ESign

Desafíos y consejos de Ciberseguridad en Chile

Soraya Piddo — Thu, 20 May 2021 16:41:13 +0000

La ciberseguridad informática en Chile y el mundo es más necesaria ahora que nunca y esto es una realidad que no tiene discusión, pues los ciberataques se han masificado en todo el mundo y se han transformado en eventos comunes. Un ejemplo de ello es que sólo en Estados Unidos un servidor es atacado cada 39 segundos y cuatro mil empresas son hackeadas todos los días usando ransomware.

Una encuesta reciente de Marsh, líder en Consultoría, Corretaje de Seguros y Administración de Riesgos, respaldada por Microsoft, mostró que en América Latina, aunque el 31% de las empresas percibe un aumento en el número de ciberataques desde el inicio de la pandemia, solo el 24% aumentaron sus presupuestos de ciberseguridad, con solo el 17% de las empresas de la región teniendo seguro contra los riesgos cibernéticos.

Con las amenazas cibernéticas en aumento en los últimos años, colaborar y comunicarse de manera segura dentro de las empresas, requiere canales que deben ser completamente seguros. Hay cientos de amenazas diferentes en este momento, y los piratas informáticos están utilizando esta pandemia como otra superficie para desplegar sus ataques, así que es imprescindible estar preparado para evitar brechas de seguridad.

“Esto puede causar que miles o millones de personas sean afectadas, apagando servicios masivos de gran importancia y utilidad a clientes o ciudadanos. Un ejemplo de ello fue lo que hemos vivido en Chile con varios bancos. También han existido casos dramáticos como el de la ciudad de Atlanta (Estados Unidos), la cual fue atacada con el ransomware SamSam, dejando a la ciudad completamente desconectada durante cinco días, provocando altísimos costos y serios daños”, comenta Andrés Cave – Gerente General de ESign.

Problemas de ciberseguridad de trabajo remoto

Si bien el trabajo desde casa tiene sus méritos, como los costos más bajos para las empresas, este aumento meteórico ha dado lugar a algunos problemas preocupantes de seguridad de TI, en las que DigiCert incluye:

- Transición a la nube. Desde la pandemia, se prefieren las soluciones de acceso remoto y las organizaciones están trasladando gradualmente los procesos comerciales críticos a la nube. Sin embargo, depender cada vez más de la nube y crear agilidad en la nube podría crear más vulnerabilidades si no se protege adecuadamente. Microsoft descubrió que el 39% de las empresas están dando prioridad a las inversiones en seguridad en la nube sobre la seguridad de los datos y la información o incluso la seguridad de la red. PKI puede ayudar a proteger la nube y proporcionar una autenticación sólida e integridad operativa a escala.
- Suplantación de identidad por correo electrónico. El phishing por correo electrónico durante la pandemia se disparó. Existe una mayor prioridad para capacitar a los trabajadores y prepararlos para reconocer y saber cómo lidiar con las amenazas desde la pandemia y desarrollar las mejores prácticas para el acceso seguro al correo electrónico.

- Diversos dispositivos remotos. Los dispositivos móviles necesitan su propia protección de seguridad única. Pero al 52% de las organizaciones les resulta difícil proteger los dispositivos móviles de problemas de ciberseguridad. Un primer paso fundamental para resolver esto es implementar una política eficaz de administración de dispositivos móviles (MDM).

- Sin ciberseguridad en la oficina. Su empresa es más vulnerable cuando su personal no puede utilizar las medidas de seguridad de TI de la oficina, como los firewalls. Afortunadamente, con herramientas como Enterprise PKI Manager de DigiCert, puede aumentar la seguridad y proporcionar a los trabajadores remotos un acceso VPN seguro.

- Protección de contraseñas. Los colaboradores deben estar capacitados en las mejores prácticas de la política de contraseñas y su organización debe implementar la autenticación multifactor. Además, con el personal que trabaja desde casa, pueden verse tentados a compartir contraseñas de trabajo con amigos o familiares para ayudarlos con ciertas tareas laborales. Obviamente, este es un problema de seguridad y debe abordarse con la capacitación adecuada para todo el personal.

“La transición al trabajo remoto ha sido un obstáculo difícil de navegar para muchas empresas. Es lo suficientemente desafiante mantener las operaciones y la productividad mientras se trabaja desde casa. Sin embargo, a medida que aumentan los problemas de seguridad (como las estafas de phishing), también debe hacerlo la seguridad y la resistencia de las organizaciones”, afirmó Dean Coclin, Director senior de desarrollo empresarial en DigiCert.

