Categoría: Ciberseguridad

En un mundo tan digitalizado, ¿puedes proteger tu información personal y la de tu empresa?

,

El mundo está cada vez más interconectado y convivir con la tecnología es inevitable. El problema es que, aunque los usuarios están conscientes y se preocupan por su ciberseguridad, a menudo no son capaces de identificar cómo deben proteger su información personal.

Las empresas pueden ser igual de vulnerables. República Dominicana sufrió más de 2,200 millones de intentos de ciberataques en 2021, según datos de Fortinet.

La realidad es que el desconocimiento, la falta de compromiso por parte de la dirección o tener una percepción equivocada de los ciberataques suelen ser los factores más determinantes para una fuga de información.

Piensa ¿cuánta información confidencial de carácter personal estaría llegando a manos equivocadas?

Te puede interesar:

Aquí te dejamos algunos consejos para cuidar tu información (aplica para ti y tu empresa):

  • No enviar información importante ni documentos por correo electrónico. En su lugar, guárdalos en un almacenamiento seguro en la nube, como Dropbox, y envía un vínculo compartido al archivo. 
  • No abrir el correo o hacer clic en un vínculo si no se está seguro del remitente. Tampoco descargar archivos adjuntos.
  • En las redes sociales, no compartir la ubicación ni edad, así como el lugar y horas de trabajo.
  • En caso de vacacionar, se recomienda compartir las fotos después del regreso. 
  • Al comprar por Internet, o reservar algo, se debe comprobar si el banco ofrece pasos adicionales de seguridad, como la autenticación multifactor.
  • Por difícil que parezca, no se recomienda usar la misma contraseña para todas tus cuentas.

Es recomendable pensar la ciberseguridad en términos de capas de protección para los ordenadores, redes, programas o datos que se intentan mantener seguros. La seguridad cibernética es un asunto que atañe a todo tipo de organizaciones, desde gobiernos hasta particulares.

Datos de interés para proteger tu información personal y empresarial

Más allá de los instrumentos tecnológicos, el valor de los datos y de la información personal se convierte en un activo cada vez más importante. La información de identificación personal o PII es el término que se utiliza para definir cualquier dato que pueda identificar a una persona específica:

  • Dirección física
  • Correo electrónico
  • Número de teléfono
  • Dispositivos de inicio de sesión y páginas de redes sociales que rastrean la actividad.
  • Con el uso de ID de rostros y huellas dactilares, los datos biométricos se agregan a la lista de información en internet.

En otras palabras, no se puede evitar compartir información personal en Internet. Desde pedir algo en un sitio web de compras hasta compartir fotos o información confidencial con tu familia, cada acción deja una huella en la red. Sigue estos sencillos consejos y protégete.

Compartir

Estafas más comunes en PayPal: ¿Cómo evitarlas?

, ,

Actualmente, PayPal es la empresa de pagos en línea más popular entre las principales marcas y empresas de todo el mundo. Muchos comerciantes han optado por utilizar esta plataforma porque cuenta con métodos de última generación para evitar fraudes. Sin embargo, en internet nunca estamos 100% a salvo de los estafadores.

Por esta razón, si eres comerciante y utilizas esta plataforma para recibir o enviar pagos, es bueno que conozcas cuáles son las estafas más comunes y cómo puedes evitarlas.

Sobrepago:

En este caso, el ciberdelincuente se hace pasar por un cliente habitual que ha realizado un pago mayor al valor del producto. Luego, con la excusa de que ha sido un error le pedirá al comerciante que devuelva la diferencia. Tras esto, el estafador se pondrá en contacto con PayPal para presentar un reclamo citando razones como que el producto entregado no es de buena calidad o bien, que su cuenta se ha visto afectada y decidió no comprar nada. En este último caso, el vendedor podría perder tanto el dinero como el producto si el estafador cumple los requisitos para un reembolso completo.

También, puede suceder que el estafador haya utilizado una tarjeta de crédito o cuenta de PayPal comprometida. En este escenario, si el titular de la tarjeta/cuenta se percata de que ha habido actividad no autorizada, hará el reporte correspondiente y nuevamente el comerciante perderá tanto los bienes como el dinero, incluso pueden agregarse los gastos de envío.

