Conecta con nosotros

A Fondo

Principales tendencias de TI en 2018 en ciberseguridad

Publicado el

incidentes de ciberseguridad

Matthew Gyde, ejecutivo de Ciberseguridad del Grupo Dimension Data, comparte su opinión sobre las principales tendencias de ciberseguridad para 2018.

Tendencia 1: reaparece la seguridad de “confianza cero”

En 2018, se espera que nos podamos encontrar con un importante contratiempo en la industria de la ciberseguridad. Las organizaciones gastan millones —y, en algunos casos, cientos de millones de dólares— en tecnologías dirigidas a reafirmar su posición en materia de ciberseguridad. Pero de nada les sirve, ya que los ataques son cada vez más sofisticados. Los ciberdelincuentes disponen de los mismos fondos, si no más, para invertir en el desarrollo de nuevos ataques que las empresas que constituyen su objetivo tienen para gastar en defensa.

Como resultado, el próximo año, seremos testigos de la reaparición del modelo de seguridad de “confianza cero”. Con este enfoque, el equipo de TI adopta una mentalidad de «no confiamos en nadie» y, únicamente mediante el permiso explícito a los usuarios de acceso a los sistemas, puede establecerse la confianza.

Hace una década, el enfoque de «confianza cero» implicaba que el equipo de TI simplemente prohibía a las personas el uso de aplicaciones y dispositivos publicados no corporativos. No obstante, el modelo de «confianza cero» más actual se ajustará a las preferencias personales de los usuarios, aunque esto supone que se implementarán medidas de autenticación más estrictas que requerirán que los usuarios verifiquen su identidad a través de varios niveles de credenciales. Los sistemas empresariales autenticarán rigurosamente si los usuarios tienen realmente derecho a acceder a conjuntos de datos específicos antes de ponerlos a su disposición.

Algunas personas podrían cuestionar si el enfoque de «confianza cero» dará lugar a obstáculos y retrasos en la realización de las tareas. La respuesta es no: si ejecuta un sistema basado en la nube, el proceso de autenticación y verificación será casi instantáneo, por lo que no se verá afectada la productividad del personal.

Tendencia 2: las tecnologías de defensa se convierten en los facilitadores de seguridad del Internet de las Cosas y de la tecnología de operaciones

Vemos con mayor frecuencia cómo la tecnología de operaciones (OT, por sus siglas en inglés) permite el Internet de las Cosas (IoT, por sus siglas en inglés) en sectores como, por ejemplo, la automoción y la fabricación. Los beneficios resultan muy atractivos: las organizaciones pueden supervisar atentamente el estado de sus equipos, lo que da lugar a una mayor productividad, una mejor seguridad, un ahorro de costes y la capacidad para llevar a cabo un mantenimiento preventivo.

Sin embargo, esto también viene acompañado de un elemento de riesgo, puesto que los sensores incorporados a los dispositivos de OT están permitiendo una nueva forma de ciberataque. Durante el último año, el sector ha estado buscando formas de defenderse contra estos ataques, pero no es una tarea sencilla: la mayoría de los fabricantes no contempla la seguridad en la fase de desarrollo de sus productos. Además, los sensores suelen ser dispositivos ligeros con una capacidad de almacenamiento mínima que hace que resulte inviable insertar chips de encriptación.

En 2018, preveo que las tecnologías de engaño desempeñarán un papel significativo en garantizar que se mantenga la seguridad en la arquitectura del sistema de control de supervisión y adquisición de datos (SCADA, por sus siglas en inglés), así como en las tecnologías operativas y en una infraestructura de IoT más amplia.

Muchos ciberataques se inician cuando los ciberdelincuentes penetran con éxito el cortafuegos perimetral de la organización. Una vez que han accedido a la red, empiezan a moverse lateralmente, buscando identidades de usuarios que les permitirán asumir el control de diferentes dispositivos. A menudo, estos ciberdelincuentes pasan desapercibidos durante meses mientras roban datos confidenciales y propiedad intelectual.

