Categoría: Boletines

Un mes más, volvemos con un nuevo boletín en el que hablaremos de los certificados digitales y otros mecanismos de identificación personal digital y cómo mantenerlos seguros.

En plena era de digitalización, uno de los elementos clave son los certificados digitales que permiten a las personas identificarse para poder realizar trámites en línea. Estos mecanismos cada vez se hacen más necesarios, llegando al punto de ser necesarios para realizar ciertas tareas como consultar datos médicos en línea, presentar la declaración de la renta telemáticamente, solicitar suscripción al paro o la firma de documentos, entre otros.

Desde infoautónomos, describen en su artículo sobre “La importancia de disponer del certificado digital” dos de las características más importantes y valiosas que ofrecen estos certificados:

• • • Rapidez y ahorro de tiempo: Estas soluciones permiten a los usuarios realizar tareas más ágilmente evitando desplazamientos a entidades para realizar trámites, ahorro de esfuerzos en impresión y escaneo de documentación para poder firmarla, etc.
    • Transparencia: las gestiones quedan registradas en el día y hora específicos en las que se realizaron. Esto permite disponer de pruebas documentales en el caso de que necesites recurrir cualquier posible fallo de tipo administrativo.

En este boletín se describen los distintos métodos de identificación electrónica, cómo obtenerlos, riesgos derivados de su uso y consejos para proteger la identidad digital.

Actualmente, las cuatro soluciones disponibles para identificarse digitalmente se dividen de la siguiente manera:

• • • Cl@ve: Este mecanismo puede usarse en dos formatos, clave permanente y clave PIN. Según describe Xataka en su noticia sobre estos métodos, la clave permanente se basa en el DNI del usuario y una contraseña que debe establecer el usuario en el primer momento que lo obtiene, lo que facilita su uso cotidiano. Por otro lado, la clave PIN se asocia al DNI del usuario y, en cada uso, genera un código alfanumérico temporal que permite el acceso. El hecho de que el código generado caduque aumenta la seguridad de su uso, aunque puede ser tedioso su uso en el día a día.
      Este certificado puede obtenerse desde la página oficial de la Agencia Tributaria, facilitado en este enlace. La Agencia Tributaria facilita diversos métodos para obtenerlos, aunque el más ágil y rápido es a través de un certificado o DNI-e.
    • Certificado FNMT: Este certificado es el más común para la identificación digital y está expedido por la Fábrica Nacional de Moneda y Timbre. A diferencia de los otros certificados, este certificado se instala en el navegador web y no requiere uso de contraseñas tras su instalación, lo que facilita su uso y mantenimiento.
      El certificado de la FNMT puede obtenerse desde su página web oficial, accesible con este enlace. Existen diversas maneras de obtenerlo, aunque la más rápida y la única que permite evitar desplazamientos es la que permite obtenerlo con el DNI-e.
    • Certificado ACCV: Expedido por la Agencia de Tecnología y Certificación Electrónica, este certificado, al igual que el certificado de la FNMT, permite a las personas acreditar su identidad digitalmente y consta de una validez de tres años. Este certificado puede obtenerse tanto digitalmente, a través de video identificación, lo cuál tiene un coste adicional o bien a través de un software que requiere la identificación acudiendo a un punto de Registro (PRU) de manera gratuita. A través de la página oficial de la ACCV, accesible en este enlace, se puede conocer en mayor detalle las posibilidades que se ofrecen para obtenerlo, así como encontrar los puntos PRU más cercanos según ubicación.
    • DNI electrónico (DNI-e): El certificado de DNI-e es el expedido por la Policía Nacional en el momento en el que se obtiene el DNI con un chip electrónico. En el momento de la obtención, se entrega un papel con la clave del certificado. Para su uso, tan solo es necesario un lector de DNI electrónico.
      Este certificado no es necesario solicitarlo, dado que todos los usuarios con DNI-e cuentan con él.

Actualmente, existe una gran cantidad de guías que describen el procedimiento para conseguirlos, entre ellos se encuentra este artículo de Xataka, una guía completa y detallada sobre la obtención e instalación de estos.

Como todos los elementos tecnológicos, el uso de certificados digitales también implica una serie de riesgos. El principal riesgo al que se expone un usuario es a la suplantación de identidad, ya que, como se ha comentado, estos certificados permiten acreditar la identidad de una persona. Los ciberdelincuentes aprovechan los certificados para acceder a sitios web con la identidad del usuario, firmar documentación o obtener acceso a otros recursos.

Enfocada esta problemática en un entorno empresarial, “un ataque dirigido a ellos desemboca directamente en la interrupción en la continuidad del negocio”, según informan desde redtrust. Además, añaden que “El impedimento en el uso de los certificados digitales de Persona Física, de Representante, de firma de código, de servidor o cualquiera dentro de su amplia tipología, pone en un grave compromiso a las empresas”.