Es bien sabido que los accidentes pueden ocurrir, pero en este caso la mejor opción es cancelar la compra, ya que un sobrepago puede ser una señal clara de un intento de fraude.

Pago por adelantado:

Este tipo de estafas se dan con frecuencia. Aquí las víctimas reciben una notificación en donde se les indica que se les debe una determinada cantidad de dinero, que podría ser por una herencia, lotería o cualquier otra compensación.

Son muchas las opciones que puedes seleccionar, pero en cualquiera de los casos la víctima deberá hacer un pago anticipado a través de PayPal y tal vez rellenar un formulario con datos personales para poder recibir el dinero. Desde luego, quién envió el mensaje desaparece con el dinero y cualquier información otorgada posiblemente termine en una base de datos de la dark web.

Envío de paquetes:

Un ejemplo de este tipo de estafas es que el ciberdelincuente intente convencer al vendedor de utilizar su cuenta de envíos porque supuestamente podrá obtener ciertos descuentos o mejores precios que con su cuenta habitual. No obstante, si el vendedor acepta esta propuesta, el delincuente podría solicitar que el paquete sea enviado a otra dirección. Esto abre el camino para presentar un reclamo y declarar que el paquete nunca llegó; como el vendedor no tiene pruebas de haber hecho el envío significa que ha sido estafado, por lo que ha perdido el producto, costos de envío e igualmente  tendrá la responsabilidad de compensar la falta.

Otra técnica utilizada por los estafadores es el cambio de dirección.  Aquí el cibercriminal intencionalmente ofrece una dirección de envío falsa y tras monitorear pacientemente el paquete -para asegurarse de que el comerciante lo ha enviado-, deja un comentario de que su pedido no ha sido entregado. Posteriormente, se comunica con el vendedor para indicar su dirección “correcta” y finalmente recibir el producto. Debido a que no hay pruebas de la entrega, se crea la misma situación y el vendedor sufre grandes pérdidas.

Para evitar ser víctima de este tipo de estafas, es recomendable sujetarse a su cuenta de envío y no transferir dinero a personas desconocidas. De igual manera, es importante asegurarse de siempre enviar el producto a la dirección que el comprador ha indicado en la página. También, el comerciante puede optar por ponerse en contacto con su empresa de envío y prohibir a los clientes que cambien sus direcciones de entrega.

Phishing:

Nuevamente hablamos del conocido phishing, una forma común de estafas por internet para extraer datos personales, contraseñas, números de tarjetas bancarias u otra información confidencial del usuario.

Esto se puede dar al momento en que el comerciante recibe un correo electrónico -que puede parecer legitimo- en donde señalan que su cuenta de PayPal ha sido suspendida, en muchos casos por una supuesta actividad inusual. Todo esto es con la intención de que el comerciante intente volver a poner en funcionamiento su cuenta; para esto el correo falso le indicará que debe completar unos pasos donde debe colocar datos confidenciales. Si el vendedor procede, el estafador tendrá acceso a todas estas informaciones. En otros casos, el correo electrónico puede indicar un enlace que instalará un malware en el equipo de la víctima.

Lo recomendable es que si recibes un correo sospechoso, la envíes al soporte de PayPal (spoof@paypal.com) para que determinen si la información es fraudulenta.

Inversiones y donaciones benéficas:

Los estafadores aprovechan cualquier oportunidad para conseguir dinero. En este contexto, se hacen pasar por organizaciones benéficas para robar el dinero de sus víctimas solidarias. Esto ha sido muy popular durante la pandemia, pues usaban el pretexto de ayudar a huérfanos que perdieron sus padres o bien a personas que necesitan medicamentos que no pueden comprar.

Otra táctica que utilizan es ofrecer oportunidades de inversión, como por ejemplo una “propiedad económica.”  Para esto, crean sitios webs donde muestran la “inversión” e indican que deben realizar un depósito de una x cantidad de dinero a través de PayPal para proceder con la inversión. Una vez hecho esto, el sitio web desaparece y el empresario habrá perdido su dinero.

