REVISTA DIGITAL ESPECIALIZADA EN CIBERSEGURIDAD www.ciberseguridadmx.com
CIBERSEGURIDAD MX
EN SEGURIDAD INFORMÁTICA, TODOS PONEN Una buena cultura de seguridad informática implica que todos los miembros de la organización deben estar alertas ante cualquier posible amenaza, no sólo el área de TI.
Por José Luis Zurita, Director General de AK Consulting
H
ablar hoy día del tema de seguridad informática es una labor poco sencilla. Día con día, los sistemas cambian y las variaciones de combinaciones posibles sobre situaciones a evaluar son altísimas; la cantidad de información sensible que puede ser robada, alterada o borrada nos ha llevado a ser más cuidadosos en el diseño y prevención de desastres de carácter informático. Al día de hoy, el solo contar con un antivirus no es suficiente, existen más factores que pueden ser puntos de riesgo, los cuales tenemos la obligación de mitigar por el bien de nuestra información. Esta ya no es una tarea del área de Tecnologías de Información (TI) únicamente, es responsabilidad de toda la organización, la falta de responsabilidad de un integrante puede poner en peligro la información de toda la organización. Es por ello que la cultura seguridad informática es tan importante en estos días. Cuando nos referimos a cultura en seguridad informática, lo hacemos en un amplio espectro de recomendaciones, en acciones tan sencillas como ponerle una contraseña a nuestro teléfono celular, hasta no bajar software de dudosa procedencia para amenizar nuestras horas dentro del trabajo. Estas actividades deben de ser
transmitidas a todo el personal, pues así como en tiempos pasados existían los famosos charlatanes que vendían un elixir milagroso, hoy en día los usuarios que navegan por la red, encuentran comentarios positivos y recomendaciones de software gratuito para diversas actividades como bajar música, juegos, películas, por mencionar algunas, sin embargo todas estas aplicaciones son una pantalla para que a tus dispositivos lleguen de manera escondida malware, spyware o incluso en nuevo ransomware, capaz de secuestrar su información a cambio de dinero. Como es posible apreciar, ante tanta desinformación que los empleados pueden consumir con sus dispositivos personales, mismos que usan para acceder a información corporativa, es imperativo que las medidas de seguridad y protección de información implantadas por el área de TI sean tan robustas para poder garantizar la consistencia, y la privacidad de la misma, considerando que la información no solo es alojada en los servidores, dichas políticas de seguridad deben de abarcar todos los posibles medios de almacenamiento y consulta de información corporativa. En definitiva, el área de tecnología no debe de quedarse atrás y debe de poner mucha atención a temas como la seguridad externa, que es aquella que tiene que ver con todo lo que rodea a nuestro núcleo informático, donde entran los servicios
1 ■ www.ciberseguridadmx.com
de firewall, seguridad perimetral, entre otros. Es importante hacer notar que en estos temas deben de ser atendidos y renovados periódicamente, ya que uno de los grandes errores de las empresas que manejan información digital es pensar que estos servicios o sistemas no requieren de un mantenimiento constante, y frecuentemente se considera que si se cuenta con un equipo ya configurado, éste no precisa de más atención. El mayor riesgo informático que se puede correr es pensar que uno ya cuenta con todas las acciones necesarias y que no requiere supervisar nuevamente estas actividades, dejándolas en el olvido o en un simple “mañana lo veo” que pueda afectar las operaciones o comprometer la operación o información de la empresa en la que laboramos. Acercarse a expertos, o formar parte de comités o asociaciones relacionadas con estos temas, pueden ser de gran ayuda para esclarecer las dudas que se puedan tener en los temas de riesgos informáticos, sobre todo el escuchar las opiniones y vivencias de otros usuarios o encargados de la seguridad en corporaciones que son blancos preferidos de los ciber ataques. Recordando que las comunidades de expertos o de usuarios son las que llevan la pauta y las mejores prácticas en el mercado en cuanto a seguridad se refiere.■
CIBERSEGURIDAD MX
CÓMO CREAR EXPERIENCIAS CON LAS TRES V DE BIG DATA
P
ara nadie es sorpresa que el creciente volumen de los datos nos está llevando a una realidad cada vez más digitalizada. Tal vez no estemos inmersos en el código fuente de los sistemas, como se plantea en Matrix, pero lo cierto es que los datos nos rodean. Todos los dispositivos de cómputo, desde los servidores hasta los equipos portátiles en la empresa, generan información que se almacena en forma de bits. Pero fuera de las empresas, millones de dispositivos en todo el mundo generan cientos de miles de datos transaccionales día con día: electrodomésticos, wearables, automóviles conectados, televisores inteligentes, consolas de videojuego, smartphones… todo produce datos. En este contexto, el valor ya no reside en quién tiene la información, pues ésta se encuentra al alcance de todos; el valor radica en qué se hace con dicha información. ¿Cómo pueden las empresas explotar la gran cantidad de datos existentes, tanto al interior de su empresa como en el mercado? El reto para las empresas es extraer la información que necesitan de entre todo el océano de datos. Y una vez que extraen esa información, deben consolidar los datos, analizarlos y tomar decisiones con base en los resultados. Esto es posible a través de herramientas de software que procesa rápidamente los datos; frecuentemente se utilizan soluciones de minería o analítica de datos, pero también hay soluciones específicas para la gestión y el procesamiento de grandes volúmenes de datos, o Big Data.
