el Senado de la República aprobó declarar la primera semana del mes de octubre, como la “Semana Nacional de la Ciberseguridad”.

¿Sabías que? el Senado de la República ha establecido la Semana Nacional de Ciberseguridad

Con el propósito de concientizar a la ciudadanía sobre los riesgos del uso del ciberespacio y la cultura de la prevención ante el avance y alcance de las tecnologías de la información y comunicación (TIC), y para brindar mayor protección y seguridad a los usuarios de los aparatos cibernéticos, el Senado de la República aprobó declarar la primera semana del mes de octubre, como la “Semana Nacional de la Ciberseguridad”.

En la sesión ordinaria, la senadora Alejandra Lagunes Soto, del PVEM, promovente de la iniciativa, planteó cambiar la propuesta, ya que originalmente declaraba octubre como el mes de la Ciberseguridad, no obstante, se planteó el cambio a que se redujera a solo una semana.

El dictamen fue aprobado con 103 votos. Con cambios fue remitido a la Cámara de Diputados, para los efectos del artículo 72 constitucional. Prevé la realización de foros, mesas de trabajo, exposiciones, debates y actividades sobre el tema, para que todos los mexicanos estén plenamente informados e involucrados, añade el texto.

De acuerdo con el Informe ”Tendencias de seguridad cibernética en América Latina y el Caribe”, de 2014, diversos países han intensificado la concientización desde 2013, ya que conocer los riesgos que entraña el uso de las TIC y cómo minimizar y mitigar tales peligros, es la más valiosa herramienta que las autoridades nacionales pueden desarrollar y utilizar para mejorar la seguridad y combatir el delito cibernético.

Para ello, se implementaron iniciativas y campañas de divulgación de información, así como de concientización y programas educativos dirigidos a todas las partes interesadas: personal estatal, empresas, bancos y otras organizaciones privadas, estudiantes y público en general.

Agrega el informe que los datos proporcionados por las autoridades nacionales, y recopilados por la empresa Symantec, correspondientes a las Américas y el Caribe, muestran incrementos significativos del volumen de delitos cibernéticos, ataques y otros incidentes en casi todos los países del hemisferio.

Las comisiones dictaminadoras resaltan la importancia de establecer los alcances de la Ciberseguridad y la relevancia de ampliar la cultura de la prevención en torno a la misma. Asimismo, precisan que según un Informe de Ciberseguridad del Banco Interamericano de Desarrollo y la Organización de los Estados Americanos, cuantos más datos se intercambian con el uso de las TIC, más preocupaciones surgen de seguridad y privacidad cibernéticas.

Por lo tanto, las y los senadores subrayaron la urgencia de actualizarse y “unirnos a aquellos países que ya han emprendido acciones enfocadas a la seguridad cibernética y dedicado espacios y conocimiento a analizar el Internet de las Cosas, ciberdelitos, incidentes de seguridad informática, sistemas de comunicación seguros, etc”.

A nombre de la Comisión Seguridad Pública, el senador José Alejandro Peña Villa, apuntó que el objetivo es hacer visible el tema y avanzar en su regulación para contar con un acceso seguro a la tecnología global. Agregó que el cibercrimen tiene un costo de 0.5 por ciento del Producto Interno Mundial, equivalente a cuatro veces el monto anual de las donaciones para el desarrollo internacional.

Destacó que en México, el aumento de los cibernautas pasó de 40 a 71.3 millones de 2012 a 2018, por lo que es urgente aprobar la propuesta. Añadió que diversos países ya han establecido el mes de octubre para la concientización de la Ciberseguridad, para de promover la seguridad ante los riesgos cibernéticos y la protección, a través de la educación, intercambio de conocimiento, prácticas y estrategias.

La senadora Alejandra Lagunes, apuntó que se trata de un exhorto a las instancias de gobierno, organizaciones privadas, sociedad civil y comunidades académicas, a sumarse a la sensibilización sobre el impacto de la Ciberseguridad en el desarrollo social, político, humano y económico del país, así como la responsabilidad compartida de todos los actores en la reconstrucción de un ciberespacio libre, diverso y seguro.