Ahora que tienes esta información a tu alcance, ¡no bajes la guardia!

Si eres comerciante y utilizas con frecuencia este tipo de plataformas, lo ideal es mantenerte alerta y siempre sospechar si sucede algo fuera de lo habitual. También, es importante siempre verificar cualquier  información y estar atento ante cualquier movimiento extraño, solicitud especial o correo electrónico no solicitado.

Sigue aprendiendo más de cómo realizar compras seguras en internet: Cómo te protege tu banco

Compartir

Ciberseguridad para niños, paso a paso

, , , , ,

En la actualidad, los niños desde muy temprana edad se ven expuestos a aparatos tecnológicos. Los jóvenes, no solo crecen en el ciberespacio, a raíz de la pandemia, ahora más que nunca se usa ordenador para estudiar e interactuar. Y cada vez son más los menores que cuentan con un smartphone. Es por ello que si el uso de estos se hace sin la debida orientación y guía de un adulto, podrían estar a merced de ciberataques, ciberacoso. ciberagresores sexuales. Malware. Intentos de phishing y publicaciones inapropiadas en redes sociales. 

Mariska | Dribbble

Debe quedar claro que la tecnología no es el problema sino los contenidos y la supervisión de los mismos. Ante eso, el joven, el padre o tutor deben a entender los peligros de la red:

Establezca las reglas básicas

Ejemplo: 

  • Lo que deben y no deben hacer.
  • Límites al tiempo en la red. 
  • Control sobre la información a compartir.

Explíqueles cómo y por qué de las reglas 

Deben ser conscientes de que usted los está cuidando, no tratando de causarles problemas. También debe de tratar de mantener a sus hijos a salvo sin hacerlos sentir que desconfía de ellos.

Enseñe a los niños a actuar por sí mismos

Es decir, cómo usar las funciones de privacidad, informes y bloqueo de los sitios que visitan.

Si no tienen la edad suficiente para comprender los peligros de la red: 

  • Utiliza los controles parentales en todos los dispositivos a los que tienen acceso los niños.
  • Habilita un usuario específico para ellos en la computadora.
  • Utiliza un antivirus con control parental, así tendrás alertas sobre sitios sospechosos y el mismo antivirus impedirá que accedan a ellos.

En ambos casos, para enseñar a los niños y niñas a cuidar la información que comparten en línea, acompáñalos a gestionar las contraseñas y el nivel de privacidad de sus publicaciones en redes sociales y aplicaciones. 

También es sumamente importante evitar que sus perfiles sean públicos para todo el mundo y limita las publicaciones para que solo se compartan con los contactos.

Te podría interesar:

Smart Toys, el «Oye Siri» de los niños y por qué debes conocerlo inteligentemente

Compartir
Ataque-de-diccionario

Ataque de diccionario o cómo descubrir tu contraseña adivinando

, , , , ,

¿Qué pensarías si te digo que tu contraseña no es única y que, probablemente, cientos de personas tiene la misma? Esto se vuelve un hecho con una metodología de robo conocida como “ataque de diccionario” que, así como la lotería, consiste en ‘tirar’ combinaciones hasta ‘pegarla’.

Suena simple, pero en realidad no lo es. Generalmente, para el atacante dar con la clave adecuada, prueba todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático y emplean programas especiales que se encargan de ello.

ciberataque de diccionario.

Ataque de diccionario: un juego de lotería 

La técnica consiste en probar consecutivamente muchas palabras reales recogidas en los diccionarios de los distintos idiomas, y también las contraseñas más usadas como “123456”, para tratar de romper las barreras de acceso a sistemas protegidos con clave.

Funciona porque es un hecho probado que un gran número de usuarios eligen las mismas contraseñas fáciles de recordar, pero también fáciles de adivinar por parte de los delincuentes.

Probablemente te sorprenda saber que las contraseñas “Contraseña”, “12345” y “QWERTY” han permanecido en los primeros puestos de las listas de contraseñas filtradas durante años.

