Apple está poniendo a disposición del público todas las compilaciones de servidores PCC de producción para su inspección, de modo que las personas no afiliadas a Apple puedan verificar que PCC está haciendo (y no haciendo) lo que la empresa afirma, y que todo está implementado correctamente. Todas las imágenes de servidores PCC se registran en un registro de atestación criptográfica, esencialmente un registro indeleble de afirmaciones firmadas, y cada entrada incluye una URL para descargar esa compilación individual. PCC está diseñado para que Apple no pueda poner un servidor en producción sin registrarlo. Y además de ofrecer transparencia, el sistema funciona como un mecanismo de cumplimiento crucial para evitar que los malos actores configuren nodos PCC no autorizados y desvíen el tráfico. Si una compilación de servidor no se ha registrado, los iPhones no le enviarán consultas ni datos de Apple Intelligence. PCC es parte del programa de recompensas por errores de Apple, y las vulnerabilidades o configuraciones incorrectas que encuentren los investigadores podrían ser elegibles para recompensas en efectivo. Sin embargo, Apple dice que desde que la versión beta de iOS 18.1 estuvo disponible a fines de julio, nadie ha encontrado fallas en PCC hasta ahora. La empresa reconoce que hasta ahora solo ha puesto a disposición de un grupo selecto de investigadores las herramientas para evaluar el PCC. Varios investigadores de seguridad y criptógrafos le dicen a WIRED que Private Cloud Compute parece prometedor, pero que aún no han dedicado mucho tiempo a investigarlo. «Construir servidores de silicio de Apple en el centro de datos cuando antes no teníamos ninguno, construir un sistema operativo personalizado para ejecutar en el centro de datos fue enorme», dice Federighi. Agrega que «crear el modelo de confianza donde su dispositivo se negará a emitir una solicitud a un servidor a menos que la firma de todo el software que ejecuta el servidor se haya publicado en un registro de transparencia fue sin duda uno de los elementos más singulares de la solución, y totalmente crítico para el modelo de confianza». Ante las preguntas sobre la asociación de Apple con OpenAI y la integración de ChatGPT, la empresa enfatiza que las asociaciones no están cubiertas por PCC y operan por separado. ChatGPT y otras integraciones están desactivadas de forma predeterminada, y los usuarios deben habilitarlas manualmente. Luego, si Apple Intelligence determina que una solicitud se cumpliría mejor con ChatGPT u otra plataforma asociada, notifica al usuario cada vez y le pregunta si desea continuar. Además, las personas pueden usar estas integraciones mientras están conectadas a su cuenta para un servicio asociado como ChatGPT o pueden usarlas a través de Apple sin iniciar sesión por separado. Apple dijo en junio que otra integración con Gemini de Google también está en proceso. Apple dijo esta semana que además del lanzamiento en inglés de Estados Unidos, Apple Intelligence llegará a Australia, Canadá, Nueva Zelanda, Sudáfrica y el Reino Unido en diciembre. La compañía también dijo que el soporte de idiomas adicionales, incluido el chino, el francés, el japonés y el español, dejará de ofrecerse el próximo año. Si eso significa que Apple Intelligence estará permitido bajo la Ley de IA de la Unión Europea y si Apple podrá ofrecer PCC en su forma actual en China es otra pregunta. «Nuestro objetivo es brindar todo lo que podamos para brindar las mejores capacidades a nuestros clientes en todos los lugares donde podamos», dice Federighi. «Pero tenemos que cumplir con las regulaciones y existe incertidumbre en ciertos entornos que estamos tratando de resolver para poder brindar estas funciones a nuestros clientes lo antes posible. “Estamos intentándolo”, añade, y añade que, a medida que la empresa amplíe su capacidad para realizar más cálculos de Apple Intelligence en el dispositivo, es posible que pueda utilizar esto como una solución alternativa en algunos mercados. Quienes obtengan acceso a Apple Intelligence tendrán la capacidad de hacer mucho más de lo que podían con las versiones anteriores de iOS, desde herramientas de escritura hasta análisis de fotografías. Federighi dice que su familia celebró el reciente cumpleaños de su perro con un GenMoji generado por Apple Intelligence (visto y confirmado como muy tierno por WIRED). Pero, aunque la IA de Apple está pensada para ser lo más útil e invisible posible, lo que está en juego es increíblemente alto para la seguridad de la infraestructura que la sustenta. Entonces, ¿cómo van las cosas hasta ahora? Federighi lo resume sin dudarlo: “El lanzamiento de Private Cloud Compute ha sido deliciosamente tranquilo”.
Etiqueta: seguridad Página 1 de 9
El identificador de llamadas es el nombre y el número que se muestra cuando recibes una llamada. Tu identificador de llamadas aparece cuando llamas a otra persona. Sin embargo, hay una distinción importante: los números que has guardado en tus contactos no son los mismos. Estamos hablando estrictamente de lo que aparece cuando te llama un número desconocido (o cuando llamas a alguien que no tiene tu número guardado). Es más común en teléfonos fijos, pero también lo estamos viendo en dispositivos móviles. Si bien no siempre funciona en teléfonos celulares, es útil tener una idea de quién llama. Sin embargo, el identificador de llamadas no siempre es preciso. Tanto las empresas como los individuos pueden usar la suplantación de números para hacerse pasar por otra persona. ¿Eso significa que no debes confiar en él? Vamos a averiguarlo. ¿Cómo funciona el identificador de llamadas? Alguien realiza una llamada: el teléfono de la persona que llama transmite su número al proveedor de telefonía del destinatario mediante CLID (identificación de línea de llamada). El proveedor busca en su base de datos: Algunas compañías telefónicas tienen sus propios conjuntos de datos, pero la mayoría también busca en listas CNAM (nombre de identificador de llamadas) para identificar a la persona que llama. Aparece el identificador de llamadas: Si hay una coincidencia, aparecerá en tu teléfono. Este proceso se basa en grandes bases de datos de nombres y números. Los conjuntos de datos grandes como estos son conocidos por estar desactualizados e inexactos. Además de eso, las bases de datos CNAM no son universales. Hay múltiples bases de datos CNAM en los Estados Unidos y en todo el mundo, todas mantenidas por diferentes entidades. Por lo tanto, es completamente posible que veas el nombre incorrecto en tu teléfono. A pesar de eso, aún puede ser una herramienta útil para prepararte, decidir cómo quieres responder y filtrar las llamadas. Además, es el mejor método con el que tenemos para trabajar para identificar llamadas desconocidas. Cómo encontrar el identificador de llamadas en tu teléfono Los teléfonos fijos modernos tienen una pantalla que muestra la información de la persona que llama cuando alguien te llama. En la mayoría de los casos, está configurado de forma predeterminada. No deberías tener que configurar nada para que funcione. Si quieres saber cómo se ve cuando llamas a alguien, la mejor manera de averiguarlo es llamando a otro teléfono. Muchos operadores también te permiten editar la información del identificador de llamadas en la configuración de tu cuenta. Siempre puedes llamar al servicio de atención al cliente y pedirles que también la actualicen por ti. Sin embargo, eso no siempre significa que aparecerá la información correcta cuando llames. Lleva tiempo que tu nuevo identificador de llamadas se propague por todas las bases de datos. Algunas personas pueden ver tu nueva información, otras pueden ver la antigua. Para las empresas, el identificador de llamadas es crucial. Ayuda a mantener la confianza con los clientes, lo que hace que sea más probable que respondan. Esta comunicación abierta hace que todo funcione mejor en todos los sentidos. También funciona al revés. Pueden conectar su software de gestión de relaciones con el cliente (CRM) (que almacena datos de clientes potenciales y clientes) a su sistema telefónico, lo que les permite ver con qué cliente están a punto de hablar. Si se hace bien, también podrán ver otra información, como compras anteriores y con quién hablaron la última vez. Encontrar el identificador de llamadas para números desconocidos ¿Qué sucede cuando el identificador de llamadas no funciona y todo lo que ves es un número aleatorio? Puedes hacer una búsqueda inversa de teléfono en línea usando un sitio gratuito como BeenVerified o Whitepages. Una simple búsqueda en Google también puede arrojar resultados gratuitos, especialmente si ese número se asocia comúnmente con llamadas spam o una empresa. Usa la búsqueda inversa de números de teléfono para encontrar un número de teléfono con Whitepages. Imagen: Whitepages Si realmente quieres ser proactivo a la hora de identificar números y bloquear llamadas no deseadas, puedes usar una aplicación como TrueCaller. Mantiene su propia base de datos de números sospechosos junto con bases de datos nacionales. Esta y otras aplicaciones similares ofrecen funciones adicionales, como filtrado de llamadas y la capacidad de bloquear números sin información de identificación de llamadas. La identificación de llamadas falsificada no siempre es mala Ya hemos hablado de por qué la identificación de llamadas no es perfecta: la suplantación de identidad es la más invasiva y poco fiable de todas. Entonces, ¿por qué existe la suplantación de identidad? En realidad, se utiliza todo el tiempo (de forma totalmente legal) sin que la mayoría de las personas se den cuenta. Las agencias de aplicación de la ley pueden falsificar números para operaciones encubiertas o para gestionar cuestiones de seguridad nacional. Una orden judicial puede permitir la suplantación de identidad para proteger a los testigos en un caso delicado. Los servicios antispam pueden utilizar números falsificados para atrapar e identificar a los que llaman spam. Pero, ¿qué pasa con las empresas normales? ¿Pueden falsificar números legalmente? Si no