El S.XXI nos ha brindado a la humanidad muchas cosas, entre ellas la fuente de información más grande y rápida de toda la historia, la informática. Todos conocemos su facilidad para adaptarla a nuevos productos, servicios y técnicas con el fin de facilitarnos la vida en la medida de lo posible. ¿Pero hasta dónde nos puede llevar la ambición del ser humano por facilitarlo todo? En el post de hoy trataremos este tema, bienvenidos a Internet of Things.

Primero cabe recordar que es un dispositivo IoT y que aplicaciones tiene. Se tratan de dispositivos físicos desarrollados para recibir y transferir datos a través de internet, lo que hace posible la aplicación de la tecnología (software, sensores, etc.) a todo tipo de objetos que usamos día a día, pudiendo intercambiar datos con otros dispositivos en tiempo real para su consecuente análisis y ejecución de tareas.

Cada vez estos dispositivos formarán más parte de nuestras vidas, según un informe publicado por la consultora Statista y acogido por el Instituto Nacional de Ciberseguridad (INCIBE), se estima que en 2025 haya 75 mil millones de dispositivos IoT conectados en todo el mundo.

¿Pero cómo podemos aprovechar estos dispositivos en nuestro negocio?

Pues nosotros explicamos cómo. Hay infinitas posibilidades para hacer que estos dispositivos ayuden a nuestro negocio de manera notable, desde la implementación en flotas de vehículos para su monitorización hasta mejoras en el servicio de atención al cliente.

Y es que esta oportunidad de la que ya muchos se están aprovechando genera muchas ventajas a nivel empresarial que enumeraremos a continuación:

• Reducción de costes
• Conocimiento del comportamiento del usuario
• Aumento de la productividad
• Mejora del servicio al cliente y la experiencia del usuario
• Mayor seguridad laboral
• Incremento de las oportunidades de negocio
• Uso mejorado de los activos
• Mejoras en las estrategias de negocio
• Protección de datos
• Mejora en la toma de decisiones

Pero no todo es oro lo que reluce y menos hablando del ámbito de seguridad informática. Somos conscientes de las recomendaciones y advertencias que dictan los expertos para prevenir los ataques en la red, pero rara vez mencionan los peligros que conllevan estos dispositivos IoT. Con la globalización y crecimiento de este tipo de dispositivos, las empresas se vuelven vulnerables a un ataque cibernético, aprovechando estos delincuentes una brecha de seguridad en el software de este dispositivo dejándoles en bandeja el tipo de archivo que andaban buscando, un activo (normalmente en forma de información valiosa y confidencial de la empresa) con el que poder extorsionar al propietario de dicha información, con el fin de llevar a cabo una denegación de servicio permanente a la espera de conseguir un rescate.

Desde Grupo Paradell ayudamos a empresas a poder aprovechar al máximo esta nueva tendencia en el mundo empresarial, ofreciendo servicios de ciberseguridad, realizando Auditorías IoT a medida para cada negocio, con el objetivo de minimizar al máximo los riesgos.

Para más información visita en nuestra web www.grupoparadell.com

Hoy en día el robo de información en la red se está poniendo cada vez más de moda, los ciberdelincuentes aprovechan brechas de seguridad en los sistemas informáticos para acceder a la información más valiosa de las empresas con el único fin de cometer fraudes a otras entidades, mediante la suplantación o uso indebido de dicha información. 

Por ello, se ha escogido el día 28 de enero cómo el Día Europeo de la Protección de Datos, para conmemorar la firma del Convenio 108 del Consejo Europeo para la Protección de las Personas con respecto al tratamiento automatizado de datos en la red, buscando una mayor concienciación en organismos internacionales, autoridades de protección de datos y entre los usuarios de todas las edades, haciéndoles partícipes de los riesgos que pueden llegar a correr y mentalizarse de la importancia de proteger, promover y difundir su derecho a la privacidad.

Pero no sólo son los usuarios finales los que pueden llegar a sufrir las consecuencias de un mundo globalizado. Para las empresas, un ataque de estas características a su sistema informático puede suponer el fin de su actividad comercial, poniendo en riesgo su imagen corporativa, la confianza, credibilidad e integridad de sus clientes y usuarios, aparte de costosas multas impuestas por las autoridades competentes.