Con el fin de mantener los certificados seguros, desde Camerfirma destacan las siguientes recomendaciones:

• • • Obtén el certificado desde prestadores de servicio de confianza
    • Si se cede el certificado a un tercero, se pueden minimizar los riesgos con la firma de un contrato de prestación de servicios detallando el uso que se puede hacer de la firma
    • Guardar el certificado en un lugar seguro, idealmente en un gestor de centralizado de certificados o, en su defecto, en un ordenador con acceso limitado.

Como cada mes, volvemos con un nuevo boletín en el que conoceremos más en detalle qué son las VPN, los riesgos de estas y algunas recomendaciones para usarlas de manera segura.

Como consecuencia de la pandemia del COVID-19 y la implantación de las actividades en remoto, el uso de las VPN ha crecido de manera exponencial en estos últimos años convirtiéndose en una de las soluciones más aprovechadas. Además, su uso no solo se limita al entorno laboral, también se ha estado empleando en otros entornos como educativos, médicos, etc.

Si bien es cierto que su uso ya estaba normalizado en el entorno empresarial, durante estos últimos años ha tomado una mayor importancia, ya que es uno de los componentes con mayor relevancia para la implantación del teletrabajo. Sin embargo, la expansión de las VPN y la dependencia en los entornos empresariales hacia esta tecnología ha supuesto que las empresas centren nuevos esfuerzos en la protección del acceso remoto por el aumento de ciberataques a esta. Concretamente, y según recoge ComputerWorld, desde el cambio al trabajo remoto e híbrido, el 44% de las organizaciones han sido testigos de un aumento de los ataques dirigidos a las VPN.

Por ello, es importante conocer bien qué son las VPN, sus usos más comunes y seguir una serie de recomendaciones que permitan proteger a los usuarios cuando hagan uso de estas.

Se entiende como VPN, o Virtual Private Network¸ como una red local que permite conectar diferentes dispositivos entre sí a través de internet. El uso de esta tecnología tiene numerosas ventajas. La compañía Kaspersky, marca reconocida por sus servicios de ciberseguridad, destaca los siguientes beneficios:

• • • Cifrado de datos: Las conexiones VPN se cifran con una clave de manera que si alguien quiere visualizar los datos necesitará de esta para descifrarlos.
    • Esconder la ubicación: La manera de trabajar de esta tecnología, dificulta conocer la ubicación exacta de la persona que hace uso de la VPN.
    • Acceso a contenido regional: Las VPN permiten a un usuario modificar su ubicación regional, de manera que le permita acceder a contenidos que solo están disponibles en otros países.
    • Transferencia segura de datos: Los servicios de VPN establecen conexiones con servidores privados y utilizan métodos de cifrado para reducir el riesgo de filtración de datos.

Por ello, las VPN pueden emplearse para una gran diversidad de objetivos y adaptarse a las necesidades de cada usuario/empresa y entorno, aunque sus usos principales actualmente se centran en el teletrabajo y en evitar las restricciones por geolocalización.

Todo esto y la alta demanda de las VPN ha supuesto un incremento en la cantidad de proveedores que ofrecen una solución VPN. Además, el abanico de posibilidades de esta tecnología ofrece tanto versiones gratuitas como de pago y todas ellas adaptadas a las necesidades de cada uno. Entre los proveedores más conocidos, ADSLZone destaca los siguientes:

• • • NordVPN: Destacada por ser la más aconsejada para acceder a contenido de otras regiones de algunas plataformas de streaming.
    • Surfshark VPN: Se destaca por permitir un número ilimitado de dispositivos conectados.
    • Atlas VPN: Reconocido por la velocidad de conexión que ofrece.
    • CyberGhost: Esta solución se destaca por ofrecer un servicio 24/7 de soporte.

Con todo lo descrito anteriormente, es indiscutible que las VPN son realmente un servicio atractivo y al alcance de todo el mundo, pero, al igual que todas las tecnologías, el uso de ellas también se enfrenta una serie de riesgos, principalmente riesgos de ciberseguridad. Entre estos riesgos, los que más destacables son:

• • • Ataques dirigidos: A través de técnicas de ingeniería social, un atacante puede conseguir los datos de un empleado y conectarse a la red de la compañía. Una situación de este estilo es la sufrida por la compañía Cisco, que describe en este artículo lo ocurrido.
    • Aplicaciones VPN fraudulentas: Se han detectado casos en los que algunas aplicaciones no son realmente servicios de VPN, sino que tratan de infectar al dispositivo tras la instalación de la supuesta aplicación.
    • Filtrado de datos: En ocasiones, el uso de VPN actúa contrario a su objetivo, proporcionar seguridad. En el último año, se han notificado filtrados de datos de usuarios por hacer uso de aplicaciones de VPN gratuitas. Un ejemplo es el filtrado de 21 millones de datos de usuarios por el uso de GeckoVPN, SuperVPN y ChatVPN.