tienen intención de dañar a nadie, las empresas pueden modificar o falsificar su identificador de llamadas. Las empresas que utilizan sistemas VoIP pueden mostrar números gratuitos para llamadas salientes, incluso si se realizaron desde un número diferente. Las aplicaciones de entrega a menudo ocultan los números de los conductores y clientes para proteger su privacidad, y una empresa de comercio electrónico puede utilizar números locales para aumentar la participación en las llamadas. Los proveedores de atención médica pueden utilizarlo para proteger la privacidad del paciente mostrando un número de oficina central en lugar de la línea directa de un médico o enfermera. Si lo piensa, tener la capacidad de falsificar números tiene mucho sentido. Por supuesto, siempre habrá personas que abusen de ella. ¿Cuándo se vuelve ilegal la suplantación de identidad? Hay muchas zonas grises, a pesar de que existen leyes vigentes, en particular la Ley de Veracidad en la Identificación de Llamadas de 2009, que prohíbe a las personas falsificar números con la intención de defraudar, dañar u obtener algo de valor. Pero todos sabemos que eso no impide que la gente lo intente. Algunos de los usos ilegales más comunes de la suplantación de llamadas incluyen: Estafas de telemarketing: la suplantación de identidad facilita la suplantación de empresas o agencias legítimas, engañando a las víctimas para que revelen información personal o envíen dinero. Ataques de phishing: al aparecer como una fuente confiable, como un banco o una compañía de tarjetas de crédito, los estafadores atraen a las víctimas para que compartan información, hagan clic en enlaces maliciosos o descarguen malware. Extorsión y acoso: los falsificadores pueden amenazar o intimidar de forma anónima. Robo de identidad: haciéndose pasar por otra persona, los falsificadores obtienen acceso a información personal o cuentas financieras. Es posible que esté familiarizado con estos escenarios: cuando un estafador falsifica una llamada de un «nieto» angustiado que pide asistencia financiera de emergencia de su abuela. O cuando los actores maliciosos exigen dinero para completar un envío por una compra que una persona puede o no haber realizado. Estos son solo algunos ejemplos, y las tácticas utilizadas por los estafadores están en constante evolución. Muchos ahora vienen a través de mensajes de texto e incluso números locales en su área para engañarlo para que responda. ¿El mejor consejo? Sea cauteloso hasta que pueda confirmar con quién está hablando. Si alguna vez no está seguro, cuelgue y busque el número en Google. Si es una empresa, llame a su número de teléfono público y diga que se desconectó: si la llamada fue genuina, sabrán de qué está hablando. Si no, lo más probable es que haya sido alguien falsificando su número. VER: Obtenga más formas de ver si está recibiendo una llamada de spam. Enmascarar su propio identificador de llamadas con *67 Si bien no puede controlar la suplantación de identidad, puede proteger su privacidad al realizar una llamada. Todo lo que tiene que hacer es marcar *67 antes del número al que está llamando: su nombre y número permanecerán ocultos. En cambio, el destinatario probablemente verá algo como «Privado», «Bloqueado» o «Desconocido». Sin embargo, esto no es infalible. Algunas redes no respetan el código de bloqueo y muchos servicios de VoIP o sistemas más antiguos pueden ignorarlo por completo. Si alguna vez recibes una llamada de un número privado, bloqueado o desconocido, no estás de suerte si algo sucede. Las fuerzas de seguridad aún pueden rastrear la llamada usando la dirección IP de la persona que llama. En última instancia, *67 ofrece una buena primera línea de defensa para necesidades ocasionales de privacidad. Pero para una mejor protección, el uso de aplicaciones avanzadas de bloqueo de llamadas con capacidades de enmascaramiento de llamadas o la actualización a un servicio de VoIP te brinda más control sobre lo que otros ven cuando llamas.
El 31 de agosto, Google comenzó a eliminar ciertas aplicaciones de Android de su Play Store, citando el deseo de proporcionar «una experiencia de usuario estable, receptiva y atractiva». La medida, parte de la última política actualizada de spam y funcionalidad mínima de la compañía, es una que podría afectar a los desarrolladores. Las aplicaciones con «funcionalidad y contenido limitados», como las que son estáticas sin funcionalidades específicas de la aplicación, serán eliminadas. Esto incluye aplicaciones de solo texto o archivos PDF y aplicaciones con una pequeña cantidad de contenido que no brindan una experiencia de usuario atractiva, como aplicaciones de un solo fondo de pantalla, según la política. Google también está eliminando aplicaciones con funcionalidad rota, como aplicaciones que «se bloquean, se congelan, fuerzan el cierre o funcionan de manera anormal». Esto incluye aplicaciones que: No se instalan. Se instalan pero no se cargan. Se cargan pero no responden. La compañía se negó a hacer más comentarios sobre la medida. Menos libertad para los desarrolladores Andrew Cornwall, analista senior de Forrester, dijo a TechRepublic que mientras que la tienda de aplicaciones de Apple en iOS «tradicionalmente ha rechazado las aplicaciones que no cumplen con sus pautas de calidad, Google, por otro lado, ha permitido a los desarrolladores publicar muchas más». Más aplicaciones significaban más opciones, lo que le daba una ventaja a Google, dijo. Muchos desarrolladores publicaron primero en Google Play con una aplicación de prueba de bajo valor, dijo Cornwall. «Sin embargo, el desarrollador nunca tuvo la intención de que alguien descargara la aplicación», señaló. Algunas personas han utilizado herramientas de creación de aplicaciones gratuitas para crear aplicaciones que no eran más que anuncios de un servicio, dijo. «Los creadores de estas aplicaciones a menudo usaban técnicas de optimización de la tienda de aplicaciones para alentar las descargas, lo que resultaba en una mala experiencia de usuario». Por ejemplo, «los usuarios veían los anuncios cuando buscaban en lugar de aplicaciones que hacían lo que necesitaban», dijo Cornwall. Otro caso de uso involucraba a escritores que a veces publicaban un libro entregándolo como una aplicación en Google Play, usando la compra de la aplicación como método de pago, dijo. “Probablemente deberían haber sido libros electrónicos, para empezar, en lugar de aplicaciones”, dijo Cornwall. ¿Este cambio afecta la seguridad? El cambio de política no afecta significativamente a la seguridad; se trata más de mejorar la experiencia del usuario, enfatizó Cornwall. “Es posible que este cambio de política pueda descartar algunas aplicaciones de un solo panel que simplemente instalan adware o imitan el proceso de inicio de sesión de otra aplicación y no hacen nada más”, dijo. “Sin embargo, también entrarían en conflicto con la política de privacidad, engaño y abuso de todos modos”. Agregó que Google ha actualizado los Requisitos de Play Console “para garantizar que los productos y servicios financieros, la salud, la VPN y las aplicaciones gubernamentales sean de organizaciones registradas, no de desarrolladores individuales, lo que podría ayudar a evitar que los usuarios filtren información privada a una fuente no confiable”. Otro cambio de política que se avecina y que agrega audio a la cláusula de Medios manipulados de Google bajo la política de privacidad, engaño y abuso tiene “más que ver con mantener a Google fuera de problemas que con la seguridad del usuario final”, dijo. Más noticias y consejos de Google Pasos anteriores para abordar las infracciones de Play Store Esta no es la primera vez que Google rige las aplicaciones alojadas en su Play Store. En 2023, el gigante tecnológico evitó que 2,28 millones de aplicaciones que violaban sus políticas se publicaran en Play Store, según un blog de Google publicado en abril pasado. Google atribuyó las inversiones en «funciones de seguridad nuevas y mejoradas, actualizaciones de políticas y procesos avanzados de aprendizaje automático y revisión de aplicaciones» como medidas tomadas. Google también dijo en ese momento que había fortalecido sus procesos de incorporación y revisión de desarrolladores y ahora requiere más información de identidad cuando se establecen por primera vez las cuentas de Play. Las inversiones en sus herramientas y procesos de revisión le permitieron «identificar a los malos actores y las redes de fraude de manera más efectiva», escribió la compañía. Posteriormente, 333.000 cuentas «malas» fueron baneadas de Play por infracciones que incluyen «malware confirmado y reiteradas infracciones graves de políticas». Además, Google dijo que ha mejorado la postura de privacidad de más de 31 SDK que afectan a más de 790.000 aplicaciones al asociarse con proveedores de kits de desarrollo de software para limitar el acceso y el intercambio de datos confidenciales. El resultado para los usuarios La política actualizada de funcionalidad mínima de Google tiene como objetivo mantener estas aplicaciones de menor valor fuera de Google Play, tal como Apple ya hace con la App Store, dijo Cornwall. «Los usuarios probablemente no notarán una diferencia, excepto que las búsquedas mejorarán», explicó. «En el caso de los editores de libros, necesitarán encontrar otro método de pago o distribución», dijo. «Los spammers se trasladarán a otro canal de bajo costo. Los desarrolladores de aplicaciones pueden practicar con las opciones de prueba internas de Google Play». Al actualizar la política de spam y funcionalidad mínima, Google eliminará una gran cantidad de spam de Google Play, agregó Cornwall. «Es una buena noticia para los usuarios, que encontrarán aplicaciones útiles más rápidamente», dijo. «Los desarrolladores legítimos no deberían preocuparse. Si espera lanzar la próxima aplicación ‘Soy rico’ y luego retirarse con las ganancias, primero tendrá que hacer que haga algo interesante». Google enumera un conjunto completo de consejos para ayudar a los desarrolladores a publicar sus aplicaciones en Play.
