos clave se incluyen:

• Política de seguridad de la información
• Política de gestión de riesgos
• Procedimientos de respuesta a incidentes
• Política de control de acceso

Capacitación y Concienciación

Capacitar al personal es esencial para asegurar que todos comprendan sus roles y responsabilidades en relación con la seguridad de la información. Programas de concienciación continua ayudarán a mantener una cultura de seguridad robusta.

Implementación de Controles

Implementar los controles necesarios para mitigar los riesgos identificados. Estos controles pueden ser de naturaleza técnica, administrativa o física. En el sector público, esto podría incluir el cifrado de datos, la gestión de accesos y la seguridad física de las instalaciones.

Monitoreo y Revisión Continua

El monitoreo y la revisión continua son fundamentales para mantener la eficacia del SGSI. Esto incluye realizar auditorías internas periódicas, monitorear los incidentes de seguridad y revisar los controles para asegurar su adecuación.

Auditoría Externa y Certificación

Finalmente, someter el SGSI a una auditoría externa por parte de una entidad certificadora acreditada es el último paso para obtener la certificación ISO 27001:2022. Esta certificación demostrará el compromiso de la organización con la seguridad de la información y la conformidad con los estándares internacionales.

La implementación de la ISO 27001:2022 en el sector público es un proceso estratégico que requiere el compromiso de toda la organización. Proteger la información sensible y garantizar la confianza de los ciudadanos es esencial para el éxito de cualquier entidad gubernamental. Siguiendo estos pasos, las organizaciones del sector público pueden establecer un SGSI eficaz y alineado con los mejores estándares internacionales de seguridad de la información.

Fuente: www.somoslibres.org

Aquí las estrategias principales que los cibercriminales emplean contra los influencers, quienes, debido a su gran número de seguidores y el movimiento de dinero a su alrededor, se han convertido en un objetivo atractivo para estos atacantes.

Ecuador ­– Facebook, YouTube e Instagram se han convertido en plataformas que literalmente catapultaron a ciertas personas al estrellato, otorgándoles el galardón de “Influencers”. Es tal la cantidad de seguidores que cosechan y el dinero que se mueve a su alrededor, que los cibercriminales han enfocado su mira en ellos, poniendo en práctica estrategias y engaños que les permitan sacar su propio rédito económico. ESET, compañía líder en detección proactiva de amenazas, advierte que analiza las tácticas más frecuentes utilizadas por los ciberatacantes para acceder al dinero y de qué manera los influencers pueden estar más protegidos.

El mercado mundial de marketing de influencers, que en el año 2022 fue valuado en 33.200 millones de dólares, seguirá creciendo exponencialmente. De hecho, se espera que para el año 2032 roce los 200 mil millones de dólares. A su vez, según el sitio HubSpot, existen varias categorías de influencers según la cantidad de seguidores y dependiendo de ello (entre otros factores) “un nanoinfluencer gana entre 10 y 100 USD, un micro entre 100 y 500 USD, y un macro entre 5000 y 10.000 USD por publicación”. Estas cifras sirvieron como cebo para que los cibercriminales comiencen a buscar (e implementar) estrategias para sacar un rédito económico.

La ingeniería social es una de las herramientas preferidas de los ciberatacantes para vulnerar a los influencers, que muchas veces no tienen los recursos o los conocimientos con los que habitualmente se protegen las empresas. ESET, comparte algunos de ejemplos de estafas, robos y engaños relacionados:

El falso podcast: Hannah Shaw es popularmente conocida en las redes sociales como la “Dama Gatita”: su pseudónimo se debe a que en sus videos enseña a las personas cuáles son los cuidados adecuados para los gatos recién nacidos. Gracias a sus seguidores (más de un millón), recaudó importantes cifras para ayudar a rescate de estos animales y a refugios. Viendo en la popularidad de Shaw una veta para sacar un rédito económico y gracias a una técnica de ingeniería social, los ciberdelincuentes lograron apoderarse de su cuenta comercial de Meta.