BIG DATA SE ESCRIBE CON V Big data es un término que describe cualquier cantidad voluminosa de datos estructurados, semiestructurados y no estructurados, que
tienen el potencial de ser extraídos para obtener información. A este respecto, Gartner, consultora de tecnologías de información, define que los datos no estructurados son aquellos que no pertenecen a un modelo no definido o específico. Incluso estima que el 80 por ciento de los datos son no estructurados, como el cuerpo de un correo. En pocas palabras, los datos no estructurados son aquellos que no caben en una base de datos. Por su parte, los datos estructurados son aquellos que pueden ser ingresados en una base, como: fecha, hora, nombres, cuentas de correo, números, etc. En pocas palabras, hay un sinfín de fuentes de datos que producen información nueva cada minuto. ¿Qué pueden hacer las empresas para tomar ventaja de tanta información? ¿Y cómo pueden extraer únicamente los datos que necesitan de entre el océano de datos? José Luis Zurita, CEO de AK Consulting México, explica que la adopción de soluciones de big data permite a las compañías utilizar los datos para su beneficio. Para lograrlo, primero hay que considerar las tres Vs de big data: el Volumen extremo de datos, la gran Variedad de tipos de datos y la Velocidad a la que se deben procesar dichos datos. Volumen de datos. La organización debe poder extraer un conjunto de datos de entrenamiento que pueda analizarse rápidamente utilizando los diferentes algoritmos candidatos, pero también uno que refleje adecuadamente el conjunto completo de datos. Su organización debe contar con suficientes datos para representar correctamente las incidencias reales, a la vez que considera todos los escenarios posibles para los resultados que está buscando. Variedad de datos. Conforme los datos no estructurados se vuelven esenciales para los
2 ■ www.ciberseguridadmx.com
procesos de negocio, se convierten en fuentes necesarias para los modelos predictivos. Esto significa que una empresa debe tener un conjunto de procesos sólidos para escanear, analizar y contextualizar datos no estructurados y transformarlos en conjuntos de datos que alimenten los algoritmos de analítica. Velocidad de los datos. Cada vez más rápido se reciben grandes cantidades de datos y a menudo no se puede predecir cuándo podrían cambiar, lo que forzaría una necesidad casi continua de creación y preparación de perfiles de datos. La necesidad de grandes velocidades de datos requiere una potente infraestructura de cómputo, capaz de procesar rápidamente grandes volúmenes y variedades de datos sin sobrecargar los servidores. Esto puede requerir cientos o miles de servidores para distribuir el trabajo y operar de manera colaborativa. Pero la computación en la nube ofrece alternativas para el almacenamiento y análisis de datos, de forma que las empresas puedan implementar proyectos de big data sin impactar su propia infraestructura. En resumen, al planear una estrategia de big data que le permita obtener información útil para la toma de decisiones que definirán las estrategias de su negocio, Zurita aconseja contemplar los siguientes pasos: consolidación de datos, segmentación, elaboración de reportes, comparación de resultados contra información histórica, toma de decisiones. A partir de ahí, el ciclo vuelve a empezar. “Una vez realizados los ajustes necesarios en la segmentación de datos para obtener nuevos reportes, se reinicia el proceso. Lo importante es que las empresas utilicen los resultados para trabajar en mejorar su estrategia de negocios de cara a los clientes. Así es como Big Data permite generar una experiencia de valor”, concluye Zurita. ■
CIBERSEGURIDAD MX
LA SEGURIDAD EN REDES SOCIALES
¿QUÉ SEGURA ES?
L
as redes sociales se han vuelto parte de la vida de miles de millones de personas en el mundo, México no es la excepción, ya que las redes sociales representan la actividad número uno para los mexicanos, siendo las principales: Facebook (95%), Whatsapp (93%) y YouTube (72%). Aproximadamente cada usuario cuenta con 5 redes sociales activas, mientras que únicamente el 1% de usuarios de Internet en México no cuenta con alguna red social, de acuerdo a información del Estudio sobre los Hábitos de los Usuarios de Internet en México del 2017.
Cada vez que abrimos nuestras redes sociales estamos compartiendo información con el mundo, no importa si nuestra configuración es privada, o si la compartimos con amigos y sus conocidos. Incluso, te has preguntado ¿por qué si muestras interés en artículos de belleza, deportivos o de alimentación, de repente aparece publicidad, fotografías o vídeos relacionados con esos temas? La respuesta es que las redes sociales, principalmente Facebook, utilizan algoritmos para conocer tus gustos y mostrar información que pudiera ser de interés.
los cuales únicamente 270 mil dieron su consentimiento para el uso de su información personal a través de la descarga de una aplicación que acumuló sus datos para compartirlo con la empresa Cambridge Analytica.
y datos personales”, menciona Luis Eder, analista de ciberseguridad en MER Group.
Dicha empresa, fundada en 2014, se encargaba de crear perfiles, bases de datos y campañas publicitarias para influir en la opinión política e intención de voto de los usuarios de Facebook a través de vídeos, páginas o fotografías. Está comprobado que el equipo de campaña de Donald Trump contrató los servicios de Cambridge Analytica por 6 millones 200 mil dólares, y que dicha empresa se comprometió a entregarle una base de datos de al menos 2 millones de electores.
►Evitar, en medida de lo posible, compartir información sensible
El problema recae en que de un universo de 50 millones de usuarios, 49 millones 700 mil no accedieron al uso público de su información por parte del científico Aleksandr Kogan, quien vendió estos datos a Cambridge Analytica. Podría pensarse que ante tal panorama no hay nada que hacer para evitar el robo y uso de información personal y sensible, sin embargo sí pueden realizarse algunas acciones para disminuir tal riesgo. “Tener redes sociales activas siempre conlleva un riesgo el cual se acepta al crear un perfil, esto a veces viene implícito en los términos y condiciones, el problema es que los usuarios raramente los leen. A pesar de esto, pueden llevarse a cabo diversas acciones para proteger nuestros perfiles
Aunque la idea no suene tan descabellada, Facebook trabaja bajo este principio y sus usuarios están de acuerdo al momento de registrarse en la plataforma. Sin embargo, cuando esos términos y condiciones sobrepasan los límites de la privacidad y ocasionan que tu información personal, e incluso la considerada como sensible, formen parte de una base de datos ofrecida a los equipos de comunicación y estrategas de campañas electorales, todo cambia. Recientemente, la red social más importante del mundo se ha visto envuelta en una serie de escándalos y crisis que la acusan de haber permitido el robo de datos personales de 50 millones de sus usuarios, de
3 ■ www.ciberseguridadmx.com
►Quitar o no permitir el uso de la geolocalización por parte de redes sociales
►Desligar aplicaciones, es decir, que todas las redes sociales que tenemos activas no compartan información entre sí ►No compartir información bancaria, de salud o personal, como dirección y número telefónico, con estas aplicaciones o cualquier usuario ►No dar click en ningún anuncio o link ajeno del que se sospeche ►No aceptar amistades de cualquier desconocido incluso si el perfil cuenta con varios amigos o tiene amistades en común ►Reportar cualquier anuncio, fotografía o video que vaya en contra de la ética personal “Si bien las redes sociales son un reflejo de quiénes somos, recomendamos no hacer uso de estas en caso de que se trate un tema sensible o muy personal, pues todo lo que aquí esté puede ser utilizado en nuestra contra o para fines políticos, incluso sin posibilidad de saber quién utilizó nuestra información o poder recuperarla”, puntualiza el analista. ■
CIBERSEGURIDAD MX
MÁS DE TRES MIL 500 VULNERABILIDADES SE HAN DESCUBIERTO ESTE AÑO EN MATERIA DE CIBERSEGURIDAD vulnerabilidad en marzo del año pasado. Cuatro meses después, su equipo de seguridad registró actividad sospechosa y bloqueó el tráfico de datos. Poco después, halló más actividad dudosa y desconectó el servidor comprometido de la red. A mediados de septiembre confirmó el origen del ataque y la pérdida de datos. “Esa empresa perdió más de tres mil millones de dólares debido a esa brecha de seguridad en sus servidores, pero nosotros estamos seguros que de haber contado con un proceso de gerenciamiento de vulnerabilidades, y del proceso adecuado de solución, incluso con aplicación de parches, las pérdidas no hubieran existido”, puntualizó Juan Pablo Castro. Ese tipo de ataques, al igual que los reconocidos como Wanna Cry y Petya, se deben a que las organizaciones no cuentan con una metodología para realizar un inventario de aplicaciones y de sistemas vulnerables dentro de un servidor. “Y esto a pesar de que hay grandes empresas que invierten hasta 250 millones de dólares de seguridad al año, pero administran aplicaciones tan complejas, que no conocen a detalle los programas y sus debilidades”, añadió Castro.