Dado que no existe una fórmula para ser inmunes a los ataques en temas de ciberseguridad, tanto empresas como usuarios individuales deben tener presente que “los delincuentes informáticos se encuentran 24/7 realizando pruebas/laboratorios buscando la manera de vulnerar un sistema, una aplicación o plataforma. Éstas pueden ser seguras hoy, pero el día de mañana puede salir a la luz un ataque de ‘día cero’, que es un ataque nunca antes visto”, destacó el especialista en Ciberseguridad de ESign.

El mundo vive una nueva era: la de información y el conocimiento. Cada año se incorporan nuevos paradigmas y tecnologías disruptivas que cambian sustancialmente la forma de realizar las cosas, en especial, en una época en que el Covid-19 obliga a los usuarios a realizar decenas de transacciones sólo por Internet y el mundo depende cada vez más de las Tecnologías de la Información, es por ello que las empresas en Chile y el mundo deben prepararse para tratar de reducir el porcentaje de éxito de estos ataques.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 16 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinum Partner del país.

La entrada Desafíos y consejos de Ciberseguridad en Chile se publicó primero en ESign.

Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos

Soraya Piddo — Thu, 22 Apr 2021 19:42:21 +0000

El robo de contraseñas de sitios web de entretenimiento, WhatsApp falso, noticias falsas sobre Covid-19 y la vacuna, estafas y ataques de ransomware más sofisticados, son algunas de las principales amenazas a las que están expuestos los usuarios. No es nuevo: la tecnología ha facilitado la rutina de las personas y más aún con las pandemias. Hoy en día ya no es necesario salir de casa para realizar un pago, realizar compras o incluso asistir a una reunión. Internet se ha convertido en un universo aparte, lleno de transacciones.

Con el objetivo de evitar estafas, el uso de certificados SSL para proteger e identificar sitios ha aumentado drásticamente. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar SSL. Los certificados SSL vienen en tres versiones: Validado por dominio (DV), Validado organizacionalmente (OV) y Validación extendida (EV). Las diferencias básicas se muestran a continuación:

Certificado SSL de validación de dominio (DV)

Los certificados SSL de validación de dominio validado se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.

Certificado SSL de validación de la organización (OV)

Para recibir un certificado SSL de validación de la organización, las organizaciones son autenticadas por la CA (Autoridad de certificación) contra las bases de datos del registro empresarial alojadas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.

Certificado SSL de validación extendida (EV)

Los certificados SSL de validación extendida agregan pasos de validación adicionales y ofrecen el nivel más alto de autenticación para salvaguardar la marca y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico utilizan EV, según los datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificado SSL OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.

En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Sabemos que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado. Pero no sabemos nada sobre ese dominio con certificado SSL DV. Con OV y EV, recibimos más información sobre el dominio, incluida la ubicación de la empresa (OV), e incluso más detalles con EV.

Mirando más allá del candado

Con la llegada de una web que está cifrada en más del 90% y con los navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente “buscar el candado”, ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes al buscar pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.

Otra pista que debe buscar es el nombre de la autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden colocar el cursor sobre el candado para ver el nombre de la CA. Si el indicador dice “Verificado por DigiCert“, puede estar seguro de que la identificación del sitio se ha verificado de acuerdo con los requisitos de la industria. Las CA líderes, como DigiCert y ESign, único Platinium Partner de DigiCert en Chile, actualizan constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.

Los certificados de Validación de Organización (OV) y Validación Extendida (EV) requieren cierto esfuerzo para obtenerlos. Primero, la entidad solicitante debe ser una organización válida y la CA debe buscar registros públicos para autenticarla. Debido a que esto implica mano de obra, existe un costo asociado con la obtención del certificado. Normalmente, estos no son obstáculos para las organizaciones legítimas. Pero para los ciberdelincuentes, proporcionan una fricción significativa, que puede evitarse obteniendo un certificado DV.

Una investigación reciente mostró que casi la mitad de los sitios de phishing ahora tienen candado. La mayoría de las veces, los certificados de Validación de Dominio (DV) se obtienen con éxito para esos sitios web. Los piratas informáticos saben que pueden solicitar DV automáticamente sin proporcionar ninguna información personal y algunas CA las ofrecen de forma gratuita. Por lo tanto, ni siquiera es necesaria una tarjeta de crédito. Un informe reciente sobre un compromiso de DNS por parte de un supuesto estado-nación afirmaba que los piratas informáticos habían ocultado su operación mediante el uso de “suplantación de certificados”, obteniendo certificados de proveedores conocidos de certificados gratuitos o de bajo costo con poca o ninguna validación realizada. Dada la fácil disponibilidad de estos certificados, no es de extrañar que los ciberdelincuentes utilicen certificados DV de forma predeterminada para legitimar sus sitios web.

Tenga en cuenta lo básico

¿Qué pueden hacer los consumidores para reconocer los sitios web fraudulentos? Tres palabras: examinar, examinar y examinar.