Esto lo lograron simulando ser conductores de un podcast. En la previa y para coordinar los detalles de la entrevista, los actores maliciosos invitaron a la víctima a una llamada de Zoom. Allí, solicitaron a Shaw acceso a la configuración de Facebook Live con la excusa de generar ingresos y ella accedió pensando que era parte normal del proceso. En ese momento, los ciberatacantes tomaron poder de la cuenta en calidad de Administrador, dejando limpia la página para sustituirlos por enlaces falsos que en realidad direccionaban a sitios para generar ingresos fáciles y rápidos con publicidad.

Embajadores pero de la estafa: Los “Finfluencers” son un subgrupo de influencers dedicado especialmente a la industria de las finanzas. En sus cuentas, brindan asesoramiento económico, consejos y tips a su gran cantidad de seguidores con el objetivo de que puedan hacerse ricos rápidamente, inviertan en acciones o criptomoneda y puedan implementar una planificación financiera. En este caso, los cibercriminales (y también valiéndose de la ingeniería social para lograr su cometido), ofrecían una falsa oportunidad laboral para que los finfluencers se conviertan en embajadores de una marca y promocionen los productos de la misma.

Lo cierto es que el objetivo final de los atacantes era hacerse de la información personal y financiera de sus víctimas. Con la excusa de necesitar esos datos para hacer el pago del supuesto trabajo, lo que hacían una vez que obtenían esa información era vaciar sus cuentas bancarias hasta tomar el control de sus redes sociales.

El malware siempre presente: Otros influencers han sido atacados con malware, ya sea por la descarga de algún archivo malicioso o un clic en un enlace también apócrifo. Así, los ciberatacantes pueden tomar el control muy fácilmente de las cuentas y manejarlas. Esto lo logran al publicar contenidos que nada tiene que ver con el que comparte el influencer normalmente, borrando todo el contenido que había disponible, y hasta cambiando el logo y el nombre de las cuentas. También es común que los actores maliciosos pidan sumas exorbitantes de dinero para que la víctima pueda recuperar la potestad de sus redes sociales.

Suplantación de identidad con suspensión incluida: Otra de las técnicas que se conoció en el último tiempo puntualmente en Instagram consiste en que los ciberatacantes duplican la cuenta original del influencer y piden su suspensión. Para ello, o bien adquieren una cuenta verificada, cambian la biografía e imagen de usuario, para luego presentar un informe a aduciendo que en realidad la víctima se está haciendo pasar por él. Otra opción es realizar un “ataque de spam” contra la cuenta, denunciándola, ya sea por mostrar imágenes de desnudez o violar algún derecho de autor. Un aves que el atacante logra que la cuenta sea suspendida, se comunica con la víctima para ofrecerle el desbloqueo de la cuenta siempre y cuando pague cierto monto de dinero

Los seguidores, también en la mira: La suplantación de identidad es otra de las técnicas utilizadas en el ámbito de las redes sociales, pero en este caso las víctimas son los seguidores. Es normal que los influencers lancen sorteos, los cuales generan un alto nivel de interacción. Allí entran en juego los ciberdelincuentes, que crean una cuenta duplicada que se hace pasar por la original, y desde allí contacta a los usuarios informando que han sido ganadores de algún sorteo. El objetivo es acceder a la información personal y financiera de sus víctimas.

Más allá de todas estas estrategias que existen actualmente, los influencers pueden tomar acciones concretas para no ser una víctima más de los engaños de los ciberatacantes. ESET comparte algunas buenas prácticas para tener en cuenta:

• Desconfiar como primera medida, si una oferta laboral o posibilidad comercial parece demasiado bueno para ser verdad, probablemente no lo sea.

• No brindar información personal ni financiera sin tener confirmado que del otro lado existe una posibilidad real y verdadera. Una buena investigación es la mejor aliada, como también el contactar con la empresa para confirmar la oferta.

• No dejar que ninguna persona, empresa o aplicación realice publicaciones en sus redes sociales.

• Utilizar en todas las cuentas contraseñas únicas, robustas, extensas y seguras (con mayúsculas, caracteres especiales y números), y cambiarlas periódicamente.

• Prestar atención y analizar de manera atenta y cuidadosa antes de hacer clic en cualquier enlace que llega de manera inesperada.