I
nfosecurity México 2018, el evento que presentará lo último en conocimiento, tendencias y soluciones para proteger la información corporativa e institucional, presentará a especialistas reconocidos en el terreno de la ciberseguridad, como Juan Pablo Castro, director de Innovación Tecnológica en Trend Micro, quien recientemente explicó los aspectos que se deben cuidar para disminuir las vulnerabilidades inherentes a todo tipo de software. “En particular, detectamos una tendencia desde el año pasado, y consiste en que los hackers están aprovechando cada vez más las vulnerabilidades en el software, las cuales no están atendiéndose adecuadamente por los encargados de seguridad a través de soluciones como la aplicación de parches. Y esto afecta a cualquier tipo de software, ya sea el de un smartphone, o el de las laptops, servidores o PC, para leer archivos tipo PDF, o de cualquier marca”, explicó Castro. En ese sentido, el principal directivo de Trend Micro mencionó que uno de los casos más conocidos internacionalmente fue el de la empresa Equifax, que detectó una
La falta de detección de vulnerabilidades que indica el directivo de Trend Micro, no solo daña los procesos de las organizaciones, sino que también afecta a los usuarios. Como ejemplo, eso sucedió con Yahoo, que en octubre del 2017 admitió el daño a sus tres mil millones de usuarios, o con Uber, que reveló que 57 millones de registros de clientes y controladores quedaron expuestos luego de una violación de datos ocurrida en octubre de 2016. “Por eso las organizaciones, de cualquier tamaño, deben protegerse con acciones como la realización de un inventario de aplicaciones y sistemas vulnerables para así saber cuáles son los puntos débiles y decidir la acción adecuada”. Bajo esa perspectiva, el asunto principal es definir quién es el encargado de esa área en las empresas, “porque generalmente el responsable de seguridad dice: ‘Surgió tal vulnerabilidad, o hay que poner un parche’. Y a continuación el responsable de infraestructura, o de los servidores, define si instala el parche, pero se trata de una decisión crítica como para que esté a cargo de alguien de nivel operativo”. La sugerencia de Trend Micro es que el
5 ■ www.ciberseguridadmx.com
responsable en todo el proceso debe ser el área de seguridad. “El problema es que no se acostumbra contar con un área especializada en los procesos de administración y gerenciamiento de vulnerabilidades. Hay empresas que recurren a lo que se conoce como escaneo de vulnerabilidades de las aplicaciones, aunque los corren cada tres o seis meses, pero no realizan un inventario correspondiente, y que debería hacerse casi cada semana”. Lo que vivieron Yahoo, Uber o Equifax revela que hay empresas que le brindan poca importancia a tales vulnerabilidades y a la falta de inventario, y ante tal panorama, los cibercriminales tienen ventaja porque saben que puede haber debilidades en el software y conocen el camino para atacar a pesar de que las empresas instalen firewalls o antivirus. “Los cibercriminales son capaces de acceder a los sistemas incluso con autorización de los administradores. Por eso no basta con tener el inventario sugerido, sino que debe haber un equipo responsable de administrarlo y darle seguimiento. Para darnos idea de la magnitud del problema, en el 2017 se descubrieron más de 14 mil vulnerabilidades, y este año se han registrado tres mil 500, y esa será siendo la constante”. Juan Pablo Castro mencionó que uno de los servicios de su empresa es ayudar a identificar las vulnerabilidades que hay en el software, en los servidores, y ofrecen una estrategia que llaman de control compensatorio o parcheo virtual para brindarle a sus clientes el tiempo necesario para conseguir la ventana y hacer pruebas, a fin de no impactar en su operación, que es algo vital. Trend Micro estará presente en la próxima Infosecurity México 2018, evento que Castro considera que es el foro ideal para que los encargados de la ciberseguridad se actualicen respecto a las prácticas avanzadas ejecutadas en otras partes del mundo, además de compartir experiencias y conocer los últimos adelantos tecnológicos. “No importa el tamaño de la organización; cualquiera que considere que el valor de sus datos es importante, y que su pérdida puede impactar la marcha de la empresa, debe mantenerse actualizado, y un foro de esta naturaleza es ideal para estar al tanto de todos los avances”, finalizó Juan Pablo Castro. ■ Para más información visita www. infosecuritymexico.com
CIBERSEGURIDAD MX
PREOCUPACIÓN POR RECORD HISTÓRICO EN FUGA DE DATOS DE EMPRESAS “Según la edición 2018 del Data Threat Report realizado por Thales, el 67% de las organizaciones que participaron asegura haber sido víctima de algún tipo de robo de datos”.
Por Tomáš Foltýn
O
rganizaciones de varias industrias a lo largo del mundo están preocupadas por el incremento de casos de fuga de información. Así lo demuestra el informe Data Threat Report 2018, elaborado por Thales, donde el 44% de las organizaciones asegura sentirse “muy” o “extremadamente” vulnerable ante la posibilidad de sufrir un ataque de este tipo; cifra que refleja un fuerte incremento en el grado de preocupación con respecto al 30% del al año anterior. En países como Estados Unidos, por ejemplo, el nivel de alerta casi se duplicó, pasando del 29% al 53%. En total, el 91% (a comparación del 88% del año anterior) admitió sentir cierto grado de vulnerabilidad ante un intento de robo de datos. En su sexta edición, el informe puso el foco en la amplia fuga de datos en medianas y grandes empresas a lo largo del mundo. Para ello, trabajó sobre la base de una encuesta realizada durante octubre y noviembre de 2017 por la multinacional francesa Thales, que estuvo liderada por un grupo de 451 investigadores, y en la que participaron más de 1200 ejecutivos Senior del área de seguridad de todo el mundo; incluyendo países como Estados Unidos, Reino Unido, Alemania, Japón, Suecia, Holanda, Corea del Sur e India. Entre otros datos clave que dejó el informe, se dio un record en el porcentaje de
organizaciones (67%) que aseguran haber sido víctima de algún tipo de robo de datos; cifra que creció un 11% con respecto a la edición anterior. En este sentido, siendo que solo los últimos 12 meses fueron considerados, sorprende que sea tanto como el 36% las organizaciones a nivel global (y el 46% solamente en Estados Unidos) que asegura haber sido víctimas de algún tipo de brecha de seguridad. Esto es un 26% superior a nivel global que en la edición anterior del informe. Encima, un 15% de las empresas manifestó que sufrió la fuga de datos de manera repetida en el último año.