1. Si bien en el pasado estaba bien buscar el candado en la barra del navegador, ahora se debe examinar la información de este, colocando el cursor sobre el ícono para ver qué CA emitió el certificado. Si es DigiCert, puede estar seguro de que el sitio web ha sido verificado de acuerdo con los estándares de la industria y que, en el caso de un certificado OV (validación de organización) o EV (validación extendida), la identidad del propietario del sitio web ha sido examinada para mayor protección.

1. Mire de cerca la barra de direcciones y lea la URL a la que ha sido direccionado con atención. ¿Es lo que esperaba?

1. Haga clic en el candado para revelar información adicional sobre el sitio. Si usa un certificado EV, el nombre de la empresa se identificará inmediatamente después de hacer clic en el candado.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 17 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinium Partner del país.

La entrada Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos se publicó primero en ESign.

Cómo la práctica de Ethical Hacking mejora su ciberseguridad

Soraya Piddo — Thu, 11 Mar 2021 14:35:16 +0000

Es un hecho que Internet se ha convertido en un espacio plagado de enlaces maliciosos, troyanos y virus; de esta manera, las filtraciones de datos son cada vez más frecuentes y los usuarios desprevenidos son más vulnerables que nunca.

Dado que los ataques en ciberseguridad no van a disminuir, sugerimos proactividad al utilizar Internet y recomendamos que se utilice la autenticación de dos factores, estar atento a las estafas de phishing, cambiar las claves con regularidad, mantenerse al día con las actualizaciones y realizar un seguimiento de la “huella digital”, incluidas las redes sociales, y eliminar las cuentas que no se usan, entre otras acciones.

La mayoría de los clientes llega a ESign en la búsqueda de socios de negocio confiables, técnicamente excelentes, que sean capaces de comunicar claramente las causas y efectos de sus servicios, y que tengan foco en la satisfacción de sus clientes. Por ejemplo, después de haber sufrido algún incidente en su infraestructura y luego de tomar acciones, recurren a servicios de ethical hacking o hacking ético para corroborar que los actos realizados hayan subsanado las vulnerabilidades explotadas en un inicio y verificar que, al haber hechos cambios en la configuración, no se hayan abierto nuevas brechas.

Actualmente las empresas están tratando de estar preparadas contra eventuales intentos de ataques por parte de personas mal intencionadas, y como resultado de lo anterior, el aumento en la demanda de servicios de ethical hacking.

Algunos de estos servicios más requeridos de Ethical Hacking son:

Hacking ético WEB: Busca encontrar vulnerabilidades a una aplicación Web y se utilizan metodologías como OWASP (Open Web Application Security Project) y OSSTMM (Open Source Security Testing Methodology Manual). El hacking ético también se utiliza para aplicaciones móviles con el fin de encontrar vulnerabilidades a una aplicación móvil usando OWASP y OSSTMM.
Ethical Hacking para redes externas e internas: En el caso de las internas, se busca encontrar vulnerabilidades a nivel de la red LAN, evaluando segmentos de red, puertos habilitados, servidores, etcétera. El servicio externo, realiza un análisis de vulnerabilidades de todo su segmento de Ip´s públicas y servicios que tengan publicados hacia internet.

Todos los servicios antes mencionados se pueden realizar en modalidad Blackbox y WhiteBox, las que incluyen un porcentaje de las tareas que se realizan con herramientas automatizadas y otras que se hacen de manera manual.

Aparte del hacking ético, hay otros puntos a considerar, como el servicio de revisión de configuración de plataforma de seguridad y servidores, el cual implica revisar la línea base de la configuración de servidores en todos los aspectos referentes a la seguridad, tales como actualizaciones, permisos de acceso, versiones de software base, etc. En tanto, la revisión de la configuración de dispositivos de seguridad implica analizar Firewall, WAF, IPS y Consola Antivirus, entre otros.

Además, nuestra empresa entrega servicios SOC (Security Operation Center) y NOC (Network Operations Center), puesto que muchas organizaciones no cuentan con los profesionales calificados en temas técnicos de seguridad informática para aplicar las mejores prácticas de la industria en sus plataformas.

Por lo anterior, recomendamos realizar servicios de hacking ético al menos 2 veces al año a sus servicios críticos, hacer una revisión del estado de las políticas de los dispositivos de seguridad, mantener actualizados sus sistemas en lo que se refiere a parches de seguridad, evaluar los controles de seguridad utilizando una metodología como la de los controles CIS y capacitar a sus colaboradores en el tema de la seguridad de la información.

La entrada Cómo la práctica de Ethical Hacking mejora su ciberseguridad se publicó primero en ESign.