Una nueva variante de ransomware de doble extorsión ataca a los servidores VMware ESXi, según han descubierto investigadores de seguridad. El grupo que está detrás de él, llamado Cicada3301, ha estado promocionando su operación de ransomware como servicio desde junio. Una vez que un atacante tiene acceso inicial a una red corporativa, puede copiar y cifrar sus datos privados utilizando el ransomware Cicada3301. A continuación, puede retener la clave de descifrado y amenazar con exponer los datos en el sitio de fugas dedicado de Cicada3310 para obligar a la víctima a pagar un rescate. El sitio de fugas de Cicada3301 ha enumerado al menos 20 víctimas, predominantemente en América del Norte e Inglaterra, según Morphisec. Las empresas eran de todos los tamaños y provenían de varios sectores, incluidos la fabricación, la atención sanitaria, el comercio minorista y la hostelería. La empresa de seguridad sueca Truesec se enteró por primera vez del grupo cuando publicó en el foro de ciberdelincuencia RAMP el 29 de junio en un intento de reclutar algunos nuevos afiliados. Sin embargo, BleepingComputer dice que ha sido informado de los ataques de Cicada desde el 6 de junio. Cómo funciona el ransomware Los atacantes obtienen entrada mediante fuerza bruta o robando credenciales válidas e iniciando sesión de forma remota a través de ScreenConnect y ejecutando el ransomware. Los comandos «esxcli» y «vim-cmd» de ESXi se ejecutan primero para apagar las máquinas virtuales y eliminar cualquier instantánea. Luego, el ransomware usa el cifrado ChaCha20 y una clave simétrica generada usando el generador de números aleatorios «Osrng» para cifrar los archivos. Todos los archivos de menos de 100 MB se cifran en su totalidad, mientras que el cifrado intermitente se aplica a los más grandes. La función de cifrado se dirige a ciertas extensiones de archivo asociadas con documentos e imágenes, incluidos docx, xslx y pptx. Los investigadores de Truesec dicen que esto indica que el ransomware se usó originalmente para cifrar sistemas Windows antes de ser portado para hosts ESXi. A los nombres de los archivos cifrados se les añaden extensiones aleatorias de siete caracteres que luego se utilizan para indicar sus respectivas notas de recuperación, almacenadas en la misma carpeta. Esta es también una técnica utilizada por el grupo líder de RaaS BlackCat/ALPHV. El ransomware Cicada3301 permite al operador ejecutar una serie de parámetros personalizados que podrían ayudarlo a evadir la detección. Por ejemplo, «sleep» retrasa el cifrado una cantidad definida de segundos y «ui» proporciona datos en tiempo real sobre el proceso de cifrado, como la cantidad de archivos cifrados. Cuando se completa el cifrado, la clave simétrica ChaCha20 se cifra con una clave RSA. Esto es necesario para descifrar las instrucciones de recuperación y los actores de la amenaza pueden entregarla una vez que se haya realizado el pago. El atacante también puede exfiltrar los datos de la víctima y amenazar con publicarlos en el sitio de fugas de Cicada3301 para obtener más ventajas. VER: Operación masiva de ransomware tiene como objetivo VMware ESXi: Cómo protegerse de esta amenaza de seguridad Cobertura de seguridad de lectura obligada Atacantes cibernéticos suplantando a una organización real El grupo de ransomware se hace pasar por una organización legítima llamada «Cicada 3301», responsable de una famosa serie de juegos de criptografía. No hay conexión entre los dos, a pesar de que los actores de la amenaza han robado su logotipo y marca. VER: Hoja de trucos de ransomware para 2024 El proyecto de rompecabezas Cicada 3301 ha publicado una declaración en la que se distancia del grupo RaaS, diciendo: «No conocemos la identidad de los criminales detrás de estos crímenes atroces y no estamos asociados con estos grupos de ninguna manera». Hay una serie de similitudes entre Cicada3301 y ALPHV/BlackCat que llevaron a los investigadores a creer que están conectados. Los servidores de ALPHV/BlackCat dejaron de funcionar en marzo, por lo que sería viable que el nuevo grupo represente un cambio de marca o una escisión iniciada por algunos de sus miembros principales. Cicada3301 también podría consistir en un grupo diferente de atacantes que simplemente compraron el código fuente de ALPHV/BlackCat después de que cesara su operación. Además de ALPHV/BlackCat, el ransomware Cicada3301 se ha conectado a una botnet llamada «Brutus». La dirección IP de un dispositivo para iniciar sesión en la red de una víctima a través de ScreenConnect está vinculada a «una amplia campaña de adivinación de contraseñas de varias soluciones VPN» por parte de Brutus, dice Truesec. Cicada3310 podría ser un cambio de marca o una escisión de ALPHV/BlackCat ALPHV/BlackCat cesó sus operaciones después de un ciberataque ejecutado descuidadamente contra Change Healthcare en febrero. El grupo no pagó a un afiliado su porcentaje del rescate de $ 22 millones, por lo que el afiliado los expuso, lo que llevó a ALPHV a simular una toma de control de las fuerzas del orden y apagar sus servidores. VEA: Sitio de ransomware BlackCat/ALPHV incautado en un esfuerzo internacional de eliminación Cicada3301 podría representar un cambio de marca o un grupo derivado de ALPHV/BlackCat. También hay una serie de similitudes entre sus ransomware, por ejemplo: Ambos están escritos en Rust. Ambos usan el algoritmo ChaCha20 para el cifrado. Ambos emplean comandos idénticos de apagado de VM y borrado de instantáneas. Ambos usan los mismos parámetros de comando de interfaz de usuario, la misma convención de nomenclatura de archivos y el mismo método de descifrado de notas de rescate. Ambos usan cifrado intermitente en archivos más grandes. Además, las actividades de fuerza bruta de la botnet Brutus, que ahora se ha vinculado a Cicada3310, se detectaron por primera vez solo dos semanas después de que ALPHV/BlackCat cerrara sus servidores en marzo. VMware ESXi se está convirtiendo en un objetivo popular de ransomware Truesec dijo que el ransomware Cicada 3310 se usa tanto en hosts Windows como Linux/VMware ESXi. VMware ESXi es un hipervisor de metal desnudo que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. El entorno ESXi se ha convertido en el objetivo de muchos ciberataques últimamente, y VMware ha estado proporcionando parches frenéticamente a medida que surgen nuevas vulnerabilidades. Poner en riesgo el hipervisor puede permitir a los atacantes desactivar varias máquinas virtuales simultáneamente y eliminar opciones de recuperación como instantáneas o copias de seguridad, lo que garantiza un impacto significativo en las operaciones de una empresa. Este enfoque pone de relieve el interés de los ciberatacantes en el enorme beneficio que pueden obtener al causar el máximo daño posible a las redes corporativas.