Las tecnologías de engaño introducen miles de credenciales falsas en la red de una organización, lo que hace que sea matemáticamente imposible que los ciberdelincuentes puedan obtener acceso a un conjunto legítimo de identidades de usuarios. Además, una vez que un ciberdelincuente ha utilizado una credencial falsa generada por las tecnologías de engaño, el equipo de operaciones de seguridad recibirá una alerta de que un usuario no autorizado está merodeando por la red, por lo que pueden iniciar de inmediato una respuesta ante incidentes.

Las tecnologías de engaño también permiten a las organizaciones determinar de forma exacta cómo los ciberdelincuentes han obtenido acceso a la red y analizar su posterior patrón de ataque.

Tendencia 3: el análisis de la conducta y la inteligencia artificial requieren una revisión de la identidad

El año pasado, presenciamos cómo un mayor número de organizaciones aprovechaban la potencia de la inteligencia artificial y del aprendizaje automático para reforzar su defensa en materia de ciberseguridad. Sin embargo, hasta el momento, se siguen enfrentando a limitaciones: el programador automático debe seguir incorporando algoritmos en el equipo que le indiquen los tipos de actividades maliciosas o software malintencionado que debe buscar.

Gracias a una técnica denominada “aprendizaje profundo”, veremos materializarse un cambio en 2018.

El aprendizaje profundo permite que, en lugar de proporcionar los algoritmos al equipo, este los aprenda por sí mismo. El potencial de esta tecnología quedó demostrado recientemente cuando Google tomó la decisión de desactivar su conjunto de herramientas de aprendizaje automático, ya que, a través del aprendizaje profundo, los equipos se instruían a sí mismos de forma autodidacta hasta el punto de empezar a crear un nuevo lenguaje que los desarrolladores de sistemas no lograban entender.

En los próximos 12 meses, veremos cómo el aprendizaje profundo nos permite llevar el análisis de la conducta a un nuevo nivel. Los equipos empezarán a realizar análisis muy exhaustivos de las actividades de los usuarios: por ejemplo, podrán detectar que, todas las mañanas, inicio sesión en la red en un determinado momento, compruebo el correo electrónico y, a continuación, accedo a un sitio web concreto para leer las noticias. Después, normalmente, inicio algunas sesiones de FaceTime con miembros de mi equipo, y así sucesivamente.

Al analizar mi comportamiento durante un período de tiempo, los equipos podrán predecir si la persona que intenta acceder a mis datos o aplicaciones soy realmente yo.

Esta solución proporciona a las organizaciones un nivel adicional de defensa más allá de los métodos de autenticación estándar.

En 2018, espero ver cómo un mayor número de proveedores de seguridad empiezan a integrar la inteligencia artificial en sus productos para mejorar su capacidad de detección de ciberamenazas de esta forma.

Tendencia 4: los “cazadores de robots” son la nueva norma

La mayoría de los expertos en ciberseguridad coincide en que es fundamental disponer de acceso a la inteligencia de amenazas sobre los últimos tipos de ataques y tácticas. No obstante, la inteligencia por sí sola no resulta suficiente, y las organizaciones deben «derribar al enemigo» de forma proactiva.

En 2018, empezaremos a ver en la empresa los equipos que mi colega Mark Thomas, estratega del Grupo de Ciberseguridad de Dimension Data, ha denominado cazadores de robots”.

Fundamentalmente, los “cazadores de robots” son buscadores de amenazas automatizados que pueden tomar decisiones en nombre de los seres humanos. Accionados por la inteligencia artificial, examinan continuamente el entorno de una organización para buscar cualquier cambio que pueda indicar una potencial amenaza.

Aprenden de los descubrimientos que realizan y, a continuación, toman las medidas adecuadas como, por ejemplo, aislar un paquete defectuoso o un dispositivo comprometido.