Esto demuestra que a pesar de que se les advierte repetidamente, la gente está contenta de usar contraseñas pobres que los atacantes pueden adivinar fácilmente.

Ataque de diccionario

A eso se suma que un informe de investigación de violación de datos de Verizon de 2019 (DBIR) que señala que las credenciales robadas y reutilizadas están implicadas en el 80% de las violaciones relacionadas con la piratería informática.

La situación empeora cuando el Balbix State of Password Use Report 2020, revela que alrededor del 99% de los usuarios reutilizan las contraseñas, varía ligeramente las preferidas y no las cambia tras las violaciones de seguridad. Esto significa que este tipo de ataque puede ser fácil de ejecutar y que probablemente tenga éxito si se le da el tiempo y los intentos suficientes.

No seas tan fácil como una adivinanza 

Para evitar ser víctimas de este tipo de ataques se recomienda usar contraseñas que no estén en los diccionarios que el ‘hacker’ pueda usar y probar muchas veces, es decir:

  1. Usa palabras en distintos idiomas en la misma contraseña.
  2. Escribir las palabras con números o caracteres especiales intercalados.
  3. Si es posible, configurar un número máximo de intentos de acceso a los servicios.
  4. Utilizar la autenticación en dos pasos que ofrecen algunos servicios, es decir, recibir un código del servicio que luego habrá que introducir para acceder a la cuenta.

Si te interesa proteger todavía más tu información personal con contraseñas más “fuertes”, te interesará leer “La contraseña más segura (según los expertos)”.

Compartir

Ataque de día cero: descubre qué es y cómo evitarlo

, , , , ,

Un software vulnerable es un plato exquisito para los hackers, pues estos aprovechan cada micro segundo para realizar un ataque de día cero.

Cuando hablamos de ataques de “día cero” o “zero-day-attack”, nos referimos a que el desarrollador de una aplicación o un programa tiene “cero días” para corregir las fallas que aún no sabe que tiene, pero que un ciberdelincuente ya las descubrió.

Los piratas informáticos usarán las vulnerabilidades del sistema, como puertas ocultas, para acceder, instalar algún programa malicioso o robar datos, antes de que exista la posibilidad de solucionar la deficiencia por parte de los proveedores.

¿Cómo identificar un ataque de día cero?

En este punto, es importante saber: ¿Cómo identificar un ataque de día cero?

De primera mano, este ciberdelito es difícil de detectar. Para esto son necesarias excelentes habilidades en la codificación de sistemas que permitan identificar cualquier falla en el código fuente.

Sin embargo, los programadores y desarrolladores pueden implementar cualquiera de estos cuatro métodos para identificar estos accesos no autorizados y contrarrestarlos:

  • Método estadístico: utiliza los datos recogidos de ataques anteriores y determina un comportamiento normal del software. Cualquier variante en el comportamiento seguro es considerado como una señal de alerta.
  • Método de comportamiento: aquí se toma en cuenta la forma en que los archivos entrantes interactúan con el sistema para predecir si se trata de una interacción normal o es un posible movimiento nocivo.  
  • Método de firma: cada ciberataque tiene una firma exclusiva que las herramientas de seguridad utilizan para identificarlos. Pero, los “exploits” de día cero son inciertos, esto significa que no tienen firma. Sin embargo, los profesionales en seguridad pueden hacer uso del aprendizaje mecánico para crear nuevas firmas centradas en “exploits” anteriormente detectados y emplearlas para identificar futuros ataques.
  • Método combinado: como su nombre indica, este método es una combinación de los tres mencionados anteriormente. Aunque es más complicado, esta técnica debe ofrecer resultados más acertados.
Ataque día cero
Fuente externa

Ahora bien,  ¿cómo puedes evitarlos?