Los centros de contacto virtuales aprovechan la tecnología VoIP basada en la nube, lo que permite una comunicación de gran volumen desde cualquier dispositivo conectado a Internet. Combinan el manejo avanzado de llamadas, enrutamiento, análisis, gestión de agentes y colas en una plataforma fácil de usar. Todo ello al tiempo que permite a las personas que lo utilizan realizar y recibir llamadas (o gestionar el sistema) desde casa, una cafetería, una habitación de hotel o su escritorio en el trabajo. Cómo configurar el software de centro de contacto virtual Comienza por encontrar el software de centro de contacto adecuado. En primer lugar, busque una solución que centralice todos los canales de comunicación que utiliza (voz, vídeo, redes sociales, correo electrónico y mensajes de texto, por nombrar algunos). Más allá de eso, es un juego de equilibrar las funciones que necesita con el presupuesto del que dispone. Algunas herramientas tienen funciones avanzadas para equipos grandes, otras son sencillas y optimizadas para un puñado de agentes. Una vez que se haya registrado, deberá transferir los números existentes si los tiene; esto puede llevar semanas o meses y retrasar gravemente el proceso si no lo planifica. También necesitarás configurar reglas básicas de enrutamiento de llamadas, configurar el reenvío de llamadas y conectar tu CRM. Configurar un nuevo sistema vs migrar desde uno existente ¿Estás iniciando un nuevo centro de contacto virtual? El proceso es sencillo: la mayoría de los proveedores te guiarán a través de cada paso. Migrar desde un sistema existente suele ser un desafío mayor. Especialmente si eres un gran centro de llamadas que tradicionalmente ha trabajado en una oficina. Tu equipo será nuevo en el trabajo remoto y nuevo en el software. Con tantos cambios sucediendo a la vez, es importante prepararse para evitar interrupciones. El mejor enfoque es diseñar cada paso del proceso antes de comenzar. El proveedor debería ayudarte con esto, pero no es tan sencillo como comenzar de nuevo. Cuando tu nuevo sistema esté listo, pruébalo con algunos agentes antes de implementarlo para todo el equipo. De esta manera, podrás solucionar problemas y resolverlos sin que afecten a todos. Si se hace bien, los clientes no notarán la transición. También recomiendo presupuestar más tiempo del que crees que necesitas, especialmente si tienes que mover miles de usuarios o años de datos. Incorporación de agentes de centros de contacto virtuales Configurar cuentas para cada agente es la parte más sencilla de la incorporación. Con la mayoría de las soluciones de centros de contacto virtuales, se necesitan unos pocos clics. La capacitación de su equipo requiere mucho más tiempo y puede llevar más tiempo de lo esperado. Esto es así tanto si está contratando nuevos agentes como si está capacitando a los agentes en un nuevo sistema. Puede requerir varias sesiones de capacitación, especialmente si está aprovechando funciones avanzadas con las que no están familiarizados. Es fácil hacer los movimientos y simplemente marcar las casillas con una única sesión de capacitación grande para la empresa. Sin embargo, he tenido más éxito con grupos pequeños que le dan a cada agente suficiente tiempo para simular llamadas y usar la plataforma como lo harían para una interacción real. Esto garantiza que sepan dónde está todo, tengan la oportunidad de hacer preguntas y conseguir algunos representantes. Brindar acceso y capacitación sobre la nueva plataforma es solo el comienzo. También es posible que deba comprar nuevos equipos, como auriculares, teléfonos de escritorio y teléfonos inteligentes. Por último, debe hacer que cada agente pruebe su Internet en casa. Para llamadas estándar, todo lo que necesitan son 0,15 megabits por segundo. Para las videollamadas, se requieren 3 Mbps. Recomiendo agregar un margen de seguridad del 20-30% además de eso para tener en cuenta a otros miembros de su hogar que usan Internet al mismo tiempo. La mayoría de las redes residenciales ofrecen suficiente velocidad y ancho de banda, pero algunas pueden necesitar una actualización para garantizar una calidad de llamada nítida sin retrasos ni ecos. Ventajas de un centro de contacto virtual Además de la facilidad de administración y configuración, hay mucho que apreciar en los centros de contacto virtuales en comparación con un entorno de oficina tradicional. Eficiencia de costos El beneficio más obvio es el costo. El sistema en sí es mucho más económico que una solución de centro de contacto local o híbrido. Pero eso es solo el comienzo. También ahorrará en: Pagos de alquiler/arrendamiento/préstamo. Servicios públicos. Impuestos sobre la propiedad. Seguros. Mantenimiento y reparaciones. Estos ahorros compensan fácilmente las inversiones iniciales en mejor Internet, software, hardware y capacitación de su equipo. Escalabilidad infinita Con los centros de contacto tradicionales, eventualmente se quedará sin espacio físico. Claro, puede comprar una oficina más grande o agregar más ubicaciones, pero pagará mucho para hacerlo. Por el contrario, si reduce su tamaño, tendrá que pagar por un espacio de oficina más grande. Los centros de contacto virtuales eliminan todos esos problemas. Se necesitan menos de cinco minutos para agregar o eliminar usuarios de su sistema. Podrá crecer tanto como necesite sin todos esos gastos adicionales. Flexibilidad y satisfacción de los empleados Un centro de contacto virtual les da a los agentes la opción de trabajar desde casa. Incluso si opta por una configuración híbrida, esa flexibilidad es algo que un centro de llamadas tradicional en persona nunca podrá ofrecer. Trabajar desde casa puede tener un efecto dominó en la satisfacción de los empleados: muchos duermen más, están más contentos con sus trabajos, tienen un mejor equilibrio entre el trabajo y la vida personal y es menos probable que se vayan. Todo eso conduce a agentes más felices, lo que se traduce en clientes más felices. Acceso a un grupo de talentos más amplio Un centro de llamadas físico limita a quién puede contratar. Incluso si algunas personas están dispuestas a viajar bastante lejos, está limitado al talento cerca de su oficina. Los centros de llamadas virtuales le permiten contratar en cualquier parte del mundo. Podrá buscar y contratar a los mejores agentes para su negocio, sin importar dónde vivan. Además, puedes contratar agentes en otros países para atender a clientes que hablan diferentes idiomas. Ventajas y desventajas de un centro de contacto virtual Los entornos remotos e híbridos presentan sus propios desafíos. Afortunadamente, la mayoría de ellos no son demasiado difíciles de solucionar. Preocupaciones de seguridad Los centros de contacto son objetivos atractivos para las violaciones de datos y los ciberataques porque manejan datos en gran volumen. Los centros de contacto virtuales introducen aún más vulnerabilidades, especialmente si los empleados usan sus propios dispositivos. Realizar un seguimiento de una flota de varias computadoras portátiles, teléfonos celulares y computadoras de escritorio que no están bajo el mismo techo puede convertirse rápidamente en una pesadilla de TI. Sin mencionar la seguridad de las mismas sin violar la privacidad personal. Muchos entornos de trabajo remotos utilizan redes privadas virtuales (VPN) para ayudar con esto. Además de eso, la mayoría de las soluciones de centros de contacto virtuales vienen con características útiles, que incluyen: Cifrado de extremo a extremo. Controles de acceso estrictos. Autenticación multifactor. Escaneos de seguridad. También recomiendo capacitar a los empleados en los conceptos básicos de ciberseguridad para protegerse. Realizar auditorías internas y pruebas de penetración también puede ayudarlo a detectar posibles debilidades antes de que alguien más las descubra. VER: Conozca las mejores prácticas de seguridad de VoIP para mantener su sistema seguro. Desafíos técnicos La dependencia del software siempre plantea un riesgo, ya sea que su equipo sea remoto o no. Si el software deja de funcionar, no tendrá suerte hasta que vuelva a estar en línea. Esto puede causar interrupciones importantes, especialmente si ocurre durante el volumen pico. Los entornos remotos pueden empeorar la situación. También agregan cortes de energía y problemas de conexión a la lista de posibles desafíos técnicos. Otros agentes a menudo sienten la carga, lo que puede tener un impacto negativo en el servicio al cliente. Ofrecer un estipendio para la oficina en casa e instar a los empleados a invertir en una buena conexión a Internet es un buen punto de partida. Reducirá la posibilidad de que una Internet lenta o poco confiable obstaculice su trabajo. Capacitar a los agentes sobre problemas técnicos comunes también puede ayudar a resolver problemas simples antes de que se conviertan en interrupciones totales. Socialización y colaboración limitadas La socialización, la unión del equipo y la colaboración en tiempo real son naturales en los entornos de oficina tradicionales. Trabajar desde casa sofoca las tres. Si bien existen formas de combatirlo (fomentar las interacciones con los agentes, realizar registros periódicos y reuniones por video cara a cara), nada supera poder acercarse al escritorio de alguien y hacer una pregunta. Claro, hay momentos en los que desearía que mi equipo pudiera estar junto en un solo lugar, pero cuando veo cuánto más felices están de poder trabajar desde cualquier lugar, sé que vale la pena cada vez.