Creo que el aumento de los “cazadores de robots” permitirá que aumenten las empresas que pasen de una posición en materia de seguridad proactiva a una postura predictiva. Muchos de nuestros clientes han invertido en funciones y personal de búsqueda de amenazas, y Dimension Data ya ofrece esta tecnología como uno de sus servicios. Las organizaciones que encabezan estos esfuerzos empiezan a analizar formas de automatizar los ciclos de “caza de amenazas” y están llevando a cabo análisis retrospectivos para identificar patrones en ataques pasados.

Tendencia 5: la tecnología de cadena de bloques es el factor transformador

Las oportunidades y las aplicaciones de la tecnología de cadena de bloques en el mundo de la ciberseguridad están solo emergiendo.

La cadena de bloques permite la creación y la distribución de un libro de contabilidad digital de transacciones entre los participantes a través de una red de ordenadores distribuida. El sistema tiene un alto grado de accesibilidad y transparencia para todos los participantes, ya que todas las transacciones son visibles públicamente.

Esto significa que las empresas pueden convertir la cadena de bloques en «visible a nivel corporativo» en su organización para poder ver todas las transacciones que tienen lugar entre dos personas, dos datos o dos equipos, lo que permite que las empresas creen un historial exhaustivo de todas las transacciones que se producen. Creo que esto tiene enormes posibilidades de permitir que las organizaciones impulsen su defensa en las áreas de la identidad y autenticación de usuarios, así como en la gestión del acceso.

Por ejemplo, cuando un empleado de larga duración intente acceder a un sistema corporativo específico, la tecnología de cadena de bloques reconocerá que ha iniciado sesión con anterioridad y considerará que es fiable, otorgándole así el acceso solicitado.

Sin embargo, si el Departamento de Marketing incorpora a un nuevo contratista para ayudarle con un proyecto, la primera vez que esta persona intente iniciar sesión en la red, el sistema contable de cadena de bloques detectará que nunca ha interactuado previamente con el usuario ni con su dispositivo. La cadena de bloques también sabrá si un usuario existente intenta acceder a un archivo o a un conjunto de datos en particular a los que no ha accedido con anterioridad, o si intenta iniciar sesión en la red desde una ubicación desconocida.

 

Periodista especializada en tecnologías corporate, encargada de las entrevistas en profundidad y los reportajes de investigación en MuyComputerPRO. En el ámbito del marketing digital, gestiono y ejecuto las campañas de leads generation y gestión de eventos.

Top 5 cupones

A Fondo

La tarjeta con chip cumple medio siglo

Publicado el

tarjeta

Un mes de septiembre del año 1968, los ingenieros alemanes Helmut Groettrup y Juergen Dethloff, presentaron la primera patente de un circuito de identificación, y G+D desarrollaría posteriormente las tres primeras aplicaciones basadas en esta tecnología. Todo esto, 50 años después, ha desembocado en el actual entorno de tarjetas con chip, usadas por 1.000 millones de usuarios diariamente en todo el mundo y por operadores de telecomunicaciones, fabricantes de coches, de dispositivos móviles, empresas comerciales y organismos de transporte o salud.

Coincidiendo con este aniversario, la oficina de patentes alemana ha equiparado a las tarjetas con chip con otros hitos de la tecnología como el motor diésel, el frigorífico, el tubo de rayos X o el formato de archivo MP3. Según este organismo, sin esta tecnología no hubiera sido posible construir el mundo que hoy conocemos plenamente conectado y serían imposibles realizar procesos de pago globales, seguros y sin efectivo, por no hablar de los avances en seguridad que han permitido en smartphones, wearables y dispositivos IoT.

Breve historia

La capacidad actual de almacenar datos bancarios y de identidad digital en solo unos pocos milímetros cuadrados es gracias al trabajo de Juergen Dethloff (1924-2002) y Helmut Groettrup (1916-1981). Estos ingenieros alemanes presentaron el 13 de septiembre de 1968 la primera patente del circuito de identificación. Su primer objetivo era el de recibir información y dotarla de un significado específico a través de un sistema de asignación especial con puntos de transmisión y recepción.