  • Mantén el sistema operativo, programas y aplicaciones de tu dispositivo debidamente actualizados.  De esta manera, estarás a salvo de los peligros que los desarrolladores identificaron y solucionaron en la versión anterior.
  • Utiliza un programa o herramienta de seguridad que alerte de posibles ataques, debido a que, por lo general siempre habrán amenazas aún sin identificar.
  • Guarda únicamente de los programas imprescindibles. Con esto no nos referimos a omitir la instalación de los programas que necesites, pero es recomendable hacer revisiones y eliminar aquellos que llevas tiempo sin utilizar.
  • Vigila y estudia el comportamiento de tu software. Detectar un comportamiento fuera de lugar puede ser un indicador de que estas a punto de recibir un ataque. Además, debes evitar a toda costa subestimar las amenazas.

Por último, como has llegado hasta aquí, te recomendamos mirar la película  “Zero Days” creada bajo a dirección de Alex Gibney. Se inspira en una operación de ciberterrorismo creada por servicios estadounidenses e israelíes.

Fuentes: Blog AVG Signal, Avast Academy, Software Lab.

Antes de irte, continúa leyendo cómo: Cuidar la información de tu empresa con el Programa de Protección Avanzada de Google.

Compartir

¿Sabías que debes asegurar los dispositivos electrónicos de tu empresa durante viajes? Conoce cómo hacerlo aquí

, ,

Sí. Siempre podemos resguardar la información sensible de nuestra empresa cuando viajamos y evitar ser víctima de un ciberataque a través de los dispositivos electrónicos. Portátiles, tabletas, teléfonos móviles y memorias USB institucionales, pueden ser blancos fáciles durante desplazamientos fuera de entornos controlados. Aquí te enseñamos cómo protegerlos:

Antes del desplazamiento

En estos tiempos en los que la virtualidad es inevitable, cuando te desplaces a otros lugares a través de aeropuertos, si pernoctas en hoteles, comes en restaurantes, participas en conferencias, etc, antes de sacar dicha información de la empresa, se recomienda:

1. Identificar y seleccionar la informaciónn sensible y almacenarla en dispositivos que no vayan a estar conectado a redes de comunicaciones y que no se utilice para navegar por Internet.

2. Es importante que los discos duros externos, memorias USB, tarjetas SD, etc. que almacenen informaciónn sensible estén cifrados.

3. Haber realizado una copia de seguridad dela información que seria sacada de la empresa.

Durante el desplazamiento

Fuera de la empresa, y continuando con algunas de las recomendaciones dadas anteriormente, los dispositivos no deberían ser capaces de conectarse a redes Wi-Fi públicas o abiertas, ya que esto aumenta el riesgo de sufrir ataques y de infección de los propios dispositivos. En ese orden:

1. Se ha de definir una contraseña de bloqueo. Si el dispositivo lo permite, utilizar métodos de identificación biométrica (huella dactilar o detección facial).

2. No realizar conexiones (USB, Bluetooth, NFC4, etc.) con dispositivos no confiables.

3. Desactivar funcionalidades no necesarias, especialmente en dispositivos móviles y tabletas: Bluetooth, NFC, conexión Wi-Fi compartida y localización.

4. La implementación del doble factor de autenticación (2FA) es crucial para usuarios remotos.

5. En caso de detectar cualquier ataque o comportamiento extraño durante el desplazamiento, se debe comunicar al responsable de seguridad TIC del Organismo.

6. Evitar acceder a aplicaciones corporativas (correo electrónico, bases de datos, etc.) si no se está utilizando una comunicación cifrada para ello, como puede ser una VPN.

7. En la medida de lo posible, se recomienda no utilizar el mismo dispositivo para navegar por Internet y para el tratamiento de información sensible y/o conexión a servicios corporativos.

Después del desplazamiento

La última medida a tomar, no por simple, debe ser menos importante, todo lo contrario:

1. Antes de conectar el dispositivo a la red corporativa es recomendable ejecutar un análisis antivirus o incluso una restauración de la imagen (o reseteo a valores de fábrica) del equipo. Por eso debe realizarse una copia de seguridad antes de sacar la información de la empresa.

Ya lo hemos dicho en otras oportunidades; no es aconsejable conectar a la red corporativa los dispositivos removibles (memorias USB) entregados por terceros sin revisión y aprobación previa del responsable de seguridad TIC del Organismo.

Además, se debe informar con la mayor brevedad al Departamento TIC de los problemas e incidencias detectadas para que puedan ser analizadas de cara a próximos desplazamientos.