• Por último y siempre muy importante, contar con una solución de seguridad que brinde protección integral consumiendo menos recursos.

Fuente: Dep. Comunicación ESET Ecuador

Seguro que todos habéis leído ya acerca de la liberación del código fuente de Winamp, y es que la noticia saltaba a los medios especializados la semana pasada con bastante eco. Qué menos, tratándose de todo un referente de la pretérita computación de consumo de finales del siglo pasado, principios del actual. Las cosas como son, Winamp es todo un icono de aquella época.

Ahora bien, ha llovido mucho desde entonces y la nostalgia no lo puede todo. De hecho, la última versión estable del popular reproductor de música tiene apenas un año desde su lanzamiento, aun cuando su irrelevancia es palmaria, no solo porque el software se ha renovado en este tiempo, en el que Winamp ha pretendido seguir viviendo de los réditos -y de su particular expresión-, sino porque lo los hábitos de consumo han cambiado y mucho.

Como comentaba recientemente a raíz del lanzamiento de Amarok 3, la música se consume a día de hoy -en un amplio margen, al menos- por otras vías y, en consecuencia, este tipo de reproductores no es tan popular como lo fue antaño. ¿Y cómo pretenden reinventarse en Winamp? Entre otros planes, «Winamp abrirá el código del reproductor de Windows, permitiendo que la comunidad participe en su desarrollo«, anunciaba la compañía.

«Esta es una invitación a la colaboración global, para que los desarrolladores de todo el mundo puedan aportar su experiencia, ideas y pasión para ayudar a que este software icónico evolucione», explicaban. Y, dicho así, puede tener su sentido: antes que dejar que el viejo software muera, se abre y que la comunidad haga lo que pueda con él, si es que hay interés ¿no? Pues no… O tal vez sí. No está nada claro, la verdad.

Por un lado, cuando se publicita que «Winamp ha anunciado que abrirá su código fuente para permitir el desarrollo colaborativo de su legendario reproductor para Windows«, se da a entender una cosa que, yendo al detalle, queda bastante desdibujada. ¿Eso de «abrir el código fuente» significa, en efecto, liberar el código fuente? En principio se podría decir que sí, pero sabemos bien por estos lares que no siempre es así.

https://x.com/winamp/status/1791121664689725683?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1791121664689725683%7Ctwgr%5Ed34215fe6fb23b8b1ce2e098ce25948df6d76300%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.muylinux.com%2F2024%2F05%2F22%2Fwinamp-codigo-abierto%2F

Señala el CEO de Winamp que a partir de ahora se enfocarán en el mercado móvil, para lo cual están preparando el lanzamiento de un nuevo reproductor este verano, pero como no quieren olvidarse de las «decenas de millones de usuarios» que todavía usan la aplicación en Windows, han tomado esta decisión. Una decisión que matizan, «Winamp seguirá siendo el propietario del software y decidirá las innovaciones realizadas en la versión oficial«.

Un poco vago todo, porque si liberas el código, no puedes seguir siendo el propietario del software, sino de la marca. Esto es lo único que parece tener sentido: que sigan gestionando Winamp como lo han hecho hasta ahora, mientras que el código fuente se desarrolla con algo de indedpendencia, en este caso, bajo el proyecto FreeLLama, que es como lo han denominado.

Hay quien lo ha entendido de manera muy diferente, eliminando el término código abierto de la ecuación, pero a falta de que, como decía Linus Torvalds, enseñen el código -y la licencia que lo acompaña-, todo son conjeturas derivadas, eso sí, de un mensaje quizás deliberadamente confuso.

¿Y si al final es que sí? Tampoco es que importe mucho, habida cuenta del panorama. Incluso aunque cayese una versión para Linux, tenemos alternativas de sobra y más adecuadas, en mi opinión. Es más: los amantes del «estilo Winamp» tienen en Audacious un mejor aliado. Pero seamos honestos: quién, salvo para rememorar viejos tiempos por un rato, quiere seguir usando algo como Winamp (ojo: que Winamp se remozó, pero aquí hablamos del viejo reproductor).

Fuente: www.muylinux.com