Wrike y Smartsheet son dos de las opciones de software de gestión de proyectos más populares disponibles en la actualidad. Si bien las dos plataformas parecen similares en una descripción general, descubrí muchas diferencias una vez que comencé a analizar las características con más detalle. Después de compararlas de cerca, recomiendo Wrike para equipos pequeños que buscan una herramienta gratuita y empresas que necesitan más integraciones. Mientras tanto, el plan gratuito de Smartsheet ofrece más funciones para usuarios individuales y facturación mes a mes para empresas que no quieren estar atadas a un contrato anual. 1 monday.com Empleados por tamaño de empresa Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1000-4999), Empresarial (5000+) Cualquier tamaño de empresa Cualquier tamaño de empresa Características Desarrollo ágil, Análisis/Informes, API y más 2 Wrike Empleados por tamaño de empresa Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1000-4999), Empresarial (5000+) Mediana (250-999 Empleados), Grande (1000-4999 Empleados), Empresarial (5000+ Empleados) Mediana, Grande, Empresarial Características Desarrollo ágil, Análisis/Informes, API y más 3 Quickbase Empleados por tamaño de empresa Micro (0-49), Pequeña (50-249), Mediana (250-999), Grande (1000-4999), Enterprise (5000+) Pequeña (50-249 empleados), Mediana (250-999 empleados), Grande (1000-4999 empleados), Enterprise (5000+ empleados) Pequeña, Mediana, Grande, Enterprise Características Desarrollo ágil, Análisis/Informes, API y más Smartsheet vs Wrike: Tabla comparativa CaracterísticasSmartsheetWrike Nuestra calificación (sobre 5)3.8/54.6/5 Precio inicial (facturado anualmente)$9 por usuario por mes$9.80 por usuario por mes Plan gratuitoSí, solo 1 usuarioSí, usuarios ilimitados Vistas de proyecto510 Seguimiento de tiempoSíSí Integraciones100+400+ Smartsheet vs Wrike: Precios A primera vista, Smartsheet y Wrike parecen tener estructuras de precios similares: Ambos ofrecen un plan gratuito para siempre, dos planes pagos con precios comparables y al menos un plan empresarial con precios no revelados (Wrike ofrece dos planes empresariales vs. Plan empresarial único de Smartsheet). El plan gratuito de Smartsheet solo admite un usuario y dos editores, en comparación con el generoso plan gratuito de Wrike que admite usuarios ilimitados. Sin embargo, aprecio que Smartsheet ofrezca una opción de precios mes a mes, mientras que el precio de Wrike es solo anual, lo que puede resultar desagradable para las empresas que no quieren estar atadas a un contrato a largo plazo. Precios de Smartsheet Gratis: $0 para un usuario y hasta dos editores. Pro: $9 por usuario por mes, facturado anualmente, o $12 por usuario por mes, facturado mensualmente. Business: $19 por usuario por mes, facturado anualmente, o $24 por usuario por mes, facturado mensualmente. Enterprise: se pueden solicitar cotizaciones. Hay una prueba gratuita de 30 días disponible para el plan empresarial. Para obtener más información, lea la revisión completa de Smartsheet y vea esta lista de alternativas de Smartsheet. Precios de Wrike Gratis: $0 por usuario por mes para usuarios ilimitados. Equipo: $9.80 por usuario por mes, facturado anualmente. Español: Negocios: $24.80 por usuario por mes facturado anualmente. Empresa: contacta a ventas para una cotización personalizada. Pinnacle: contacta a ventas para una cotización personalizada. Una prueba gratuita de 14 días está disponible para todos los planes pagos de Wrike. Para obtener más información, lee la reseña completa de Wrike y mira esta lista de alternativas a Wrike. Smartsheet vs Wrike: comparación de características Planes gratuitos Ganador: Wrike En términos de tamaño del equipo, el plan gratuito de Wrike ofrece usuarios ilimitados, mientras que Smartsheet solo permite un usuario, dos editores y dos espectadores. Si estás buscando un software de gestión de proyectos para pequeñas empresas para usar con todo tu equipo, el plan gratuito de Smartsheet no será suficiente, aunque puedo verlo funcionando para uso individual. Sin embargo, cuando se trata de características, el plan gratuito de Smartsheet ofrece mucho más que Wrike. Con Smartsheet, obtienes informes y paneles ilimitados, así como cuatro (de cinco) vistas de proyecto, incluidos diagramas de Gantt y tableros Kanban. Su plan gratuito incluso admite 250 automatizaciones por mes y acceso a integraciones. Un ejemplo de un diagrama de Gantt simple en Smartsheet. Imagen: Smartsheet El plan gratuito de Wrike es más limitado y no ofrece automatizaciones, paneles, análisis ni integraciones. Dadas las muchas plataformas de software de gestión de proyectos gratuitas que ofrecen planes generosos sin costo, me decepcionó un poco ver esto. Pero el plan gratuito de Wrike brinda acceso a múltiples vistas de proyectos, así como a la gestión de subtareas, la búsqueda inteligente y las plantillas de proyectos de casos de uso. Además, ofrece usuarios ilimitados, lo que lo convierte en una mejor opción en general para los equipos. Seguimiento del tiempo Ganador: Wrike Wrike es bastante conocido por su software de seguimiento del tiempo de los empleados, que viene con los planes Business, Enterprise y Pinnacle. Smartsheet también ofrece seguimiento del tiempo nativo, pero eso es parte de sus capacidades de gestión de recursos, que es un complemento pago que no está incluido en los planes básicos. Ni Wrike ni Smartsheet ofrecen seguimiento del tiempo en sus planes gratuitos. También puede utilizar un software de seguimiento del tiempo de terceros e integrarlo con cualquiera de las plataformas. El reloj de tiempo nativo en Wrike permite a los empleados autoinformar el tiempo. Imagen: Wrike Automatización Ganador: Empate Wrike ofrece un número limitado de automatizaciones por usuario, que varía según el plan. Mientras tanto, Smartsheet ofrece una cierta cantidad de automatizaciones por plan para todos los usuarios. Por ejemplo, Wrike permite 50 automatizaciones de tareas por usuario en su plan Team, mientras que Smartsheet tiene 250 automatizaciones por mes en su plan Pro. El generador de automatizaciones en Smartsheet ayuda a reducir las tareas manuales. Imagen: Smartsheet Analicé los números de los dos planes más económicos y descubrí que obtendrás más automatizaciones por persona con Smartsheet si tienes 12 usuarios o menos, pero obtendrás más automatizaciones en general con Wrike si tienes 13 usuarios o más. Recomiendo tener en cuenta el tamaño de tu propio equipo, la frecuencia de uso de la automatización y el presupuesto para obtener una comparación más precisa. Integraciones Ganador: Wrike Smartsheet tiene más de 100 integraciones, mientras que Wrike tiene más de 400 integraciones. Ambos software se integran con herramientas empresariales estándar como Microsoft Teams, Google Workspace y Slack. Los equipos también pueden encontrar aplicaciones de terceros compatibles para visualización de datos, comunicación, inteligencia empresarial, marketing y seguridad para cada plataforma. Wrike Integrate permite a los usuarios crear automatizaciones con software conectado. Imagen: Wrike Si bien es genial que Wrike ofrezca una cantidad tan grande de conexiones, algunas de las integraciones de Wrike están limitadas al complemento pago Wrike Integrate, y no me queda del todo claro en el sitio web qué integraciones están sujetas a pago. Es bastante típico que el software de gestión de proyectos restrinja algunas integraciones a planes de nivel superior, pero me pareció un poco inusual que Wrike decidiera convertirlas en un complemento pago. Si está buscando una integración específica para usar con Wrike, definitivamente vale la pena confirmar con el equipo de ventas si está incluida con un nivel de plan o requeriría un costo adicional con el complemento. Ganador de seguridad: empate Los usuarios obtienen funciones de seguridad avanzadas como el inicio de sesión único (SSO) SAML tanto en Smartsheet como en Wrike, pero estas funciones están limitadas al nivel Enterprise en ambas plataformas. Wrike también ofrece una capa adicional de cifrado a través de un complemento llamado Wrike Lock. Mientras tanto, Smartsheet ofrece varios complementos de seguridad a la carta, incluidas políticas de retención de datos e informes de eventos. Pros y contras de Smartsheet ProsContras El plan gratuito incluye muchas funciones diferentes.La facturación mes a mes está disponible.La interfaz basada en hojas de cálculo resultará familiar para los usuarios de Excel.Sólidas herramientas de informes y análisis.Las integraciones están incluidas en varios planes básicos.Solo se permite un usuario en el plan gratuito.La gestión de recursos (incluido el seguimiento del tiempo) es un complemento pago.La interfaz puede parecer obsoleta en comparación con Wrike. Wrike pros y contras ProsContras La interfaz es colorida y visualmente atractiva. El plan