La senadora Martha Lucía Micher Camarena, de Morena, dijo que octubre es el mes mundial del Cáncer de Mama, por lo que pidió no sea declarado como el de Ciberseguridad. “No podría votar a favor de que se suplante el cáncer de mama, una causa principal de muerte de las mujeres, por la ciberseguridad”, enfatizó.

La senadora Alejandra del Carmen León Gastélum, afirmó que en el Partido del Trabajo celebran que se haga visible en la agenda pública la ciberseguridad. Hacemos un llamado a todas las fuerzas políticas para que no perdamos de foco las necesidades de respetar los derechos de privacidad de los ciudadanos.

Por el PVEM, la senadora Verónica Noemí Camino Farjat, indicó que no es excluyente que se nombre a octubre como el mes de la ciberseguridad y al mismo tiempo, sea el mes del cáncer de mama. No es desplazar uno por el otro, se trata de construir, de unificarlos en esta lucha que es el bienestar y reconocimiento de los derechos de las mujeres, abundó.

Fuente: Senado de la República http://comunicacion.senado.gob.mx/index.php/informacion/boletines/46571-establece-senado-la-semana-nacional-de-la-ciberseguridad.html

Ataques a Pyme aumentaron 8% en lo que va de este 2019, en el que se contabilizaron 35 por ciento de empresas atacadas. BuróMC

Ataques a Pyme aumentaron 8% en lo que va de este 2019

Además de las dificultades para obtener financiamiento, deficiencias en su planeación y falta de indicadores de productividad, otra de las amenazas que deben enfrentar las pequeñas empresas tiene que ver con el tema de la protección de datos. Cifras de Kaspersky señalan que 43 por ciento de las pequeñas y medianas empresas (Pyme) en América Latina ha sido víctima de violación de datos en lo que va de 2019, lo que representa un incremento de 8 puntos porcentuales respecto al año pasado, en el que se contabilizaron 35 por ciento de empresas atacadas.  En México, las Pyme representan 72 por ciento de los empleos y registran 52 por ciento del Producto Interno Bruto, sin embargo, es uno de los países que mayor número de ciberataques sufre en Latinoamérica, siendo superado únicamente por Brasil. De acuerdo con una encuesta realizada por Kaspersky, 28 por ciento de las Pyme no cuentan con una opción de seguridad cibernética adecuada y 33 por ciento no tienen área de administración especializada en la materia. “Las Pyme necesitan de una estrategia para protegerse incluso más que las grandes empresas, ya que un ataque cibernético puede traerles repercusiones en reputación y clientes y llevarlas a la quiebra”, dijo a MILENIO París Valladares, director general de Kaspersky. De igual forma es importante que éstas no busquen ahorrar en el rubro puesto que una violación de sus datos puede costarles hasta 125 mil dólares.  Actualmente, más de 23 por ciento de las pymes utilizan herramientas de seguridad domésticas que si bien les proporcionan protección básica, no cuentan con los elementos especializados que tienen las opciones empresariales. Otro de los problemas en las pequeñas y medianas empresas es que al contratar empleados hacen que estos utilicen dispositivos propios para trabajar, con lo cual se comparte y compromete la infraestructura de la compañía y datos de clientes con equipos ajenos. En palabras del directivo, de las 4.1 millones de Pyme del país solo 40 por ciento están protegidas, por lo que los atacantes ven una oportunidad y el índice de acierto es muy alto.  “Hace falta una cultura de ciberseguridad dentro de las pequeñas y medianas empresas porque el personal de éstas debe estar consciente del manejo y protección en la información de los clientes”, indicó.  Hoy en día Kaspersky monitorea más de 120 grupos de ciberatacantes que se enfocan principalmente en los clientes que utilizan el sistema operativo Android, por lo que también es necesario aplicar medidas de seguridad en dispositivos móviles que estén ligados a datos de las compañías.  El método más común para violar los datos de las compañías sigue siendo el phishing, sin embargo, medidas como actualizar los software de los equipos que se utilizan puede reducir hasta 75 por ciento el riesgo de ataques cibernéticos. “La prevención es la clave y la pymes pueden gestionar su seguridad cibernética enseñando a sus empleados medidas básicas, además de utilizar un producto desarrollado especialmente para ésta”, afirmó.  Prevención Acciones como utilizar una contraseña segura, cambiar constantemente la clave del wifi de la empresa y contar con un plan de acción en caso de sufrir un ataque. Según Valladares, existen soluciones que permiten proteger los datos de una compañía a muy bajo costo, además, en día es fundamental que las pequeñas empresas se den cuenta de que la inversión en seguridad es mínima si se compara con la amenaza de un ciberataque.