El “modus operandi” de estos llamados ciberdelincuentes suele ser con fines lucrativos mediante técnicas de extorsión a los propietarios de dicha información, pidiendo rescates económicos de los datos, incrementando el precio en función de cuán delicada sea la información robada.

Para ello es importante mantener estrictas medidas y políticas de seguridad que cumplan los requisitos del Reglamento General de Protección de Datos, como método preventivo de estos ataques.

¡A grandes problemas, grandes remedios!

Desde Grupo Paradell, gracias a nuestros expertos en Ciberseguridad luchamos para combatir estos crímenes por medio de análisis exhaustivos, tanto preventivos como post-robo de los sistemas informáticos, gestión de vulnerabilidades, medidas ante incidentes en la integridad de la información robada, generando una arquitectura de seguridad competente y segura para sus clientes y para su propio entorno. Para más información visita nuestra web www.grupoparadell.com o envíanos un correo electrónico a investigacion@grupoparadell.com

Con la llegada de la Navidad, y de las grandes compras que todos solemos realizar. Algunas personas se aprovechan de la gran demanda que se produce para vender falsificaciones de prácticamente cualquier producto.

Los datos estadísticos señalas que las falsificaciones en España suponen la pérdida de 6.766 millones de euros de ventas al año, un 10,6% de las ventas totales y la destrucción de 53.467 empleos.

En estos días previos a la Navidad, hemos podido ver diversas noticias relacionas con la falsificación de los productos estrella más comprados durante las navidades: Los juguetes.

Hace pocos días la Policía Municipal de Madrid, en una operación conjunta con la Policía Nacional, se ha incautado de más de 1,3 millones de juguetes falsificados. Otra operación realizada en Toledo ha terminado con la detención de dos personas por la falsificación de más de mil prendas de equipos de futbol, la mayoría del Atlético de Madrid. Entre las falsificaciones más vendidas durante esta época, caben destacar productos como juguetes, prendas deportivas, equipaciones de equipos de fútbol, perfumes, cosméticos, y productos electrónicos (Tablets, smartphones, auriculares).

Cuando escuchamos la palabra falsificación solemos hablar de copias de mala calidad, fácilmente detectables y a precios ostensiblemente más bajos. Aunque en algunas ocasiones llega a ser difícil detectar que estamos ante un producto falsificado.

Como podemos ver en diferentes noticas, nadie se libra de este tipo de fraudes. Recientemente hemos visto como Interpol avisaba de posibles falsificaciones en vacunas contra el Covid, y como Loterías de el Estado ha avisado de posibles falsificaciones en décimos de Loteria.

Preguntando a los consumidores, en una encuesta realizada recientemente, 2 de cada 5 creían saber diferenciar las falsificaciones que se venden en internet, y el 65 % de los encuestados, reconocía haber sido engañado alguna vez en la compra de productos electrónicos. Se estima que los fabricantes de productos electrónicos, sufren unas pérdidas anuales de 100.000 millones de euros al año debido a las falsificaciones.

Otro de los grandes problemas que tienen las falsificaciones de productos electrónicos, al margen de la calidad de el producto, es el posible robo de información delicada, como información financiera, archivos fotográficos, o cualquier tipo de información personal.

Desde Grupo Paradell llevamos años colaborando en la defensa y protección de marcas, ayudando a detectar las falsificaciones que hay en el mercado, e investigando los orígenes de esas mercancías. Las marcas necesitan información actualizada sobre las dinámicas de los distintos mercados para mitigar los comportamientos irregulares, incrementar las ventas de productos originales y proteger su reputación

Desde el Blog de Grupo Paradell queremos aumentar la difusión de un interesante artículo publicado por Incibe sobre cómo gestionar de las fugas de información y que tipo de consecuencias pueden suponer para las empresas. Actualmente todos los días leemos información relacionada con incidentes de seguridad, que entre otras cuestiones pueden afectar gravemente a la reputación de las organizaciones.