gratuito admite usuarios ilimitados. Seguimiento de tiempo nativo incluido en planes pagos más altos. Más vistas de proyectos que Smartsheet. Más integraciones que Smartsheet. Las características del plan gratuito son bastante limitadas. Algunas integraciones están limitadas a un complemento pago. No hay opción de facturación mensual. ¿Deberías usar Smartsheet o Wrike? Elige Smartsheet si… Buscas un software de gestión de proyectos gratuito para uso individual. Quieres una opción de facturación mensual. Prefieres una interfaz de aspecto más tradicional que recuerde a Excel. Necesitas herramientas avanzadas de informes y análisis. Elige Wrike si… Quieres un software de gestión de proyectos gratuito con puestos ilimitados. Necesitas más integraciones y estás dispuesto a pagar potencialmente por el complemento. Quieres facturación anual en lugar de mes a mes. Prefieres que el seguimiento de tiempo nativo esté incluido en el plan básico. Preguntas frecuentes ¿Wrike es similar a Smartsheet? Wrike y Smartsheet son software de gestión de proyectos y ofrecen muchas de las mismas funciones. Sin embargo, abordan sus estructuras de precios de manera diferente, por lo que debe comparar las plataformas de cerca para determinar cuánto tendrá que pagar por sus herramientas de primera elección. Por ejemplo, Smartsheet ofrece muchas más funciones en su plan gratuito, pero lo limita a un solo usuario, por lo que es inútil para los equipos. Por el contrario, el plan gratuito de Wrike admite usuarios ilimitados, pero ofrece funciones muy limitadas. ¿Cuáles son las limitaciones de Smartsheet? Smartsheet solo admite un usuario y dos editores en su plan gratuito para siempre. Además, la interfaz inspirada en hojas de cálculo de Smartsheet puede parecer obsoleta en comparación con la interfaz más colorida y visualmente atractiva de su alternativa. Smartsheet también limita varias funciones de administración de recursos, incluido el seguimiento del tiempo nativo, a un complemento pago. Metodología de revisión Para comparar Smartsheet con Wrike, aproveché las pruebas gratuitas para poder probar el software yo mismo. Durante la redacción de esta revisión, comparé características como vistas de proyectos, seguimiento del tiempo, automatizaciones, integraciones y seguridad. También consideré otros factores, como el precio, la atención al cliente y el diseño de la interfaz de usuario.
El 31% de las organizaciones sufrieron una filtración de datos de SaaS en los últimos 12 meses, un aumento del 5% respecto al año anterior, según un nuevo informe. Este aumento puede estar relacionado con una visibilidad inadecuada de las aplicaciones que se están implementando, incluidas las conexiones de terceros a las principales plataformas SaaS. Casi la mitad de las empresas que utilizan Microsoft 365 creen que tienen menos de 10 aplicaciones conectadas a la plataforma, pero los datos agregados del informe muestran que el número medio de conexiones supera las mil. Un tercio admitió que no sabe cuántas aplicaciones SaaS están implementadas en su organización. Aplicaciones SaaS: un objetivo popular para los ciberdelincuentes Para el «Informe sobre el estado de la seguridad de SaaS 2024», la plataforma de seguridad AppOmni encuestó a gerentes y expertos en TI de 644 empresas de EE. UU., Reino Unido, Francia, Alemania, Japón y Australia en febrero y marzo de 2024. Casi la mitad tiene más de 2500 empleados. “Las unidades de negocio o los individuos a menudo pasan por alto los procesos tradicionales de adquisición de TI para adoptar nuevas aplicaciones SaaS de terceros que se integran perfectamente con sus plataformas SaaS principales”, escribieron los autores. Según otro informe reciente de Onymos, la empresa promedio ahora depende de más de 130 aplicaciones SaaS en comparación con solo 80 en 2020. Son un objetivo popular para los ciberdelincuentes debido a los datos confidenciales que almacenan, los numerosos puntos de entrada debido a su adopción generalizada e integración con otros servicios, y su dependencia de entornos de nube a menudo mal configurados. Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques a sus cadenas de suministro de software para 2025. VER: Millones de aplicaciones de Apple fueron vulnerables al ataque a la cadena de suministro de CocoaPods Cobertura de seguridad de lectura obligada La gobernanza de seguridad descentralizada acompaña la implementación de aplicaciones SaaS, lo que puede generar brechas Otro factor en juego es el movimiento gradual hacia la descentralización de la gobernanza de la seguridad, que ha generado confusión sobre las responsabilidades y, por lo tanto, brechas peligrosas. El SaaS ha reemplazado en gran medida al software local que se protege fácilmente con medidas de seguridad físicas como cámaras y guardias. Como el SaaS está basado en la nube, se implementa en diferentes dispositivos y lo utilizan diferentes personas, su seguridad y gobernanza también se han dispersado. Solo el 15% de los encuestados indicó que la responsabilidad de la seguridad del SaaS está centralizada en el equipo de ciberseguridad de la organización. «Los beneficios de las operaciones descentralizadas van acompañados de una difuminación de las responsabilidades entre el CISO, los jefes de línea de negocio y el equipo de ciberseguridad», escribieron los autores del informe. «Los cambios necesarios para la seguridad integral del SaaS a menudo quedan en segundo plano frente a los objetivos comerciales, incluso cuando los jefes de las unidades de negocio carecen de los conocimientos necesarios para implementar controles de seguridad». Agregaron: «Y debido a que hay tanta autonomía a nivel del propietario de la aplicación con respecto a los controles de seguridad, es difícil implementar medidas de ciberseguridad consistentes para protegerse contra vulnerabilidades específicas de la aplicación». La investigación de las aplicaciones SaaS no está a la altura, incluso las sancionadas por la empresa Casi todas las organizaciones encuestadas solo implementaron aplicaciones SaaS que cumplieron con los criterios de seguridad definidos. Sin embargo, el 34% dijo que las reglas no se aplican estrictamente. Esto marca un aumento del 12% con respecto a la encuesta de 2023. La confusión de responsabilidades entre los líderes empresariales y los equipos de TI y su deseo de obtener beneficios de eficiencia lo más rápido posible significa que las aplicaciones no siempre obtienen el más alto estándar de verificación de seguridad antes de su implementación. Además, solo el 27% de los encuestados confía en los niveles de seguridad de las aplicaciones que han sido sancionadas. Menos de un tercio confía en la seguridad de los datos de su empresa o clientes almacenados en aplicaciones SaaS empresariales, lo que marca una disminución del 10% con respecto al año pasado. Los autores del informe escribieron: «Las aplicaciones SaaS varían ampliamente en cómo manejan políticas, eventos y controles para administrar el acceso y los permisos. Por lo tanto, la gestión ad hoc de políticas por aplicación puede llevar a una implementación inconsistente». Recomendaciones para construir un entorno SaaS seguro El equipo de AppOmni proporcionó varios pasos para garantizar un entorno SaaS seguro: Identificar la superficie de ataque SaaS auditando el patrimonio SaaS, determinando los niveles de acceso. Priorice las aplicaciones que almacenan y procesan información crítica para el negocio. Defina los roles y las responsabilidades de los profesionales de seguridad y los líderes empresariales, y elabore procedimientos operativos estándar para procesos como la incorporación de nuevas aplicaciones, el establecimiento de líneas de base de políticas y la incorporación y salida de usuarios. Establezca permisos sólidos y una detección precisa de amenazas en el patrimonio de SaaS para minimizar la cantidad de alertas de seguridad y permitir correcciones sistémicas. Asegúrese de que las políticas de detección y aprobación estén implementadas para las aplicaciones SaaS conectadas y las conexiones OAuth, no solo para las aplicaciones principales. Utilice la Matriz de madurez de eventos de SaaS de código abierto para revisar los eventos admitidos para las aplicaciones conectadas. Formule una estrategia de respuesta a incidentes que priorice la respuesta a los riesgos e incidentes de SaaS, incluido el alcance, la investigación, la protección y la generación de informes. Brendan O’Connor, director ejecutivo y cofundador de AppOmni, dijo en el informe: «Los días de esperar a los proveedores de SaaS como los principales proveedores de seguridad para su patrimonio de SaaS han terminado. “Como sistema operativo de una empresa, su patrimonio SaaS requiere un programa de seguridad bien estructurado, una alineación organizacional en cuanto a responsabilidad y rendición de cuentas, y un monitoreo continuo a escala”.