Con Información de MILENIO: https://www.milenio.com/negocios/ataques-a-pyme-aumentaron-8-en-lo-que-va-de-este-2019

CIBERSEGURIDAD-COSA-DE-ABOGADOS

La ciberseguridad también es cosa de abogados

Tal vez las preguntas más recurrentes que se pueden escuchar cuando un abogado dice dedicarse a temas de ciberseguridad es “¿eres técnico?” “ese es un tema de técnicos” y (aunque usted no lo crea) “¿eso qué tiene que ver con las leyes?”. 

Las interrogantes anteriores parecen obedecer a una perspectiva tradicional, según la cual el profesional del derecho es una isla que a veces le manda señales de humo a otras islas y que aplica muy estrechamente el derecho positivo. Esa visión puede causar incomodidad al trabajar en entornos desregulados, poco regulados o autorregulados, pero, sobre todo, puede generar desinterés en conceptos básicos de la materia, cuya comprensión resulta muy importante para implementar y mantener seguridad de la información en las empresas. Ya no es tiempo de patear balón dejando la ciberseguridad restringida al departamento de sistemas, ni al mismo director de seguridad de la Información, pues se requiere de la participación activa de todas las áreas, incluyendo, por supuesto, al departamento legal.

Y a todo esto ¿qué es la ciberseguridad? En pocas palabras, podemos entender la ciberseguridad como las actividades y medidas destinadas a proteger la información que se produce, almacena y transfiere en el ciberespacio de cualquier uso, acceso, modificación, divulgación o destrucción no autorizados. El ciberespacio se refiere a un ambiente de información conformado por datos digitales que se crean, almacenan y comparten. No es puramente un espacio físico ni es puramente virtual ya que comprende la infraestructura que permite que la información fluya. Incluye al internet, intranet, celulares, cables de fibra óptica y comunicaciones espaciales.

 

Para darse cuenta de la importancia de la ciberseguridad, basta entender que actualmente generamos, almacenamos y transferimos toda la información a través de medios digitales. Internet y los dispositivos a su alrededor que permiten el flujo de la información no son únicamente medios de comunicación o herramientas para agilizar el comercio, ya que también soportan infraestructura crítica de empresas y gobiernos. Es necesario generar conciencia y educación acerca de los riesgos en materia de ciberseguridad y de los factores que intervienen: técnico y humano; propio y de terceros. 

Considerando que la tendencia mundial actual es digitalizar, los riesgos en materia de ciberseguridad se han convertido en una vulnerabilidad importante que, sin embargo, no debe desincentivar el uso de las tecnologías, ya que éstas resultan imprescindibles para mantener y elevar la competitividad, sino que también deben servir para crear conciencia de uso adecuado para minimizar las probabilidades de un ciberataque que tarde o temprano ocurrirá (o tal vez ha ocurrido y nadie se ha dado cuenta). Cuando tiene lugar un ciberataque, es preciso que se activen protocolos de actuación que permitan responder en forma oportuna para minimizar las consecuencias que pudieran ocurrir. Se debe llevar a cabo una revisión de las medidas de seguridad informática y un análisis de los posibles riesgos técnicos, legales e incluso reputacionales. La información comprometida puede referirse no sólo a secretos industriales, sino a datos personales de clientes o empleados, datos que en sí mismos pueden constituir un importante activo de las empresas. Los planes preventivo y reactivo idealmente deben formar parte de la estrategia de ciberseguridad de una empresa que, como ya hemos visto, deben involucrar al departamento legal. 