Hemos repasado que hacer antes, durante y luego de trasladarte fuera del entorno seguro de nuestras empresas para proteger la información importante de la organización. Ahora continúa leyendo más de cómo navegar seguro aquí ➡️ Minimiza tu huella digital en 6 pasos.

Compartir
HP Wolf Security

Dile adiós a las brechas de seguridad con el HP Wolf Security

, , , ,

¿Te imaginas un mundo en donde no hubiera que preocuparse por los piratas informáticos? Sería grandioso, ¿no? Sin embargo, la realidad es otra. ¡Espera! El HP Wolf Security puede hacer realidad ese deseo.

Con el propósito de crear áreas de trabajo más ciberseguras, la compañía de tecnología HP creó el HP Wolf Security, una solución integral frente a los delitos informáticos que salvaguarda tu dispositivos electrónicos.

Su nueva línea de defensa se concentra especialmente en computadoras e impresoras, medios de trabajo muy vulnerables a ataques. 

¿Cómo protege el HP Wolf Security a mi empresa?

Desde pantallas de computadoras que impiden que otros fisgoneen el trabajo ajeno, hasta el restablecimiento automático del sistema operativo usando conexión de red sin necesidad de llamar al departamento de tecnología de la información (IT). Y mucho más.

Ahora bien, en el caso de las impresoras ni siquiera los cartuchos de tinta son alterables, es decir, la configuración de fábrica no acepta modificaciones maliciosas. Además, su firmware (software encargado de decirle al equipo cómo debe funcionar) se actualiza de manera automática para cuidar tus dispositivos de las amenazas más recientes.

Descubre cómo el Programa de Protección Avanzada de Google puede ser aliado de tu negocio. 

3 ventajas:

Estos son algunos de los beneficios que obtendrás:

Reducir significativamente los riesgos de seguridad.

Aliviar la carga de trabajo del departamento de TI.

Evitar que un virus se expanda por la red de la compañía, gracias a que se crea una máquina virtual totalmente aislada del sistema anfitrión.

Por si aún tienes dudas, dale un vistazo a la campaña publicitaria que lanzó HP sobre el HP Wolf Security. A nosotros nos encantó. Aquí el enlace

¿Por qué se les ocurrió la idea ahora y no antes?

“En el futuro habrá un mayor número de personas trabajando desde múltiples lugares fuera de la oficina. Esto abrirá nuevas y emocionantes oportunidades de movilidad, pero también creará nuevas brechas y vulnerabilidades a los usuarios”, señaló Melchor Sanz, Director de Tecnología (CTO) de HP.

De hecho, en 2020 se registraron más de 158 millones de intentos de ciberataques solo en República Dominicana según Fortinet, empresa estadounidense orientada a la seguridad informática y en redes.

Ya aprendiste sobre una nueva herramienta de ciberseguridad. Cuéntanos, ¿te animarías a implementarla en tu negocio?

Antes de que te vayas, anímate a leer nuestra:

Guía de ciberseguridad para pequeñas empresas

Compartir

Llave de seguridad, un factor de protección más allá de las contraseñas

, , , ,

En nuestra serie de artículos que relaciona los peligros de los ciberataques con la ficción del cine, habrás notado que, en algunas de esas producciones, más allá de las contraseñas, huellas dactilares o escaneo de ojos, utilizan unas especies de “llave de seguridad”. Si fue así, aquí te explicaremos en qué consisten, por si quieres proteger tu información a un nuevo nivel.

Estos dispositivos funcionan básicamente como una llave con la que abrir la puerta de casa y que, en teoría, solo tenemos nosotros para que ningún extraño entre fácilmente a nuestro hogar. Cuando se trata de seguridad contra ciberataques, hablamos entonces de dispositivos hardware que hacen uso de U2F, un estándar de verificación en dos pasos. 

Llave de seguridad, sin complicaciones

La diferencia respecto a la verificación en dos pasos tradicional en la que recibes un código, es que con la llave de seguridad se necesita tener acceso físico a un dispositivo hardware que hará la función de llave. Sin él no se tiene acceso a la cuenta del usuario.