Los incendios de baterías de iones de litio pueden ser intensos y aterradores. Como alguien que solía reparar teléfonos inteligentes de segunda mano, he extinguido una buena cantidad de iPhones en llamas con baterías de iones de litio perforadas. Y el tipo de batería de teléfono inteligente que tienes en el bolsillo ahora mismo es similar a la que hay dentro de los vehículos eléctricos. Excepto que la batería de los vehículos eléctricos almacena mucha más energía, tanta que algunos bomberos están recibiendo capacitación especial para extinguir las llamas extra intensas que emiten las baterías de los vehículos eléctricos que se queman después de los accidentes de carretera. Si has estado leyendo las noticias sobre vehículos eléctricos, probablemente te hayas encontrado con muchos artículos aterradores sobre el aumento de los incendios de baterías. Recientemente, la Junta Nacional de Seguridad del Transporte de EE. UU. y la Patrulla de Carreteras de California anunciaron que están investigando un incendio en un camión Tesla que se inició después de que el vehículo chocara contra un árbol. La batería de iones de litio ardió durante aproximadamente cuatro horas. ¿Significa esto que deberías preocuparte por tu vehículo eléctrico personal como un peligro potencial de incendio? En realidad, no. Tiene más sentido preocuparse por un vehículo de gasolina que se incendie que un vehículo eléctrico, ya que los vehículos eléctricos tienen menos probabilidades de incendiarse que sus contrapartes de transporte más tradicionales. «Los incendios debidos a defectos de fabricación de la batería son realmente muy raros», dice Matthew McDowell, codirector del Centro de Baterías Avanzadas de Georgia Tech. «Especialmente en vehículos eléctricos, porque también tienen sistemas de gestión de baterías». El software controla las diferentes celdas que componen la batería de un vehículo eléctrico y puede ayudar a evitar que la batería se exija más allá de sus límites. ¿Cómo se producen los incendios en los vehículos eléctricos? Durante un choque que daña la batería del vehículo eléctrico, puede iniciarse un incendio con lo que se llama fuga térmica. Las baterías de los vehículos eléctricos no son un solo ladrillo sólido. Más bien, piense en estas baterías como una colección de muchas baterías más pequeñas, llamadas celdas, presionadas unas contra otras. En el caso de una fuga térmica, una reacción química en una de las celdas enciende un fuego inicial, y el calor pronto se propaga a cada celda adyacente hasta que se quema toda la batería del vehículo eléctrico. Greg Less, director del Laboratorio de Baterías de la Universidad de Michigan, divide los incendios de baterías de vehículos eléctricos en dos categorías distintas: accidentes y defectos de fabricación. Considera que los accidentes son todo, desde una colisión que perfora la batería hasta un percance durante la carga. «Dejemos eso de lado», dice Less. «Porque creo que la gente entiende que, independientemente del tipo de vehículo, si tienes un accidente, puede haber un incendio». Si bien todos los incendios de baterías de vehículos eléctricos son difíciles de apagar, los incendios por defectos de fabricación probablemente sean más preocupantes para los consumidores, debido a su aparente aleatoriedad. (Recuerde cuando todos esos teléfonos Samsung tuvieron que ser retirados del mercado porque los problemas con la batería los convertían en peligro de incendio). ¿Cómo estos problemas poco frecuentes con la fabricación de baterías de vehículos eléctricos causan incendios, en lo que pueden parecer momentos aleatorios? Todo se reduce a cómo se diseñan las baterías. “Hay algún nivel de ingeniería que ha fallado y ha provocado que la celda se cortocircuite, lo que luego comienza a generar calor”, dice Less. “El calor hace que el electrolito líquido se evapore, creando un gas dentro de la celda. Cuando el calor aumenta lo suficiente, se incendia, explota y luego se propaga a otras celdas”. Este tipo de defectos son probablemente los que causaron los recientes incendios de vehículos eléctricos muy publicitados en Corea del Sur, uno de los cuales dañó más de cien vehículos en un estacionamiento. Cómo reaccionar si su vehículo eléctrico se incendia Según la Agencia Nacional de Prevención de Incendios, si un vehículo eléctrico se incendia mientras está detrás del volante, busque inmediatamente una forma segura de detenerse y alejar el automóvil de la carretera principal. Luego, apague el motor y asegúrese de que todos abandonen el vehículo inmediatamente. No retrase las cosas agarrando pertenencias personales, simplemente salga. Manténgase a más de 100 pies de distancia del automóvil en llamas mientras llama al 911 y solicita al departamento de bomberos. Además, no debe intentar apagar las llamas usted mismo. Se trata de un incendio químico, por lo que un par de baldes de agua no bastarán para sofocar las llamas. Los bomberos pueden necesitar diez veces más agua para extinguir un incendio en una batería de un vehículo eléctrico que un incendio en un vehículo a gasolina. A veces, los bomberos pueden decidir dejar que la batería se queme sola, en lugar de rociarla con agua.
A medida que las organizaciones digitalizan y gestionan cada vez más diversas contraseñas en varios sistemas y aplicaciones, la gestión de identidades y accesos (IAM) se ha convertido en una piedra angular de la ciberseguridad. Un componente clave de la IAM es la autenticación multifactor (MFA), una medida de seguridad que mejora la seguridad del inicio de sesión al exigir a los usuarios que verifiquen su identidad a través de múltiples factores de autenticación. A diferencia de la autenticación de dos factores (2FA), que utiliza solo dos formas, la MFA puede incorporar varios tipos de autenticación, como algo que tienes (por ejemplo, un dispositivo móvil), algo que sabes (por ejemplo, una contraseña) o algo que eres (por ejemplo, una huella digital). He aquí por qué debería intentar prevenir los ataques de fatiga de MFA: ¿Qué son los ataques de fatiga de MFA? En el panorama actual, la MFA suele considerarse la medida de seguridad mínima que una organización puede implementar y es crucial para un marco de confianza cero. La importancia de la MFA quedó subrayada por una importante vulneración en 2023 en la empresa de intercambio de datos genéticos 23andMe, donde la falta de MFA permitió que tuviera éxito un ataque de robo de credenciales. Las empresas están empezando a utilizar MFA Afortunadamente, la adopción de MFA está en aumento. En 2022, el 58% de las organizaciones involucradas en incidentes de Business Email Compromise (BEC) carecían de MFA. Ese número se redujo al 25% en el primer trimestre de 2024. Sin embargo, aunque la MFA es esencial, podría ser mejor. Los ataques de fatiga de MFA son cada vez más comunes, especialmente a medida que aumenta el volumen de credenciales robadas y los atacantes utilizan estas credenciales en sus métodos de ataque iniciales. ¿Qué es la fatiga de MFA? La fatiga de MFA, también conocida como «bombardeo rápido», «bombardeo push» o «fatiga de notificación», ocurre cuando un atacante bombardea a una víctima con notificaciones de MFA hasta el punto de abrumarla. Este ataque solo puede ocurrir si el actor de la amenaza ya tiene las credenciales del objetivo, generalmente obtenidas a través de vulneraciones anteriores como phishing, fuerza bruta o pulverización de contraseñas. Los ataques de fatiga de MFA se emplean a menudo durante la fase de acceso inicial de un ataque, particularmente en incidentes de BEC. Sin embargo, se pueden utilizar en cualquier etapa cuando un atacante busca acceder a cuentas o aplicaciones específicas. Estos ataques también son efectivos para el movimiento lateral o la escalada de privilegios dentro de una red. ¿Cómo ocurre un ataque de fatiga de MFA? Un ataque de fatiga de MFA se desarrolla en las siguientes etapas: Adquisición de credenciales: el atacante obtiene las credenciales de inicio de sesión de la víctima a través de ingeniería social, robo o comprándolas en la web oscura. Solicitud de MFA: el atacante ingresa las credenciales robadas en una pantalla de inicio de sesión y envía una solicitud de MFA al dispositivo de la víctima. Bombardeo de notificaciones: si la víctima no aprueba inmediatamente la solicitud, el atacante envía repetidamente solicitudes de MFA, lo que crea «fatiga» en la víctima. Acceso obtenido: una vez que la víctima finalmente aprueba una solicitud para detener las notificaciones, el atacante obtiene acceso a todos los recursos protegidos por MFA. ¿Qué sucede si no puede prevenir un ataque de fatiga de MFA? Un ejemplo notable de un ataque de fatiga de MFA ocurrió en 2022 cuando un hacker adolescente atacó al gigante del transporte Uber. El atacante envió múltiples notificaciones de MFA a un solo usuario y luego lo contactó a través de WhatsApp, haciéndose