Un incidente de ciberseguridad no son sólo las vulneraciones enormes que llegan a las noticias como el ataque a SPEI ocurrido el año pasado o la vulneración de Cultura Colectiva que pasó este año. Un incidente de ciberseguridad es cualquier acceso, modificación o destrucción no autorizada a los sistemas y, si se trata de datos personales, el número de afectados puede ser mínimo o masivo, como aquella vulneración que sufrió Yahoo! en el 2016 cuando se vio afectada la totalidad de las cuentas activas e inactivas existentes. 

Por otra parte, no perdamos de vista que así como la administración pasada atendió la materia de ciberseguridad de dientes para afuera, esta administración tampoco parece tener intenciones reales de crear una estrategia nacional, aunque las esperanzas perdidas en el Plan Nacional de Desarrollo 2019 – 2024 podrían recuperarse en el programa sectorial de comunicaciones y transportes que se emita. Ante la orfandad gubernamental, no quedará de otra más que hacer esfuerzos desde la Iniciativa Privada. La tarea no será fácil considerando que México se encuentra en el top 10 mundial de los países que más ataques reciben (dependiendo del estudio se le menciona incluso en los tres primeros lugares), siendo phishing el ataque más común en nuestro país. 

Finalmente, hay que recordar que la ciberseguridad es un proceso, no sólo un resultado final. Que no se trata nada más de arquitectura de redes y emisión de políticas en papel, pues involucra al eslabón humano, el que todos los días toma (tomamos) decisiones de ciberseguridad. Es sobre todo una cultura en la que el abogado, con un papel proactivo y bien informado, es parte fundamental.

Nota Original: La ciberseguridad también es cosa de abogados, El economista, https://www.eleconomista.com.mx/gestion/La-ciberseguridad-tambien-es-cosa-de-abogados-20190925-0037.html

Hackers están infectando sitios WordPress a través de un plugin inactivo

Hackers están infectando sitios WordPress a través de un plugin inactivo

Si eres administrador de WordPress y utilizas un complemento llamado Rich Reviews, querrás desinstalarlo. El complemento ahora desaparecido tiene una vulnerabilidad importante que permite a “malvertisers” infectar sitios que ejecutan WordPress y redirigir a los visitantes a otras webs.

Rich Reviews es un complemento de WordPress que permite a los sitios administrar reseñas internamente en WordPress, y también muestra las reseñas de Google. La empresa de marketing Nuanced Media lo lanzó junto con el desarrollador de complementos Foxy Technology en enero de 2013.

Sin embargo, la luna de miel no duró mucho. Al actualizar una antigua publicación de blog a principios de este mes, Nuanced Media reafirmó que había descontinuado el complemento. Culpó a un cambio en las pautas de esquema de Google que impidió a los comerciantes mostrar calificaciones de estrellas de revisión en sus propias URL.

La última actualización de la empresa al repositorio de Rich Reviews en GitHub fue hace más de tres años. El complemento finalmente desapareció del sitio de WordPress en marzo de este año. Había acumulado 106.000 descargas en total.

El problema es, que al menos algunos de esas descargas (16.000 según algunas estimaciones) todavía lo están utilizando y sufren una vulnerabilidad importante. El error de seguridad permite a los atacantes inyectar código de publicidad maliciosa en las páginas de WordPress de las víctimas, llenándolas de anuncios emergentes o redirigiéndolas a otros sitios.

Wordfence, que vende un firewall de WordPress, reveló el error el martes.

Los atacantes se aprovechan de dos problemas en el plugin. El primero es la falta de controles de acceso para las solicitudes POST que modifican las opciones del complemento, lo que significa que los atacantes pueden realizar esas solicitudes sin autorización.