Por ello, y para concluir, a continuación, se describen una serie de recomendaciones para un uso seguro de las redes virtuales:

• • • No compartas tus credenciales de VPN con nadie.
    • Utiliza aplicaciones de VPN de proveedores certificados.
    • Activa todas las opciones de seguridad que te ofrezca la aplicación.
    • Activa la conexión VPN con multifactor.

Como cada mes, volvemos con un nuevo boletín en el que conoceremos más en detalle qué son las cookies y algunas sanciones a las que se han enfrentado grandes empresas por estas.

Con la entrada en vigor del Reglamento General de Protección de Datos, de 2016, todas las páginas webs que recaben información sobre la navegación de los usuarios han sido obligadas a informar de esto a través de las conocidas cookies. El incumplimiento de ello o la falta de detalles puede derivar en sanciones económicas, desde 2018. Así lo hemos podido ver en casos como el de la famosa red social TikTok que, según informa TechRadar, se enfrenta a una multa enorme por información insuficiente sobre las cookies. La multa asciende a un total de 5 millones de euros, como consecuencia de la dificultad que se detectó para rechazar el uso de cookies, considerando que la aceptación de estas era más sencilla.

Otro de los ejemplos más recientes y más comentado fue la sanción que aplicó la Agencia Española de Protección de Datos (AEPD), el pasado año 2022 al gigante Google LLC, por ceder datos a terceros sin legitimación y obstaculizar el derecho a la supresión, así lo informa la propia AEPD. El organismo español detectó dos infracciones graves e impuso una sanción que supone un total de 10 millones de euros, adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen y suprimir todos los datos personales que así hayan sido solicitados e instar a este último a hacerlo también.

Un estudio realizado por la empresa Avast concluye que el 60% de los españoles acepta las cookies sin tener conocimientos sobre ellas. Por todo ello, es importante que todo el mundo conozca qué son las cookies y cómo funcionan.

Se conocen como cookies a pequeños archivos de datos que se almacenan en los ordenadores de los usuarios cuando visitan páginas web. Estas pueden almacenar datos como credenciales de usuario o el comportamiento en la navegación por la página.

Como bien describen desde ayudaley, estos archivos tienen diversas funcionalidades. Una de las más importantes es que permiten a las páginas web reconocer a los usuarios y almacenar sus credenciales evitando que deban identificarse en cada acceso que realizan.

Otro de los usos más comunes de estos ficheros es recordar el comportamiento y los hábitos que tienen los usuarios en su navegación, permitiendo mejorar la experiencia de estos y adaptar los anuncios a las necesidades de estos.

Con el fin de facilitar la incorporación de las cookies a las páginas web, la AEPD, ha creado una guía de referencia en la que podemos identificar además los tipos de cookies que existen y ejemplos de aplicación de estas. Así pues, la AEPD divide las cookies en función de quién las gestione, que pueden ser propias o de terceros y, por otro lado, en función de su finalidad, que pueden ser técnicas, de preferencias o personalización, análisis o medición y de publicidad. Finalmente, la AEPD también las divide en función del tiempo que se mantienen, que pueden ser de sesión o persistentes.

Además, en esta guía, y con la finalidad de evitar que los organismos puedan ser sancionados, establece una ayuda sobre qué información deben facilitar las cookies. Para ello, y basándose en el artículo 22 de la ley LSSI, se define que estos archivos deben facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

Debemos tener en cuenta que toda esta información almacenada, puede ser vulnerada y aprovechada por atacantes cibernéticos también. Actualmente, existen diversos métodos para extraer estos archivos y obtener información como credenciales de usuario o datos personales.

Algunos de estos, los podemos identificar en el blog de esedsl, entre los que destacan:

• • • Session sniffing: a través de un analizador de paquetes, los atacantes pueden extraer las cookies que forman parte del tráfico de red.
    • Redes Wifi: Con la conexión a redes públicas, se puede analizar el tráfico y robar cookies de los usuarios.
    • Session fixation: A través de técnicas como el phishing, se pueden enviar enlaces maliciosos y conocer el ID de sesión del usuario.

Incidentes ya visibles relacionados con ciberataques por cookies los hemos podido ver con la alerta de una campaña de phishing que obtiene las cookies de sesión para lanzar un ataque BEC con el que robar dinero, así lo informa el periódico europapress. Para ello, los atacantes establecieron un punto medio entre el usuario y el servidor destino y pudieron interceptar el inicio de sesión del usuario, con el que extrajeron además la cookie. Con esta, los atacantes pueden replicar el inicio de sesión.

Finalmente, os dejamos una serie de recomendaciones descritas por esedsl:

• • • Cerrar sesión de todos los sitios web
    • Eliminar cookies de navegación
    • Mantener los sistemas actualizados.
    • No acceder a enlaces desconocidos.