NUEVOS ENTORNOS, NUEVOS DESAFÍOS La creciente exposición al robo de datos en general, en parte se da por la prisa con la que se adoptan nuevos escenarios que a su vez conllevan nuevos riesgos. Otro de los responsables de esta realidad, según Thales, es “la falla al adoptar métodos de seguridad modernos para conjuntos de datos ya existentes”. Se puede decir que casi todas las organizaciones han adoptado el uso de tecnologías en la nube. De hecho, Big Data (99%), tecnologías IoT (94%) y Blockchain (92%) avanzan poco a poco hacia la adopción universal. Asimismo, prácticamente todas las
6 ■ www.ciberseguridadmx.com
empresas (94%) trabajan con datos sensibles dentro de este nuevo marco tecnológico. Teniendo en cuenta todo esto, el informe sugiere utilizar un enfoque de tres puntas para detener el avance de la fuga de datos, por ejemplo: datos cifrados, control de acceso según necesidades, y mantenerse alerta en cuanto al uso de datos y patrones de acceso. Por primera vez desde que se realiza este informe, un gran porcentaje de los encuestados (77%) consideró que la forma más efectiva para la protección de datos en reposo es mediante herramientas tipo cifrado, uso de token, etc. Sin embargo, de cinco tipos de tecnología que se analizaron, la seguridad de datos en reposo fue la que registró menor incremento de inversión dentro de las planificaciones de las empresas. El informe también señala dos referencias legislativas que fueron introducidas en la Unión Europea. Por un lado la General Data Protection Regulation (GDPR), que entrará en efecto en mayo de este año y establece modificaciones en la manera en que deben lidiar con los datos aquellas compañías que procesen o recopilen información de ciudadanos de la Unión Europea, independientemente de dónde esté ubicada la compañía. La segunda es la Payment Services Directive (PSD2), que también entrará en efecto este año, y que en esencia lo que hace es romper el monopolio de los bancos en cuanto a la información de los clientes. ■
CIBERSEGURIDAD MX
YOUTUBE ES VÍCTIMA DE UN ATAQUE Y ELIMINA LA CANCIÓN “DESPACITO” "Despacito", el vídeo más visto en la historia de Por Juan Manuel Haran
YouTube con más de 5 mil millones de visitas, fue dado de baja por unas horas luego de sufrir un ataque.
disponible en YouTube. En un primer momento, los reportes indicaban que la eliminación del vídeo había sido producto de un ataque pero dado que ya se encuentra nuevamente disponible, se puede suponer que la eliminación había sido realizada de manera preventiva por la empresa discográfica de Luis Fonsi.
Captura donde se puede apreciar la imagen con la que sustituyeron la portada del video del tema “Despacito” de Luis Fonsi.
A
tan solo 5 días de convertirse en primer vídeo en la historia de YouTube en conseguir más de 5 mil millones de visitas, el clip de la canción “Despacito”, de Luis Fonsi con Daddy Yankee fue eliminado de la cuenta de Vevo en YouTube -por unas horas- luego de ser víctima de un ataque en el que se sustituyó la portada con la imagen de un grupo de enmascarados con armas (de la serie “La casa de papel”). Además, debajo de los vídeos los atacantes escribieron un mensaje que decía “Free Palestine” (“Liberen a Palestina” en español).
Captura donde se puede apreciar la imagen con la que sustituyeron la portada del video del tema “Despacito” de Luis Fonsi. Al momento de escritura de este post, el vídeo de “Despacito” volvió a estar
7 ■ www.ciberseguridadmx.com
Pero este no fue el único vídeo de la cuenta de Vevo que fue víctima de este ataque a su autenticidad. Según explican los medios británicos BBC y Independent, los clips de varios artistas, como Shakira, Drake o Taylor Swift, también fueron eliminados; al menos momentáneamente. Según los medios británicos, la cuenta de Twitter de uno de los aparentes atacantes que lleva el nombre de Prosox, asegura que “fue solo por diversión” y además explica que utilizaron el script “youtube-changetitle-video”. ■
CIBERSEGURIDAD MX
LA IMPORTANCIA DE LA CONCIENTIZACIÓN
EN CIBERSEGURIDAD Por Juan Manuel Haran
Si bien la expansión de diversas industrias al mundo digital les ha dado una gran ventaja, también las ha dejado vulnerables a los ataques cibernéticos, lo cuales son cada vez más recurrentes, pues los hackers se han ido actualizando con diversas tecnologías y modos de operación más sofisticados.
E
n México, se estima que 1.5 millones de personas son ciberatacadas a diario y se generan pérdidas de hasta 110 mil millones de dólares, informó la empresa de tecnología MER Group. Dentro de una empresa, la mayoría de los casos en los que la información y/o sistemas es comprometida, se debe a causa de un colaborador o excolaborador. En el caso mexicano, se reportó que 49% de los responsables de ataques cibernéticos son empleados de menor rango, después se encuentran los ex-colaboradores con 37% y finalmente los proveedores con 34%. Un ataque cibernético le cuesta a las empresas mexicanas poco más de medio millón de dólares. En los últimos años, el robo de información sensible se ha transformado en una industria millonaria que se comercializa principalmente en los mercados de la Darknet o Red Oscura. Los delitos cibernéticos tienen un valor, para la economía mundial, de 445,000 millones de dólares. Aunque la mayoría de las computadoras en el mundo tienen algún tipo de protección como anti-virus; la posibilidad de que la información que contienen esté comprometida, no disminuye. Las ciberamenazas ponen en peligro la información y los recursos de las empresas. Por ejemplo, el phishing (una técnica criminal para estafar y obtener información confidencial) se ha convertido en uno de los ataques más peligrosos en cuanto a robo de datos, daño a sistemas, además de ser puertas de acceso a infecciones de malwares y ransomwares. Los phishers continúan su éxito gracias al uso de métodos sofisticados de ingeniería social y por la falta de una conciencia empresarial en temas de ciberseguridad. El análisis de seguridad realizado por MER Group señala que las instituciones deben fortalecer sus mecanismos de protección y prevención para combatir este tipo de delitos, pues menos del 50% de las compañías cuentan con personal capaz de enfrentar dicha problemática.