Es primordial detectar y mitigar las fugas de información antes de que los datos filtrados puedan suponer un compromiso cada vez mayor. Para ello, como señala el artículo de Incibe es necesario contar con un plan de gestión de incidentes, que comprenda al menos los puntos críticos divididos en las siguientes fases:

Fase inicial

• detección del incidente
• alerta del incidente a nivel interno
• inicio del protocolo de gestión

Fase de lanzamiento

• reunión del gabinete de crisis
• informe inicial de situación
• coordinación y primeras acciones

Fase de auditoría

• auditoría interna y externa
• elaboración de informa preliminar

Fase de evaluación

• reunión del gabinete de crisis
• presentacón del informe de auditoría
• determinación de principales acciones
• tareas y planificación

Fase de mitigación

• ejecución de todas las acciones del plan

Fase de seguimiento

• valoración de los resultados del plan
• gestión de otras consecuencias
• auditoría completa
• aplicación de medidas y mejoras

Si bien no todas las empresas cuentan con gabinete de crisis, sí deben disponer al menos de una persona responsable con capacidad de decisión que pueda ir coordinando las distintas actuaciones que se requieran para mitigar las fugas de información.

Además, es necesario conocer qué parte de la información filtrada se ha hecho pública y cuál no y cómo ha ocurrido. Para ello, se realizarán auditorías internas y externas que definan el alcance del incidente y permitan ejecutar cuantas acciones sean necesarias para mitigar la fuga de información.

En ocasiones será incluso necesario desconectar algún sistema o servicio de Internet de forma temporal mientras se subsana la brecha de seguridad para evitar nuevas fugas.

Finalmente, no debemos olvidar que es de carácter obligatorio por ley informar de la fuga de información ocurrida a la Agencia Española de Protección de Datos (AEPD), ya que la ocultación del incidente podría acarrear importantes sanciones.

Entre las principales consecuencias de un incidente de estas características nos encontramos con:

• Daños de reputación o imagen: genera un impacto negativo en la entidad y lleva implícita la pérdida de confianza de los clientes y proveedores.
• Consecuencias legales: podrían conllevar sanciones económicas o administrativas como consecuencia de los daños ocasionados a terceros.
• Consecuencias económicas: estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc., pudiendo provocar el cierre, según demuestran diversas estadísticas, hasta en el 70% de los casos.

Enlace al artículo completo de Incibe: https://www.incibe.es/protege-tu-empresa/blog/fuga-detectada-informacion-robada

Desde Incibe nos informan de que continúan las campañas de malware que utilizan como reclamo los envíos de burofax.

Son correos electrónicos remitidos masivamente enviados supuestamente por un departamento jurídico.Simula ser un burofax, tiene un enlace que dirige al usuario a una web donde se descargará el malware.

Con la descarga de este archivo el ciberdelincuente tendrá acceso al equipo.

A continuación, algunos de los consejos dados por INCIBE para evitar ser víctima de este tipo de engaños:  

• No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
• No contestes en ningún caso a estos correos.
• Revisa los enlaces antes hacer clic, aunque sean de contactos conocidos.
• Desconfía de los enlaces acortados.
• Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
• Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
• Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Si deseas más detalles sobre esta campaña: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/continuan-las-campanas-malware-utilizando-gancho-envios-burofax

Este tipo de fraude está siendo utilizado cada vez más. Los ciberatacantes duplican nuestro número de teléfono y utilizan ese sistema para usurpar nuestra identidad. Se autentifican en nuestro banco y puedan sacar dinero de nuestras cuentas, pedir préstamos a nuestro nombre…

La Policía Nacional a través de Red Azul nos acaba de informar de la detención de 19 ciberestafadores que vaciaban mediante estas técnicas las cuentas de sus víctimas.

La comisión de las estafas era posible porque uno de los investigados trabajaba en una cadena de reparación de telefonía, por lo que tenía acceso a todos los datos privados de los terminales que allí se depositaban, incluidas las claves de banca online con las que después operaban.

El perjuicio económico ocasionado sólo a 7 víctimas asciende a más de 450.000 euros.

• Durante el intercambio de SIM, no podrás efectuar llamadas telefónicas ni enviar mensajes de texto. Este extremo se produce cuando los estafadores han desactivado tu SIM y están utilizando tu número de teléfono
• Sabrás que eres una víctima si tu proveedor de teléfono te notifica que tu tarjeta SIM o teléfono se ha activado en otro dispositivo, es decir, te notifican la actividad en otro lugar.
• Si tus credenciales de inicio de sesión ya no funcionan para tus cuentas bancarias y de tarjetas de crédito y, por lo tanto, no puedes acceder a las cuentas, debes ponerte de inmediato en contacto con tu entidad bancaria para verificar que no has sido víctima de la estafa.