Un año después de la presentación de la primera patente, Dethloff y Groettrup presentaron en Alemania un desarrollo que permitía la transmisión inalámbrica por medio de acoplamiento inductivo (es decir, tecnología RFID o NFC). Esta segunda versión eliminó las limitaciones de la tarjeta de banda magnética en términos de baja confiabilidad y falta de protección contra el fraude.

Dethloff llevó la tecnología aún más lejos en una nueva solicitud de patente introduciendo microprocesadores y EEPROM (ROM programable y borrable) para hacer que el manejo de datos fuera más seguro y flexible. Tras ello, G+D entró en este sector comprando la patente y desarrollando tres aplicaciones a partir de esta tecnología.

Con estas aplicaciones fue posible desarrollar la inicialización segura a través de ubicaciones autorizadas en la producción de tarjetas, y también se definieron las propiedades de escritura basadas en la memoria de lectura, el uso de una bomba de carga para evitar manipulaciones durante el proceso de escritura, y el bloqueo o destrucción de la información en caso de un ataque. Todas estas aplicaciones siguen vigentes hoy en día, ya que se han convertido en aspectos clave de la seguridad y la adaptabilidad de la tarjeta con chip.

Según David González, director de ventas de G+D Mobile Security para Europa y el Norte de África, “las tarjetas con chip son indispensables en nuestra vida cotidiana. Las usamos a diario en cajeros automáticos, cuando compramos, cuando vamos al médico, en el transporte público, en las tarjetas de identidad electrónicas, en teléfonos móviles, para acceder a edificios y equipos informáticos, y cada vez con más frecuencia en los dispositivos IoT. No solo eso, –termina diciendo González–, también han fortalecido un uso seguro y flexible de la conectividad móvil, mayores niveles de seguridad para tarjetas de identidad y pasaportes y, en última instancia, la protección de nuestras identidades digitales. Sin el desarrollo de la tarjeta con chip y sus diversas aplicaciones impulsadas por G+D, el mundo de hoy en día no sería concebible”.

Continuar leyendo

A Fondo

Apple completa el pago de impuestos atrasados a la UE

Publicado el

Apple

Apple ha pagado a Irlanda la totalidad de impuestos atrasados exigidos por la Unión Europea y que ascienden a 14.300 millones de euros, intereses incluidos.

El anuncio ha llegado de la mano de la Comisaria europea de Competencia, Margrethe Vestager, tras la confirmación (se rumoreaba en los últimos días) del Ministro de finanzas irlandés. Vestager ha anunciado también una propuesta para que la Comisión Europea retire la demanda contra Irlanda por ayudas ilegales a Apple.

Aunque la firma de Cupertino haya abonado los impuestos e intereses exigidos, el dinero seguirá cerrado en una cuenta administrada por un fondo fiduciario a la espera de la resolución definitiva de la alta justicia europea a la apelación de Irlanda.

De hecho, el ministro irlandés asegura que su gobierno sigue sin aceptar el dictamen de la Comisión Europea, si bien la “recuperación completa” de la deuda de Apple “demuestra que la intención del Gobierno es siempre cumplir con sus obligaciones legales”“Como miembros comprometidos de la Unión Europea, siempre hemos confirmado que recuperaríamos las supuestas ayudas estatales”, ha asegurado.

Irlanda: un paraíso fiscal para Apple

Hace tiempo que la Comisión Europea considera que Apple (y otras grandes tecnológicas) practican sofisticadas operaciones financieras y fiscales para pagar el menor número de impuestos en Europa.

Una “ingeniería fiscal” que aprovecha resquicios legales de los estados miembros (e intereses puntuales de algunos de ellos como Irlanda), filiales varias y transferencias de facturación a centrales establecidas en determinadas países que les permiten pagar tasas impositivas muy por debajo de la media del Viejo Continente y del resto de empresas no digitales.