Empezamos el año nuevo con un nuevo boletín en el que conoceremos más en detalle al chatGPT y cuáles son las aplicaciones actualmente de la inteligencia artificial.

A finales de 2022, la empresa OpenAI lanzó una nueva inteligencia artificial, al alcance de todos los usuarios que permite mantener conversaciones con cualquier persona y dar respuestas muy acertadas, el chatGPT. De esta manera, y con las capacidades que ha demostrado tener, esta inteligencia se ha hecho eco alrededor del mundo. Pero ¿sabes realmente qué es?

La inteligencia artificial, también conocida como IA, es una parte de la ciencia de la computación que trata de replicar y desarrollar inteligencia por sí misma permitiendo así a las máquinas pensar y razonar de manera autónoma. Para ello, esta inteligencia se basa en algoritmos de aprendizaje profundo.

Su gran capacidad de adaptación y aprendizaje ha permitido su aplicación en una gran cantidad de ámbitos, desde el sector de las finanzas, al sector industrial, naval, automovilístico o a sanidad. Así pues, un ejemplo reciente que se ha podido conocer, es que la marca Audi ha desarrollado internamente su propia IA, conocida como FelGAN y a la cual ha ido entrenando para ayudar a crear las llantas del futuro de la mano de diseñadores e ingenieros de la compañía.

Otro ejemplo de aplicación es en el ámbito de la sanidad donde se han detectado numerosas ventajas en el uso de esta. Así lo destaca el director de Digital Health de Eurecat, Felip Miralles, en una entrevista realizada por el periódico Infosalus, donde destaca que los primeros éxitos en cuanto a su aplicación se están dando sobre todo en el ámbito de la interpretación de la imagen médica, radiológica o de TAC en 3D. Estos éxitos permiten que los profesionales de la salud mejoren tanto en la precisión del diagnóstico como en la rapidez de este y les permite, además, adaptar los tratamientos a cada paciente.

Y, como es de esperar, uno de los campos donde más importancia presenta esta inteligencia es en el de la Ciberseguridad, donde se considera un elemento clave para combatir los ciberataques. Una reciente publicación de ThinkingBig, de Telefónica, destaca que “gracias a su capacidad de aprendizaje continuo, la IA puede identificar, priorizar y analizar amenazas” y describen que algunas de las ventajas que podemos encontrar en la IA en este ámbito son:

• • • Análisis predictivo: Mediante los análisis predictivos, la IA puede prevenir futuras amenazas analizando comportamientos y realizando estudios estadísticos.
    • Detección automática de amenazas: Gracias a los algoritmos de aprendizaje automático, la IA puede detectar posibles amenazas de rendimiento.
    • Prevención de potenciales ataques: La IA permite detectar anomalías en la red y el flujo de datos a través del análisis de patrones.
    • Automatización de la seguridad: Al automatizar los protocolos de seguridad, se evitan errores humanos y se ahorra tiempo y esfuerzo.
    • Vulnerabilidades día cero: La IA permite eliminar vulnerabilidades de día cero que aprovechan los atacantes antes de que los responsables de los sistemas puedan resolverlo.

Una de las inteligencias artificiales más comentada últimamente es el ChatGPT que permite a sus usuarios realizar todo tipo de actividades, algunas muy aprovechadas como redactar noticias, ayuda en las actividades escolares o búsqueda de información con tan solo introducir una serie de indicaciones. Pero este tipo de IA también está permitiendo a sus usuarios ir más allá, como en el caso de la programación, donde el chat está ayudando a los programadores a encontrar errores en los códigos agilizando sus tareas y fortaleciéndolos, ya que les permite eliminar fallos que puedan ser aprovechados por atacantes. Eso sí, debemos tener en cuenta que todo aquello que incluyamos en la conversación con chatGPT queda registrado para que puedan mejorar sus capacidades, por lo que intenta no incluir información personal tuya ni peticiones que sean potencialmente peligrosas o delictivas, según recomiendan los expertos en Xataka.

Si bien es cierto que la IA puede ser muy útil si se aplica de manera correcta, estas facilidades que presenta pueden ser peligrosas en algunas ocasiones si se hace un mal uso de estas. Algunos ejemplos de estos son los casos como la IA desarrollada por Microsoft, VALLE-E, una IA similar a ChatGPT que es capaz de imitar tu voz con solo oírte 3 segundos, según informa 20minutos, que pese a que su finalidad no es esta, podría ser aprovechada para suplantar la identidad de las personas.

Otro ejemplo reciente, es la detección de los primeros usos de chatGPT para recrear malware, según 20minutos. Este hecho permite que personas sin conocimientos profundos en la materia puedan aprovecharlo para realizar ataques maliciosos con mayor facilidad.