MER Group recomienda seguir estos consejos para concientizar en relación a la ciberseguridad y prevenir ataques de phishing contra empresas: • Llevar a cabo Campañas de Simulación Phishing: Campañas “Anzuelo” que consisten en simular ataques de phishing reales. Se identifican los elementos más susceptibles a caer en un ataque cibernético entre los usuarios de dentro de la organización, se registran los resultados y se presentan a nivel ejecutivo para que se tomen como base para la aplicación de medidas específicas de concientización y capacitación para determinados trabajadores y/o para toda la empresa. • Capacitaciones en Ciberseguridad con Agentes Acreditados: Cursos que ayudan a las organizaciones a reforzar su posición de seguridad y garantizan que todos los trabajadores tengan conciencia de los riesgos y medidas de seguridad necesarias para sus cargos. • Plataforma Antiphishing: Las organizaciones pueden también implementar soluciones preventivas, como la plataforma antiphishing. Se crea automáticamente en tiempo real una firma del correo electrónico afectado y se elimina la amenaza para toda la empresa; además, se remueve el correo electrónico malicioso de todos los buzones de la compañía. • Solución de Monitoreo de sitios Phishing: Se trata de una tecnología exclusiva de monitoreo en la red para encontrar dominios maliciosos y sitios phishing casi en tiempo real. A su vez, se analiza cada característica del ataque y se identifica cuáles serán los siguientes pasos del phisher y bloquear el ingreso de futuros ataques. Está claro que es prácticamente imposible librarse de un ataque cibernético; no obstante, existen soluciones en temas de ciberseguridad que las empresas pueden implementar para proteger, prevenir futuros ataques, o bien mitigar los efectos de un atentado virtual. ■
8 ■ www.ciberseguridadmx.com
CIBERSEGURIDAD MX
CONTROL DEL USO DE LA TECNOLOGÍA EN LOS NIÑOS: ¿PREVENCIÓN O INVASIÓN A LA PRIVACIDAD? Por Cecilia Pastorino
E
n el episodio “Arkangel”, de la popular serie Black Mirror, una madre sobreprotectora decide implantar un chip en el cerebro de su hija para poder controlar, a través de una tablet y una aplicación, todo lo que ve y
siente su pequeña. Este sistema, originalmente pensado como una aplicación de control parental, le permite a la madre no solo ver lo mismo que la niña ve, sino también monitorear sus emociones y estados de ánimo e incluso “filtrar” las imágenes que le puedan hacer daño, haciendo que la niña las vea pixeladas.
ACERCA DE LA UTILIDAD DE LAS APLICACIONES DE CONTROL PARENTAL No hace falta llegar al extremo de implantar un chip, como plantea la serie, para analizar hasta qué punto estamos controlando y cuándo pasamos a invadir la privacidad del niño. Hoy en día, ya están disponibles aplicaciones para geolocalización, controlar el contenido que pueden ver en Internet y en la televisión, aplicaciones con acceso al micrófono para escuchar el sonido de donde están o incluso registrar todo aquello que pasa en la pantalla del dispositivo, mediante capturas de vÍdeo. Si bien estas herramientas parecieran ser la gran solución a los problemas que pueda
9 ■ www.ciberseguridadmx.com
tener todo padre de un nativo digital, lo cierto es que no todas las aplicaciones de control parental funcionan igual, ni tienen las mismas características; por lo que es muy importante analizarlas y elegir aquella que se ajusta a los valores de cada familia. Por otro lado, muchos controles que al principio parecen ser muy útiles para los padres, terminan siendo invasivos para los chicos; lo que termina provocando una reacción contraria a la esperada. El niño, en lugar de sentirse protegido y contenido, se siente invadido y busca evadir estos controles. La clave no está en el control que se implemente, sino en el diálogo y en acompañarlos en el mundo digital, tal como lo haríamos en el mundo físico. Se trata de enseñarles, mediante el diálogo y con el apoyo de herramientas digitales, cuáles son los peligros y riesgos en Internet, cuáles son sus responsabilidades, qué se debe y no se debe hacer y cuáles son las formas de protegerse. Las aplicaciones de control parental resultan muy útiles cuando los niños son más pequeños, cuando comienzan a utilizar la computadora o tienen su primer teléfono móvil. Sin embargo,
CIBERSEGURIDAD MX Por último, estos informes también resultan muy útiles para conocer cuáles son las aplicaciones que más utilizan los niños o que más les gustan. Conocer sus gustos y sus intereses es un buen punto de partida para comenzar a hablar de cuidados digitales. Recuerda que tal vez tu hijo sepa mejor cómo funciona una aplicación o tenga más habilidades a la hora de utilizar el dispositivo móvil, pero tú sabes más de los riesgos y peligros que pueden acecharlo. Qué mejor que usar la tecnología juntos y disfrutarla de forma segura.
¿QUÉ PIENSAN LOS NIÑOS SOBRE LA SEGURIDAD EN INTERNET? entrando ya en la temprana adolescencia, estos controles serán cada vez más difíciles de mantener o implementar. Por lo tanto, la clave está en ir soltando los controles y traspasando las responsabilidades lentamente, según van creciendo y comprendiendo cómo comportarse en el mundo digital. El objetivo debería ser que el niño entre en la adolescencia completamente empoderado y comprendiendo los riesgos que hay en Internet y cómo debe protegerse y, sobre todo, con la confianza y tranquilidad de poder hablar con sus padres si algo le preocupa o lo hace sentir incómodo. Para lograr esto, el diálogo y el acompañamiento debe empezar mucho antes de esta edad, en el instante en que el niño comienza a entrar en el mundo digital.
¿CUÁL ES LA MEJOR FORMA DE INSTALAR UNA APLICACIÓN DE CONTROL PARENTAL?
Control de accesos web: Bloquea los
sitios web inapropiados según la edad, ya sea en forma individual o por categorías.
Límite de tiempo para diversión y juegos: Establece una cantidad máxima
de horas para que los niños jueguen con sus dispositivos. También administra el tiempo de uso, por ejemplo, bloqueando el acceso a juegos y aplicaciones durante el horario escolar o a la hora de dormir.
Geolocalización:
Permite verificar la ubicación actual del dispositivo en cualquier momento.