El mayor ejemplo es Apple e Irlanda, un país que de facto actúa como un paraíso fiscal dentro de la UE, permitiendo que el gigante de Cupertino pague un impuesto de sociedades (1-2%) muy por debajo de la media de la UE y del que pagan otras compañías, en lo que se considera contrario a los intereses del resto de estados en los que opera la compañía.

Irlanda ha reducido artificialmente la factura fiscal de Apple y queremos enviar un mensaje claro: los Estados no pueden dar ventajas fiscales a las empresas, da igual que sean grandes o pequeñas, extranjeras o europeas”, explicó la comisaria Vestager, cuando anunció el dictamen contra Apple e Irlanda.

Apple se ha defendido argumentando que se ha ajustado siempre a la legalidad vigente en cada estado. Y es cierto. El problema es que el nivel de impuestos irlandés es una ayuda estatal ilegal según el dictamen de la Comisión Europea. Starbucks, BASF y Fiat-Chrysler, son otras multinacionales que se han visto obligadas a abonar lo que habían dejado de pagar con efectos retroactivos por el mismo motivo.

Apple en España

También los gobiernos europeos consideran que hay “grandes empresas que no pagan suficiente en los estados donde realizan un importante volumen de negocio” y están estudiando impuestos especiales para las tecnológicas.

El caso de Apple en España es ilustrativo. La mayor compañía mundial por capitalización de mercado y una de las que mayores beneficios obtienen respecto a sus ingresos, pagó a la Hacienda española solo 7,5 millones de impuestos entre 2010 y 2014. Apple Retail Spain registró en 2012 pérdidas de 22 millones de euros, cuando las tiendas físicas de Apple son (atendiendo a su superficie) las más rentables del mundo.

Todo ello es posible por el mismo artificio: Apple declara la práctica totalidad de los beneficios obtenidos en la Unión Europea en Irlanda.

Continuar leyendo

A Fondo

Las empresas que más ayudan a pymes y autónomos españoles

Publicado el

La consultora Advice Strategic Consultants, de la que es socio director general nuestro colaborador, Jorge Díaz-Cardiel, ha llegado a la conclusión de que la Fundación Bancaria La Caixa, El Corte Inglés, Telefónica, Inditex y CaixaBank son las cinco primeras grandes empresas que, según las pymes y autónomos españoles, “más les ayudan” en el desempeño de su labor empresarial.

Se trata de unos resultados basados en las encuestas realizadas a pymes, microempresas y autónomos de varios sectores, así como entrevistas a líderes de opinión de nuestro país para contrastar opiniones. Según la consultora,  la coincidencia entre los dos públicos entrevistados es casi del 99%, mientras que el Índice de confianza estadística es el 98,2%.

Así, el primer dato destacable es que Fundación Bancaria La Caixa, seguida por El Corte Inglés, Telefónica, Inditex y CaixaBank son las empresas que las pymes y autónomos españoles más y mejor valoran, porque les ayudan en el desempeño de su labor empresarial. Les siguen líderes sectoriales: Danone, Calidad Pascual, HP, Apple, Sage Spain, Microsoft, Meliá Hotels International, Iberostar, Seat, Naturgy (antes, Gas Natural Fenosa), Iberia, Abertis, Pelayo, Mapfre, Cellnex Telecom y MSD.

En cada sector hay no menos de una docena de empresas que destacan, en ámbitos que aportan mucho al PIB, sea el turismo, con un 11%, o las TIC, con un 8,4%, por ejemplo”, indicó Díaz Cardiel. En total, las pymes y autónomos entrevistados han analizado 400 grandes empresas en un período de encuestación de tres meses.

Son sectores y empresas sistémicos para la economía y sociedad españolas. “El caso más emblemático es La Fundación Bancaria La Caixa, presidida por Isidre Fainé y más conocida como La Caixa”, añade Díaz Cardiel. De CaixaBank dependen las participaciones en Telefónica (5%) y Repsol (9,5%), aunque Criteria Caixa también posee un 1% de Telefónica, siendo La Caixa, por tanto, el primer accionista de la operadora.