Desde la entrada en vigor de la Ley de Secretos Empresariales (Ley 1/2019 de 20 de febrero), la utilización de detectives privados y la obtención de evidencias digitales mediante peritos informáticos, se ha incrementado de forma notable. Con su participación se facilita la trazabilidad e investigación de los movimientos fraudulentos de información que pueden producirse dentro de las organizaciones.

Las empresas deben de adoptar el conjunto de medidas más adecuadas para proteger el conjunto del patrimonio intelectual de las mismas. Prestando atención especial a la actuación del personal que maneje aquella información que pueda ser catalogada como secreto profesional.

La Ley de Secretos Empresariales, señala que para ser considerado como tal deben darse las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Por tanto, dentro de las organizaciones se tiene que vigilar adecuadamente los posibles acceso físicos o digitales, de los trabajadores, colaboradores o proveedores que manejen la información sensible de nuestra empresa para evitar que lleve a cabo cualquier divulgación o utilización de la información que pueda dar lugar a la pérdida de la protección.

También será importante evitar que aquellos trabajadores que se incorporan a la empresa puedan utilizar información de otras empresas que puedan constituir un secreto empresarial propiedad de éstas últimas. Los planes de formación son fundamentales para concienciar en todos estos aspectos.

En relación con el cálculo de los daños y perjuicio la Ley de Secretos Empresariales establece que al fijarse la indemnización de daños y perjuicios se tendrán en cuenta todos los factores pertinentes, como son:

• Los perjuicios económicos, incluido el lucro cesante, que haya sufrido el titular del secreto empresarial
• El enriquecimiento injusto obtenido por el infractor
• y, cuando proceda, otros elementos que no sean de orden económico, como el perjuicio moral causado al titular del secreto empresarial por su obtención, utilización o revelación ilícitas.

También podrán incluirse, en su caso, los gastos de investigación en los que se haya incurrido para obtener pruebas razonables de la comisión de la infracción objeto del procedimiento judicial. Como sabemos, es muy habitual recurrir a detectives privados para la obtención de pruebas en los casos de violación de secretos empresariales. Estos gastos podrán ser incluidos en la reclamación de daños y perjuicios por parte del perjudicado.

La potestad de vigilancia y control por parte del empresario está sometida a límites formales y materiales tanto en el ámbito de la inspección al trabajador como en las formas y medios empleados para ejercer ese control.

El poder de dirección del empresario es imprescindible para la buena marcha de la organización productiva de su empresa. Ese poder es reconocido expresamente en el artículo 20 del Estatuto de los Trabajadores, que atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Evidentemente, esa facultad siempre ha de producirse con el debido respeto a la dignidad del trabajador, como expresamente se dispone en los artículos 4.2.c) y 20.3 del Estatuto de los Trabajadores.

La contratación de detectives privados por parte del empresario para ejercer actividades de vigilancia y control de sus trabajadores es reconocida ya hace tiempo por el propio TS, que establece que es un “instrumento dotado de exclusividad para el eficaz control por el empresario del exacto cumplimiento de los deberes exigibles al trabajador” (Sentencia del TS de fecha 06/11/1990) .  La misma sentencia califica la prueba aportada por el detective como prueba testifical.

Es doctrina del TS contenida en reiteradas sentencias la que califica la prueba de detectives como «una prueba testifical impropia, que adquiere todo su valor procesal como tal prueba testifical cuando el informe ha sido ratificado en juicio por su firmante.» Es fundamental la habilitación por parte del Ministerio del Interior del detective, para que pueda ratificar posteriormente su informe ante los tribunales.

La utilización de detectives para ejercer esa vigilancia y control está especialmente indicada cuando por las características del puesto de trabajo el empleado no presta sus servicios en las dependencias de la empresa, y realiza su jornada con cierta autonomía organizativa. En estos casos es difícil encontrar otros medios de vigilancia alternativos, más ahora en un momento en auge del modelo del teletrabajo.

Las investigaciones realizadas por detectives en el ámbito laboral deberían cumplir los siguientes requisitos.

• Qué tal medida sea susceptible de conseguir el objetivo propuesto (juicio de idoneidad);
• Qué además, sea necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia;
• Que la misma sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

• No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
• En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
• No contestar en ningún caso a estos correos.
• Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
• Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

Si has sido victima de este tipo de fraude recopila todas las pruebas de las de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Fuente: INCIBE