Informes:
El objetivo de los informes es conocer el comportamiento general del niño en Internet, con el objetivo de encontrar el mejor momento para ir soltando los controles. Incluyen métricas que nos informan sobre el uso que da el niño al equipo, como el tiempo de uso de determinadas aplicaciones, rangos horarios, entre otras.
La clave para que el control parental sea una herramienta útil tanto para los padres como para sus hijos, está en que sea una forma de cuidado y no un control impuesto. Una vez elegida la aplicación que se adecua a los valores de la familia, lo mejor es instalarla y configurarla junto al niño. Previamente se deben establecer cuáles son las reglas básicas para el consumo digital y cuáles son las responsabilidades del niño, explicarle que la aplicación de control parental es una forma que tienen papá y mamá de cuidarlo en el mundo digital y que van a instalarla juntos. Algunas de las funcionalidades claves que resultan muy útiles del control parental y que ayudan a proteger a los niños, sin invadir su privacidad, son:
Control de aplicaciones:
Se aplican filtros basados en la edad para administrar las aplicaciones a las que los niños podrán acceder y utilizar.
10 ■ www.ciberseguridadmx.com
Hablamos de cómo monitorear el uso que le dan a la tecnología de los más pequeños, pero ¿qué piensan ellos sobre la seguridad en Internet?, ¿consideran que es un tema importante?, ¿qué es lo que más temen de Internet? Estas y otras preguntas fueron incluidas en una encuesta realizada por Digipadres junto con Argentina Cibersegura, con el objetivo de conocer la opinión de los más chicos y saber qué tan seguros se sienten en Internet. Algunos de los principales datos que dejó la encuesta es que 1 de cada 3 niños asegura haber sufrido una situación incómoda en Internet. Por otra parte, al ser consultados sobre qué es lo que más temen de Internet, los principales miedos fueron: qué roben sus claves de acceso y se hagan pasar por ellos, que averigüen datos o información personal y que se envíen fotos de ellos entre sus contactos. Un dato interesante para los padres es que más del 50% de los niños estaría dispuesto a hablar con ellos sobre los cuidados y sobre situaciones que puedan darse en Internet. ■
CIBERSEGURIDAD MX
RAE: NUEVA ACEPCIÓN DEFINE A UN HACKER COMO EXPERTO EN COMPUTADORAS
Por Miguel Ángel Mendoza explicar la diferencia entre las dos acepciones a la palabra. Es probable que todas las iniciativas que surgieron a lo largo de los últimos años influyeran para que la RAE considerara otra definición para hacker; además, por supuesto, del proceso constante de construcción del lenguaje y del diccionario que utilizamos. Por ello, hace unos meses se incluyó la nueva acepción que dice: “Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”.
A
fines de diciembre del año pasado, la Real Academia Española (RAE) presentó la 23.ª actualización del Diccionario de la Lengua Española y en ella incluyó una nueva acepción para el anglicismo “hacker”, que si bien representa la inclusión de una idea que la comunidad de seguridad reclamaba, continúa generando ambigüedades. A continuación, explico porqué.
UN HACKER NO ES UN PIRATA INFORMÁTICO En el 2014, mi colega Sebastián Bortnik escribió una publicación cuando la RAE incluyó la palabra “hacker” en el diccionario, utilizando para ello la definición de “pirata informático”. En la comunidad de seguridad se despertaron críticas a la institución por esta decisión y surgieron iniciativas para modificar la definición. Un ejemplo fue el del experto en seguridad informática español, Chema Alonso, quién en 2014 creó una petición a través de la plataforma Change.org que recopiló más de cinco mil firmas para solicitar a la RAE que modificara la definición de hacker como pirata informático. Según mi consideración, la decisión de la RAE en ese momento era un error, ya que denigraba las aportaciones de personajes reconocidos como hackers. De hecho, parte del contenido de la Gira Antivirus en la edición del 2017 trató
justamente sobre las diferencias sustanciales que identificamos al utilizar la palabra “hacker” y otros términos relacionados que consideramos suelen manejarse de manera errónea, como el de “pirata informático”. En la presentación de la gira que llevaba por título “Historias de hackers y cibercriminales: Tras las huellas de un ataque informático”, destacábamos algunas figuras en el ámbito de la informática que pueden ser considerados hackers, ya que sus conocimientos y habilidades han sido encausados para desarrollar nuevas y mejores tecnologías, haciéndolas cada vez más seguras. Por el contrario, cuando personas con habilidades similares utilizan su talento para afectar a usuarios de la tecnología o llevan a cabo delitos informáticos tipificados con el fin de obtener algún tipo de beneficio, los consideramos crackers, atacantes o cibercriminales.
UNA NUEVA DEFINICIÓN PARA HACKER EN LA RAE Parte de mi labor como integrante del Laboratorio de Investigación de ESET consiste en concientizar a los usuarios en materia de seguridad. Para ello, no hay mejor manera de hacerlo que partiendo de la explicación de los conceptos básicos. De ahí mi interés por
11 ■ www.ciberseguridadmx.com
Si bien no se trata de la definición que muchos esperaban, es un enunciado que al menos reivindica los logros de los profesionales de la informática que han contribuido para que podamos disfrutar de la tecnología en un ambiente cada vez más seguro. Si quisiéramos agregar más detalles a las definiciones, podríamos hacer referencia al sustantivo anglosajón del cual deriva la palabra hacker; nos referimos al término hack, empleado para denotar “un atajo o truco utilizado para ahorrar tiempo, salir adelante o mejorar la vida”. Sobre todo, porque nuestro diccionario adopta distintos anglicismos (especialmente cuando hablamos de la informática). En este sentido, el término en inglés hack se alinea con el significado que promovemos de hacker, como aquel que busca conocer los sistemas a detalle para saber cómo modificarlos, hacerlos funcionar de una forma distinta de la cual fueron diseñados, y en pocas palabras, buscar atajos que permitan realizar actividades de manera más fácil, rápida o económica.