pasar por TI interna. Al convencer al usuario de que las indicaciones eran legítimas, el atacante obtuvo acceso y escaló el ataque. La combinación de múltiples tácticas de ingeniería social, como smishing y fatiga de MFA, es una estrategia común para generar confianza y manipular objetivos. Cómo prevenir ataques de fatiga de MFA Las organizaciones y las personas pueden tomar varias medidas para prevenir ataques de fatiga de MFA: Limite las notificaciones de MFA: restrinja la cantidad de notificaciones de MFA que reciben los usuarios dentro de un período de tiempo específico. Esto puede prevenir el bombardeo de indicaciones al impedir que el atacante envíe múltiples solicitudes de MFA. Desactive las notificaciones push de MFA: considere reemplazar las simples indicaciones de MFA de «sí» o «no» con métodos de autenticación más complejos. La mayoría de los proveedores de MFA permiten deshabilitar las notificaciones push a favor de métodos de desafío-respuesta o contraseña de un solo uso basada en el tiempo (TOTP). Implemente la autenticación web: agregue un autenticador web a su entorno para el más alto nivel de seguridad de MFA, siempre que sus aplicaciones y dispositivos sean compatibles. Agregue contexto a los inicios de sesión de MFA: mejore la seguridad de MFA incorporando factores adicionales como etiquetas de geolocalización, requisitos de huellas dactilares, límites del historial de sesiones o análisis de comportamiento. Estas medidas pueden reducir la probabilidad de una respuesta automática de «sí» y disminuir la tasa de éxito de los ataques de fatiga de MFA. Incluya la fatiga de MFA en la capacitación de concientización sobre seguridad: asegúrese de que su capacitación de concientización sobre seguridad cubra los ataques de fatiga de MFA. Eduque a los usuarios para que sean cautelosos y denuncien los intentos de acceso de MFA no autorizados. Invierta en soluciones de monitoreo: use una solución de detección y respuesta, como Managed Detection and Response (MDR), para monitorear los sistemas de identidad en busca de actividades de inicio de sesión inusuales, incluidas activaciones repetidas de solicitudes de MFA o comportamiento sospechoso después del inicio de sesión. Fortalezca su marco de IAM: si bien MFA es esencial, no debería ser su única herramienta de seguridad de identidad. Implemente un marco de IAM sólido que incluya principios de confianza cero, políticas de detección y respuesta de identidad (IDR) y tecnologías de monitoreo que cubran las fuentes de identidad para prevenir ataques de credenciales o identidad. Al seguir estos pasos, las organizaciones pueden reducir significativamente su riesgo de ser víctimas de ataques de fatiga de MFA y fortalecer su postura general de ciberseguridad.
Las aplicaciones de software como servicio han sido durante mucho tiempo blanco de ciberamenazas. Un nuevo estudio revela que estas amenazas siguen siendo una prioridad para el 78 % de los líderes tecnológicos de EE. UU. a medida que más aplicaciones SaaS se abren camino en la empresa. Aunque las empresas han priorizado la privacidad y la seguridad de los datos, su continua dependencia de las ofertas de SaaS y la nube significa que siguen estando en riesgo, según el informe The SaaS Disruption Report: Security & Data de Onymos y Enterprise Strategy Group. Shiva Nathan, fundador y CEO de Onymos, dijo a TechRepublic que un riesgo significativo de esta dependencia es que cuando las empresas compran un sistema SaaS para acelerar el desarrollo de aplicaciones, deben otorgar acceso a los datos al proveedor de SaaS externo a cambio. Otorgar este acceso podría dar lugar a ciberataques y fugas accidentales de datos. Esto podría ser particularmente problemático hoy en día, ya que la empresa promedio depende de más de 130 aplicaciones SaaS en comparación con solo 80 en 2020, explicó Nathan. «Eso es un aumento del 62 %», dijo. «Cada una de esas aplicaciones SaaS es un 62 % más que las de 2020». [SaaS apps] es una nueva superficie de ataque para que los actores maliciosos estatales y no estatales la exploten. Y la están explotando. La cantidad de ataques a la cadena de suministro de software está aumentando, especialmente contra la industria de la salud, que tuvo que cambiar a un modelo de atención virtual durante COVID-19”. Las entidades de atención médica han dependido durante mucho tiempo de proveedores externos para que esa transición se produzca, agregó Nathan. Según el informe, otros sectores que dependen en gran medida de las aplicaciones SaaS incluyen: Gobierno. Logística y cadena de suministro. Fabricación. Venta minorista. Banca y servicios financieros. Educación. Gartner predijo que el 45% de las organizaciones a nivel mundial habrán experimentado ataques a sus cadenas de suministro de software para 2025. El informe refuerza esta proyección, ya que casi la mitad (45%) de los líderes tecnológicos informaron que experimentaron un incidente de ciberseguridad a través de una aplicación SaaS de terceros en el último año. La importancia de la retención de datos La encuesta, que extrajo información de 300 líderes de desarrollo de aplicaciones, TI y seguridad, también reveló que el 91% de los encuestados enfatizó la importancia crítica de la retención de datos para aplicaciones internas personalizadas, lo que refleja su prominencia en sus prioridades de desarrollo de aplicaciones. Nathan dijo que esta estadística le sorprendió porque estos «líderes tecnológicos reconocen lo crucial que es retener sus datos, pero aún dependen tanto de SaaS. Claramente existe tensión dentro de estas organizaciones entre la velocidad de producción y la propiedad de los datos», señaló. «Esa tensión siempre ha existido, pero está aumentando». Cobertura de seguridad de lectura obligada Prioridades de los líderes de TI Casi tres cuartas partes (72%) de los líderes encuestados destacaron la «seguridad» como una prioridad principal, seguido de cerca por el 65% que citó la «privacidad de los datos». Estas prioridades también se reflejan en las asignaciones de proyectos, responsabilidades y tareas en los proyectos de desarrollo de software y aplicaciones de las organizaciones, según el informe. Tres de las cinco prioridades principales fueron: Garantizar la privacidad de los datos (el 60% informó que era una prioridad alta o máxima). Crear aplicaciones seguras (el 49% informó que era una prioridad alta o máxima). Mantener el control total sobre la propiedad de los datos (el 42% informó que era una prioridad alta o máxima). La encuesta también reveló que el 65% de las aplicaciones desarrolladas internamente son críticas para el negocio, y solo el 36% de los líderes tecnológicos ejecutan todas sus aplicaciones en las instalaciones o en nubes privadas. Las aplicaciones SaaS requieren una mayor atención a su postura de seguridad Con las preocupaciones sobre la seguridad de los datos en niveles tan altos, las organizaciones necesitan reevaluar su modelo de negocio actual para aprovechar las ofertas de SaaS y la nube, según el informe de Onymos/ESG. “Hoy en día, es muy común escuchar a los líderes tecnológicos hablar sobre su ‘postura de seguridad’; tener una ‘postura de datos’ es igualmente importante», enfatizó Nathan. “Esto incluye preguntar qué datos está compartiendo con sus proveedores de SaaS para recibir su servicio; si realmente necesitan esos datos; qué están haciendo con ellos; y a dónde van. “El auge de los productos y servicios de IA solo hace que responder a estas preguntas sea más importante”, dijo. El informe hizo algunas recomendaciones, incluido un cambio significativo en las prácticas comunes actuales de SaaS y la nube al adoptar principios de arquitectura «sin datos», que priorizan la privacidad y la seguridad de los datos. “Este tipo de arquitectura permite a las empresas conservar la propiedad y el control totales de sus datos, eliminando la necesidad de compartir o conceder acceso a proveedores de SaaS y de la nube de terceros y reduciendo el riesgo asociado”, afirma el informe. “Las empresas también deberían poder poseer y modificar el código asociado a las soluciones SaaS que utilizan para el desarrollo de sus aplicaciones y software”. Esto permite a los equipos de ingeniería empresarial verificar y probar el código como si lo hubieran creado ellos mismos, afirma el informe de Onymos/ESG. “Con este enfoque, las organizaciones pueden tener plena confianza en la validez, la fiabilidad y la seguridad del código”, sostiene el informe. Además, el departamento de TI debería priorizar y realizar periódicamente auditorías de seguridad y pruebas de penetración rigurosas de terceros. “Estas pruebas deberían incluir la comprensión de cómo fluyen los datos de la organización a través de diferentes aplicaciones y soluciones SaaS para que se puedan mitigar los problemas de acceso y uso compartido de datos no deseados”, afirma el informe.