El segundo error es un problema de validación de entrada. Algunas de esas solicitudes de modificación pueden cambiar el texto que se muestra en el sitio, pero el complemento no valida el contenido de la solicitud.

Estos dos defectos combinados significan que los atacantes pueden inyectar código JavaScript directamente en la página del sitio web.

Los atacantes ya están explotando este error, según Wordfence. Se está utilizando como parte de una campaña de publicidad maliciosa de larga duración que la empresa ha informado anteriormente, en la que los atacantes redirigen a los visitantes a sitios farmacéuticos o atacan directamente a sus navegadores.

Algunos usuarios de WordPress confirmaron que ya están sufriendo ataques basados en esta vulnerabilidad.

El usuario de WordPress @the9mm advirtió, en un foro de soporte de WordPress,  que el complemento había permitido que el malware infectara tres de sus cuatro sitios, redirigiendo a los visitantes a sitios de malware y pornografía. Añadió:

Desactivar y eliminar el complemento solucionó el problema.

Nuanced Media respondió de inmediato en el mismo foro, explicando que estaba trabajando en una solución que estaría disponible en las próximas dos semanas:

Hemos estado trabajando en una reescritura general de este complemento durante un tiempo, pero aparentemente alguien por ahí quería que trabajáramos más rápido y decidieron explotar nuestro complemento para sacar algo de malware. Ahora lo haremos doblemente rápido y esperamos tener una nueva versión (mejor y segura) en las próximas dos semanas.

Sin embargo, esta respuesta no impresionó a Wordfence. La gente no puede actualizar el complemento a menos que Nuanced Media lo reintroduzca en el sitio de WordPress, dijo. También criticó la “vaga línea de tiempo” de Nuanced Media para una solución, por lo que decidió revelar el problema de inmediato para que los usuarios puedan deshacerse de él.

Una cosa está clara: Nuanced Media sabía que había un problema de seguridad en este plugin en marzo, ya que el motivo de la eliminación del plugin fue un problema de seguridad, aunque no está claro cuál era ese problema.

El CEO de Nuanced Media, Ryan Flannagan, nos dijo que fue WordPress el que eliminó el complemento en marzo, y agregó:

La eliminación de Rich Reviews del repositorio de plugins de WordPress también lo eliminó de nuestras prioridades.

Dijo que la empresa no apoyará Rich Reviews a largo plazo y concluyó:

Es angustioso saber que algo que creamos se está utilizando como un vector de ataque: perjudicando a las empresas, frustrando a los administradores de sitios web y beneficiando al peor tipo de spammers. Sin embargo, debido a la reciente actualización de Google Schema y el alcance del proyecto Nuanced Media no respaldará el desarrollo continuo de Rich Reviews.

La empresa está buscando desarrolladores que estén interesados ​​en hacerse cargo del desarrollo del complemento, agregó.

Esto plantea una pregunta interesante para la comunidad de WordPress. Si una empresa publica un complemento y miles de personas lo usan, ¿debería tener la obligación de corregir los errores de seguridad conocidos lo antes posible, incluso si se elimina el complemento?

Automattic, que hace WordPress, no respondió a nuestras preguntas. Sin embargo, Mikey Veenstra, el analista de amenazas de Wordfence que publicó el error, opina:

Afortunadamente, en la mayoría de los casos vemos desarrolladores receptivos que se toman en serio la seguridad y son rápidos resolviendo cualquier problema. Sin embargo, siempre hay excepciones como estas.

El objetivo principal de la comunidad es centrarse en educar a los desarrolladores sobre las mejores prácticas, concluyó.

Nota Original del Blog de Sophos: https://news.sophos.com/es-es/2019/09/30/hackers-estan-infectando-sitios-wordpress-a-traves-de-un-plugin-inactivo/

Abrir chat
1
Hola, soy Mónica, ¿te puedo apoyar con algo?