LA DIFERENCIA PRINCIPAL SE ENCUENTRA EN LAS INTENCIONES A pesar de la inclusión de la nueva definición, la realidad es que persiste la ambigüedad, ya que las dos definiciones son opuestas. Si consideramos que pirata informático es descrito por la RAE como una “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”, mientras que por otro lado lo describe como un “experto que contribuye a la seguridad”, hay algo que hace ruido. Como conclusión, dado el escenario que plantea la Real Academia Española, para utilizar el término tendremos que conocer el contexto y especialmente la intención de la persona a la cual se adjudica el término.■
CIBERSEGURIDAD MX
LOS BANCOS SE RESPALDAN ENTRE SÍ “DÍA MUNDIAL DEL BACKUP” Por Tomáš Foltýn
T
al como nos recuerda el Día Mundial del Backup, la inclusión de un sistema de backup sólido por parte de cualquier organización es fundamental como parte de las buenas prácticas de protección de la información; sobre todo en aquellas empresas consideradas críticas por ofrecer un servicio esencial para una parte importante de la sociedad. En este artículo miraremos cuántas instituciones financieras de los Estados Unidos aparentemente intentan lograr la mayor seguridad para los datos de aquellas cuentas más importantes. En primer lugar, tomémonos un segundo para pensar qué fue lo que sucedió para que las instituciones financieras tengan dentro de sus principales prioridades este tipo de consideraciones. Se nota un incremento en los tipos de ataques que buscan una destrucción absoluta, en oposición a aquellos que buscan “solamente” generar algún tipo de conflicto o robo. En los últimos años, algunas organizaciones han aprendido esto por las malas, como la empresa estatal de Arabia Saudita Saudi Aramco, que se dedica a la explotación del petróleo y el gas, y la compañía de entretenimiento Sony Pictures Entertainment. En ambos casos sufrieron la destrucción de decenas de miles de computadoras como consecuencia de ataques particularmente destructivos.
El embate a Sony, en octubre de 2014, fue uno de los primeros ataques masivos hacia la infraestructura de una corporación norteamericana con la intención de destruir datos. Como parte de sus pérdidas, el ataque borró completamente la mitad de los servidores y computadoras de la compañía, obligando incluso a que cierta cantidad de empleados tengan que recurrir al bolígrafo y al papel para realizar sus trabajos. El incidente generó preocupación a nivel general. Los bancos en Estados Unidos, por ejemplo, tomaron la medida de implementar una serie de ejercicios regulares de simulación en ciberseguridad entre 2014 y 2016 que tenían como objetivo probar sus habilidades para evitar ataques similares. Las lecciones aprendidas durante las prácticas, conocidas como las “Hamilton Series”, dieron lugar a un mecanismo de último recurso que pretende dar un paso más en cómo los bancos enfrentan la capacidad de recuperación de datos.
LA IMPORTANCIA DE AYUDARSE MUTUAMENTE Ingresa en la iniciativa llamada “Sheltered Harbor”. La misma requiere que los participantes conviertan los datos de su cuenta e información
12 ■ www.ciberseguridadmx.com
de transacción a un formato estandarizado, antes de ser cifrado y convertido en “seguro”. De acuerdo con la descripción del programa, los datos se mantendrán inalterables, y cuando el propietario los necesite, deberán ser retirados de este “resguardo” exactamente igual que como fueron archivados. Fundamentalmente, la iniciativa lo que busca es agregar una capa adicional de protección a los estándares de los programas de “restauración y recuperación” para que la institución afectada no dependa de sus propios dispositivos mientras se encuentre en una situación de incapacidad. Para eso los bancos necesitan formar parejas. Si un miembro de la pareja no está en condiciones de restaurar el servicio y llevarlo a la normalidad de forma rápida y por sus propios medios, podrá recurrir a su par de respaldo para que cargue los datos del banco afectado en sus propios sistemas. Esto sería posible gracias al formato estandarizado requerido por este programa. Sin embargo, es importante tener en cuenta que al final del día, el objetivo no es salvar el banco afectado. La idea clave es garantizar que, si un banco se derrumba como consecuencia de un ataque cibernético o un accidente, el problema no seguirá creciendo como una bola de nieve. Si bien los efectos de un escenario semejante son prácticamente imposibles de predecir, lo que genera mayor preocupación es que un incidente
CIBERSEGURIDAD MX particularmente grave pueda asustar al público y desencadenar una bola de problemas no solo contra el banco afectado.
tercios de las cuentas minoristas en los EE. UU., y además se estima que también una parte considerable de las cuentas de corredores minoristas.
CONTROL DEL USO DE LA TECNOLOGÍA EN LOS NIÑOS:
Esto se debe a que, además de la caída del sistema y las consecuencias financieras, los ataques dirigidos a la confidencialidad, integridad o disponibilidad de datos críticos de cuentas bancarias comparten otra posible consecuencia: la pérdida de la confianza del consumidor. Lo cual Por Cecilia Pastorino es sumamente perjudicial para una entidad que trabaja sobre la base de la confianza. Dada la interconexión existente en la industria de servicios financieros y los posibles efectos sistémicos a lo largo de todo el ecosistema financiero, la colaboración de toda la industria tiene sentido. Según se informa, entre los bancos participantes poseen alrededor de dos
Tener un plan de contingencia es doblemente sensato en un sector en el que el techo puede derrumbarse y traer consecuencias bastante graves. Es por eso que una solución de backup y recuperación ante desastres sólida puede llegar a significar la diferencia entre la inconveniencia de algunos días y la pérdida del servicio (seguido de un proceso de reconstrucción de confianza que puede llevar meses o años) y el colapso total del negocio. Por lo tanto, sería lógico afirmar que Sheltered Harbor es un seguro que es bueno tener, pero que nadie quiere tener que usar jamás. ■
Conclusión Dicho todo esto, la necesidad y el valor de un plan de respaldo confiable resulta evidente cuando nos enfrentamos a una situación que no está completamente bajo nuestro control. Y es que los datos pueden perderse o corromperse de varias maneras, pero la recuperación exitosa está condicionada por la estrategia de backup confiable que se tenga. No se puede negar que el escenario en cuanto a ciberseguridad obliga a prestar atención cada vez a la restauración y recuperación de datos, ambas materias esenciales en las estrategias de defensa de la ciberseguridad. A pesar de que el Día Mundial del Backup es una vez al año, todos sabemos que tanto organizaciones como individuos necesitan crear y probar sus sistemas de backup de forma más frecuente. Implementar una rutina de respaldo sólida, claramente contribuye en gran medida a reforzar nuestra protección de datos. Y mientras estamos en ello, no debemos olvidar que asegurarnos que podemos restaurar los datos de una copia de seguridad es igualmente importante.
13 ■ www.ciberseguridadmx.com
CIBERSEGURIDAD MX
23-24
MAY 2018
Ciudad de México
Centro Citibanamex
Educational
Partner
CON LA PRESENCIA DE
KEVIN MITNICK
El hacker más famoso del mundo 24 MAY / 17:00 - 18:30 HRS.