Razones de valoración positiva de las grandes empresas

Preguntados los entrevistados por qué CaixaBank, un banco, seguido de Santander (con Popular, que aportó muchos clientes pymes y autónomos al banco cántabro), BBVA y Bankinter son tan importantes para ellos, la respuesta fue clara: “el acceso a la financiación bancaria, que en el caso de las pymes españolas alcanza el 88 por ciento versus el 50 por ciento de Alemania y el 30 por ciento en Estados Unidos. Durante los años de crisis, la principal preocupación de pymes y autónomos fue la sequía del crédito empresarial, abierto a empresas solventes entre 2014 y 2018, lo que ha facilitado la inversión empresarial”, explica Jorge Díaz Cardiel.

Telefónica, seguida por los otros operadores de telecomunicaciones, es importante para las pymes porque les hace llegar la fibra óptica, acceso a Internet, convergencia, contenidos, cloud, big data e inteligencia artificial. Contenidos, mediante su alianza con Netflix y cloud, gracias a su acuerdo con Amazon Web Services (AWS). Vodafone, Orange y Más Móvil siguen el mismo camino, “imitando al incumbente y líder del mercado”.

Pymes y autónomos han destacado el crecimiento de Telefónica, en un extremo, por la oferta y la calidad y de Más Móvil, en el otro extremo, porque ofrece precios bajos. Al mismo tiempo, señalan que “Vodafone baja y Orange sube”.

El Corte Inglés y la economía y la sociedad españolas están indisolublemente unidas, dicen pymes y autónomos, que dicen conocer bien El Corte Inglés en un 99%. “El Corte Inglés provee de todo -productos, servicios-, ofrece calidad de servicio, buena atención al cliente y, cada vez más, comercio electrónico para comprar online”. Otros grandes de la distribución, le siguen, como Inditex y Mercadona, entre otros. En Tecnologías de la Información, HP (hardware) y Sage Spain y Microsoft (software).

“La hostelería tiene campeones nacionales, Melia Hotels International, primero, e Iberostar Group, segundo. La expansión internacional de Meliá está ayudando a muchas pymes a seguir al líder hotelero, efecto de arrastre, que también se aprecia en Inditex o, en el caso de CaixaBank, líder del mercado ibérico, de expansión de nuestras pymes al país vecino, Portugal”. La automoción está dominada por Seat, empresa que tiene, como el resto de su sector en menor medida, una industria auxiliar (muy fuerte) del automóvil, compuesta de pymes, pero muy dependientes de los planes de las grandes empresas automovilísticas, cada vez menos españolas y más foráneas, por “lo que las decisiones se toman fuera de España, lo que preocupa a pymes y autónomos en automoción”.

En Energía, lidera Naturgy (antes denominada Gas Natural Fenosa), seguida por Iberdrola; en Aerolíneas, Iberia; en Seguros, Pelayo, primero, y Mapfre, después; en Gestión de Infraestructuras inalámbricas, Cellnex Telecom, “el mejor valor en bolsa (Ibex-35, en 2017 y 2018), con revalorización del 62%”.

Parámetros

Lo que más valoran las pymes y autónomos de las grandes empresas:

  • Que se les provea de contratos, carga de trabajo (98%)
  • Ayuda en la generación de Empleo (95%)
  • Facilidad de acceso a la Financiación bancaria (90%)
  • Mejoras en la gestión (84%)
  • Mejoras en sus procesos internos y de relación con clientes (76%)
  • Formación, especialmente importante en Telecomunicaciones, TIC y servicios financieros (75%)
  • Digitalización, transformación digital, (70%) que se traducen en más productividad y más competitividad.
  • Internacionalización, salida al exterior, exportar (69%)

Continuar leyendo

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!