Estas llaves suelen tener la forma tradicional de cualquier memoria USB del mercado y básicamente son eso, un dispositivo USB con un chip con un firmware especial. Este método evita técnicas de phishing que podrían acabar con la suplantación de cuentas, porque dentro hay una clave criptográfica única, que nadie más tiene y que le indica al dispositivo y la aplicación que el dueño quiere acceder.

También llamadosdongles, funcionan de manera muy fácil: se conectan a los dispositivos, móviles, ordenadores y demás, para verificar que se trata del dueño que intenta acceder a la cuenta de cualquier aplicación sin necesidad de escribir la contraseña. 

Tipos de llaves de seguridad

  • USB, tipo A o C.
  • USB/NFC, además de la conexión USB ofrecen NFC para realizar la verificación con solo acercarla al lector NFC del dispositivo.
  • USB/NFC/Bluetooth, aquí se añade la conexión Bluetooth.
Google Workspace Updates ES: Use llaves de seguridad NFC y USB de forma  nativa en dispositivos iOS

Este dispositivo puede usarse para iniciar sesión en Windows, en Mac, Linux, en cualquiera de los servicios de Google, servicios de almacenamiento en la nube como Dropbox, e, incluso, redes sociales como Facebook y Twitter. 

Te podría interesar:

Guía de ciberseguridad para pequeñas empresas

Compartir
Política de privacidad de mi empresa

¿Cómo debe ser la política de privacidad de mi empresa?

, , , , ,

Las empresas tienen el compromiso y la obligación de proteger los datos personales de sus usuarios. Sigue leyendo para que aprendas cómo debe ser la política de privacidad de tu organización.

En República Dominicana, existe la Ley 172-13 sobre Protección de Datos Personales que regula el uso de la información personal grabada en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.

¿Qué son datos personales?

 Ley 172-13 sobre Protección de Datos Personales regula la información de los ususarios en la República Dominicana
Fuente: Freepik

La legislación no. 172-13 reconoce como datos de carácter personal cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

En otras palabras, todo aquello que identifique o permita la identificación de una persona.

¿Qué es y qué debe incluir la política de privacidad de mi empresa?

La política de privacidad es el documento legal en el que se informa a los usuarios sobre los datos personales que se recopilan sobre ellos.

¿Cómo debe ser la política de privacidad de mi empresa?- Yo Navego Seguro
Fuente Freepik

Para elaborarla toma en consideración que el texto debe ser claro y preciso, pero con un lenguaje de fácil comprensión. Debe responder las siguientes preguntas:

  • ¿Qué información guardas y por cuáles motivos?
  • ¿Cómo, dónde y por cuánto tiempo la archivas?
  • ¿Quién la recibe?
  • ¿Cómo modificar o eliminar los datos del titular?

Según la Ley 172-13, los datos solo se recogerán para su tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

Puede leer la nuestra y tomarla como ejemplo: Política de Privacidad Yo Navego Seguro 

Deberes del administrador de datos personales

Cuando una persona le facilita información íntima a tu compañía lo hace confiando en que estará resguardada. Para garantizar esto, el Estado Dominicano en la Ley 172-13 establece los deberes que te corresponden como responsable del tratamiento de datos. Entre ellos:

¿Cómo debe ser la política de privacidad de mi empresa?- Yo Navego Seguro
Fuente Freepik
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta y uso o acceso no autorizado.
  • Permitir el acceso a la información a personas autorizadas. 
  • Realizar oportunamente la actualización, rectificación o supresión de los datos cuando sea el caso. 
  • Tramitar las consultas y los reclamos de los titulares.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley.
  • Garantizar al titular de los datos el derecho de hábeas data (derecho de las personas para solicitar y obtener la información existente sobre sí mismo, y de solicitar su eliminación o corrección).

Por tal razón, “se deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias para salvaguardar los datos de carácter personal que eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado”, sugiere el documento legal.

Ya conoces cómo proteger la información de tus clientes y los deberes que te corresponden como administrador de ella.