PRASANNA RAMAKRISHNAN Global Head of InfoSec Risk, Philips
23 MAY / 15:00 - 16:00 HRS.
ARTURO GARCÍA HERNÁNDEZ CISO, Banco de México
23 MAY / 16:30 - 17:30 HRS. Consulta el programa completo en
www.infosecuritymexico.com
2a. FASE ANTES DEL 15 DE MAYO
DESPUÉS DEL 15 DE MAYO
15% de descuento
Precio normal
Adquiérelo por
Adquiérelo por
$2,975.00
$3,500.00
IVA incluido
IVA incluido
MXN
País Invitado
NO TE QUEDES FUERA
Compra tu boleto para Infosecurity Summit 2018 y obtén un descuento especial sobre el precio base ($3,500 MXN)
MXN
Alianzas
+10% de descuento adicional
INGRESANDO EL CÓDIGO
XSEINFO2
Organizado por
Patrocinador
Diamond
Patrocinadores
Platinum 011001000111 0101011000100111 0101 110011 10110 1010 11110 000111 00000 1100 101011 10010 0111 01000 11100 110 1001 10001 1001010110001001 110101011001
14 ■ www.ciberseguridadmx.com
Patrocinadores
Gold
CIBERSEGURIDAD MX
MÁS DE 200 START-UPS FINANCIERAS EN MÉXICO PREPARADAS PARA OPERAR BAJO LAS CONDICIONES DE LA NUEVA LEY FINTECH
I
nfosecurity México 2018, el evento que presentará lo último en conocimiento, tendencias y soluciones para proteger la información corporativa e institucional, dio a conocer algunas particularidades de la Ley para Regular las Instituciones de Tecnología, o Ley Fintech (por el término en inglés que distingue a este tipo de compañías), a través de Alfredo Reyes Krafft, conocido como el padre de la firma electrónica en México y actualmente socio director en Lex Informática y Board Member Director del Global Legal Entity Identifier Foundation (GLEIF). Esta Ley tiene como fin regular la prestación de servicios financieros ofrecidos o realizados por empresas innovadoras en tecnología, “entre las cuales hay alrededor de 200 start-ups que competirán dentro de los próximos diez años hasta por el treinta por ciento del mercado bancario mexicano, aunque actualmente ya están operando, cada vez tienen más adeptos y mayor demanda de sus servicios, por lo que se tienen que ajustar al sentido de la nueva Ley, la cual busca adaptarlas y nivelarlas para proteger incluso a los usuarios”, comentó Reyes Krafft. De acuerdo con el especialista, hay diferentes tipos de empresas de este tipo, tales como las de financiamiento colectivo o las especializadas en pagos electrónicos, que en algunas partes del mundo ya estaban reguladas, especialmente en lo relacionado con sus activos virtuales, aunque por otro lado existen las que están normadas bajo lo que se conoce como “sand box” regulatorio (Regulatory Sandox, en el original), que consiste en un campo de pruebas para nuevos modelos de negocio que aún no están protegidos por una regulación vigente y supervisados por las instituciones regulatorias.
“Estos nuevos modelos de negocio precisamente son las fintech, que a través de este esquema podrán probar herramientas tecnológicas en un entorno controlado, ofreciendo sus servicios a grupos pequeños de personas durante determinado tiempo; no más de dos años. Si funciona, entonces podrán pedir permiso a la autoridad correspondiente para operar regularmente”, explicó Reyes Krafft, quien añadió que este nuevo modelo se basa en modelos muy prácticos acordes con los adelantos tecnológicos y la economía digital.
REGULACIÓN PROMOVIDA POR AUTORIDADES FINANCIERAS Debido a este nuevo contexto, el Servicio de Administración Tributaria (SAT) consideró y promovió una regulación para otorgar una seguridad jurídica, integrar a las empresas fintech al régimen fiscal, proteger al usuario, evitar el lavado de dinero y el financiamiento al terrorismo, además de generar controles para la operación y supervisión de estas entidades. “Entre sus principios rectores figuran el acercar el mundo de las finanzas a gente que hoy no tiene acceso, lo cual configura un principio de inclusión e innovación financiera que potencia el alcance de los bancos para que puedan alcanzar a ciertos sectores que incluyen a usuarios que no quieren acudir a un banco, o bien, para atender a los millenials, que se sienten muy cómodos en el entorno digital”, explicó Reyes Krafft, quien también visualiza que la nueva legislación promoverá la competencia entre las instituciones, buscará la protección al consumidor, promoverá la estabilidad financiera, se basará en la neutralidad tecnológica e inhibirá las operaciones con recursos de procedencia ilícita.
15 ■ www.ciberseguridadmx.com
La nueva Ley incide sobre dos variables principales: las operaciones, y los equipos o tecnología con la que se va a operar. “Las operaciones financieras las regula el Banco de México, y los equipos los regula la Comisión Nacional Bancaria. Ambas entidades buscan que exista un entorno seguro para el usuario, para lo cual las empresas deberán cumplir con la obligación de informar al público tanto de las ventajas que ofrecen sus servicios, como de los riesgos. Y es que, por ejemplo, los activos virtuales son volátiles, no son una moneda de curso legal, y una vez que inician las operaciones o transacciones, ya no se pueden dar marcha atrás”, explicó Reyes Krafft, quien añadió que las empresas consideradas bajo este régimen deberán ser sociedades mercantiles y contar con domicilio en México, con estructura de gobierno corporativo, sistemas operativos y contables, esquemas de seguridad, oficinas de atención para tener una cara ante el público. Asimismo, deberán presentar planes de negocio, política de control de riesgos y prevención de fraudes, y certificar que el uso del medio electrónico, interfaz o plataforma sea de su propiedad y funcione adecuadamente.
ES UNA LEY PROMOTORA DE NEGOCIOS REDITUABLES “Considero que esta Ley es muy adelantada y va a propiciar un desarrollo tecnológico muy importante, y por ello hay que cuidar elementos de cumplimiento y de seguridad, y aunque al igual que cualquier otra entidad, las fintech pueden ser afectadas por la ciberdelincuencia, lo cierto es que el riesgo potencial no es alto para cualquier institución financiera, debido a los controles operativos y de seguridad que han implementado. Más bien hay que hacer notar que el riesgo mayor es la sofisticación de los ataques de ingeniería social dirigidos a los usuarios; ese es el peligro, pero las fintech y el sistema financiero en general deben estar preparados para administrar el riesgo y establecer adecuados esquemas de control para que el usuario no se configure como el eslabón más débil de la cadena”, abundó Reyes Krafft. Para finalizar, el experto añadió que parte de los temas que se van a desarrollar durante la próxima Infosecurity México 2018, será la implementación de tecnología y de sistemas “que deberán ser supervisables y auditables, con esquemas de control y con la necesaria información impartida al usuario. Desde luego, el riesgo potencial existe siempre, pero es mejor contar con supervisión e implementar auditorías, además de la documentación de todo ello, y eso es un avance enorme en beneficio de la ciber seguridad en el entorno financiero”. ■