Ahora, puede que te interese conocer: ¿qué profesionales necesito en mi empresa para estar CiberSeguro?

Compartir
Black Friday y Cyber Monday

Black Friday y Cyber Monday: protege tu tienda online

, , , ,

Se acercan dos de los eventos (fechas) de Navidad más esperados por los amantes de las ofertas y compras online o en línea: Black Friday y Cyber Monday. Se espera que este año se superen las cifras de ventas y compras de años anteriores.  

En la República Dominicana hay más más de 260 empresas de comercio electrónico debidamente formalizadas (E-Commerce Day DR), sin mencionar todas las compras que se hacen en empresas fuera del país a través de plataformas digitales.

Si tienes una tienda online es importante que estés preparado para enfrentar de manera segura el aumento de transacciones (y sea algo que ya dejes instaurado).

Amenazas y riesgos a los que se enfrenta una tienda en línea durante el Black Friday y Cyber Monday

Tanto si la propia empresa gestiona la tienda en línea como si subcontrata el servicio a través de un técnico o empresa especializada, hay amenazas y riesgos que pueden afectar a la ciberseguridad de la tienda, y más en fechas como el Black Friday y Cyber Monday

Algunas de esas eventualidades que podrían afectar un sitio web y que pueden ser evitables destacan:

  • Ataques de denegación de servicio (DDoS) que pueden dejar tu web o página fuera de servicio durante un tiempo.
  • Fraudes económicos, derivados del uso de tarjetas robadas o del robo de la información financiera de los clientes.
  • Acceso a nuestra página de administración, panel de control del sitio web, alojamiento de la tienda en línea, o «back-end». Esto valiéndose de alguna vulnerabilidad en el gestor de contenidos utilizado. 
  • Infección por malwareransomware o botnet al usarse en la página web software desactualizado o con vulnerabilidades no corregidas.
  • Robo de información de clientes a  través del ciberdelito conocido como phishing en el que suplantan nuestra identidad con enlaces hacia páginas fraudulentas. 
  • Defacement: si han accedido a nuestro gestor de contenidos, podrían cambiar completamente el aspecto de nuestra web.

Soluciones 

Algunos de los casos anteriores se resuelven fácilmente con contar con una política de protección de la página web o con una política de relación con proveedores en caso de tener contratado el servicio de alojamiento, desarrollo o mantenimiento. Mientras que para otros, es requerible: 

  • Contratar servicios de empresas especializadas en pagos online denominadas IPSP (Internet Payment Service Providers), como Paypal, Google Wallet, Amazon Payments, etc.
  • Si utilizas en tu web el pago virtual con tarjetas de crédito, asegúrate que cumple con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS para que los titulares de tarjetas realicen compras de forma segura y protegidos frente a fraudes online. 
  • Disponer de software actualizado, con todos los parches de seguridad instalados.
  • Contar con un certificado web y verificar que está vigente. Así garantizamos la identificación de nuestra web (candado), y que las comunicaciones entre el cliente y el servidor irán cifradas (https://). 
  • Cambiar las contraseñas a los administradores del panel de control del gestor de contenidos o del servicio de alojamiento «hosting».
  • Si es posible, utilizar autenticación de doble factor. 
  • Comprobar diariamente el aspecto de tu página web, verificando que no hay modificaciones en contenidos.
  • Cumplimiento legal: asegúrate de cumplir todo lo marcado en el RGPD (Reglamento General de Protección de Datos), y en la LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico). 

Como cada año, el ultimo viernes de noviembre se celebra el Black Friday, y cada vez son más los comercios electrónicos y presenciales que adelantan sus ofertas a tan esperada fecha. Al tratarse de un fenómeno global, los ciberdelincuentes no se han mantenido alejados de las fechas. Por ello, conviene saber si una tienda en línea es segura, tener en cuenta la serie de consejos de ciberseguridad antes dados, porque como reveló la Oficina de Seguridad del Internauta (OSI) de España, detrás del Black Friday se esconden numerosos fraudes y engaños.

Te podría interesar:

¿Qué hago antes de comprar en una tienda online?

Compartir
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Ir al contenido