Firma Electrónica: Validez Legal y Gestión de Documentos Digitales

Soraya Piddo — Fri, 19 Feb 2021 14:46:24 +0000

La gestión de documentos electrónicos consiste en digitalizar la documentación de diversos procesos documentales, siempre y cuando se encuentre bajo el marco legal actual.
Esta gestión se sostiene en el uso de Plataformas con funcionalidades que apuntan a gestionar la firma de estos documentos, e implica de manera obligatoria el proceso de verificación de identidad de los firmantes, proceso fundamental que realiza la Entidad Acreditada.
La gestión de un documento se relaciona a la vida o el tratamiento de un papel, de un trámite o de un contrato desde su creación, llenado, revisión, firma, custodia, análisis de la información, hasta su eliminación por caducidad.
Cabe destacar que un documento electrónico no es lo mismo que un certificado electrónico, pues un certificado electrónico es el insumo que se necesita para firmar un documento electrónicamente y que sea legal.

Firma Electrónica y su Importancia

La firma electrónica corresponde a cualquier sonido, símbolo o proceso electrónico que permite a quien recibe un documento electrónico, identificar formalmente a su autor.
De esta manera, la firma electrónica está siempre asociada a un documento, que es firmado por un autor y recibido por un receptor.
La gestión de documentos digitales es realizada por las personas designadas en las empresas, clientes a cargo de administrar las Plataformas puestas a disposición por la Entidad Acreditada, en este caso ESign. Esta última siempre tendrá a su cargo la verificación de identidad de los firmantes, un proceso intransferible de su autoridad a un tercero.
Desde ahí, una firma electrónica se puede dividir en simple y avanzada. La elección de cual usar se vincula al riesgo ante judicialización.
Por ejemplo, la firma de carácter simple la puede emitir cualquiera; de hecho, cuando se escribe un correo, la casilla es una firma digital. No obstante, si se necesita de un tercero de confianza que garantice la correcta emisión de ésta, ya sea simple como avanzada, debe acercarse a una empresa acreditada ante el Ministerio de Economía, como es ESign.

Validez Legal de un Documento Electrónico

Al respecto, estos documentos digitales tienen la validez de un instrumento privado y puede reemplazar a los documentos con firma manuscrita. Así mismo, puede ser presentado en un juicio bajo la modalidad del artículo 346, número 3, del Código de Procedimiento Civil.
El documento electrónico realiza la prueba de la identidad del firmante y de su contenido sin limitaciones temporales.
La validez legal de estos documentos se comprueba a través de elementos gráficos, como un código QR, una URL de Verificación y el sello de la Ley 19.799.
Nosotros somos los garantes de la correcta verificación de identidad o enrolamiento de una persona, y generamos un lápiz electrónico que entrega las garantías que su negocio o trámite necesita.
Hemos desarrollado soluciones completas en el ámbito de la gestión documental electrónica, cumpliendo con el objetivo de apoyar a nuestros clientes en cada uno de los procesos de modernización y seguridad, buscando la alta eficiencia y rapidez en cada modelo de negocios y optimizando sus recursos, todo esto con plena validez legal.

La entrada Firma Electrónica: Validez Legal y Gestión de Documentos Digitales se publicó primero en ESign.

Útiles consejos de ESign para resguardar la ciberseguridad

Soraya Piddo — Fri, 15 Jan 2021 16:00:08 +0000

La ciberseguridad informática en Chile y el mundo es más necesaria ahora que nunca y esto es una realidad que no tiene discusión, pues los ciberataques se han masificado en todo el mundo y se han transformado en eventos comunes. Un ejemplo de ello es que sólo en Estados Unidos un servidor es atacado cada 39 segundos y cuatro mil empresas son hackeadas todos los días usando ransomware.

“Esto puede causar que miles o millones de personas sean afectadas, apagando servicios masivos de gran importancia y utilidad a clientes o ciudadanos. Un ejemplo de ello fue lo que hemos vivido en Chile con varios bancos. También han existido casos dramáticos como el de la ciudad de Atlanta (Estados Unidos), la cual fue atacada con el ransomware SamSam, dejando a la ciudad completamente desconectada durante cinco días, provocando altísimos costos y serios daños”, explica nuestro Gerente General de ESign, Andrés Cave.

Con la llegada de redes de mayor velocidad y el uso extendido de servicios en la nube, las vulnerabilidades se expanden rápidamente. Además, la incorporación de nuevas tecnologías, como el 5G y IoT, aumenta la cantidad de dispositivos conectados, al punto de que habrá alrededor de 200 mil millones de aparatos activos para fines de 2020. En este sentido, los delincuentes informáticos están utilizando inteligencia artificial y aprendizaje automático para desencadenar ciberataques automatizados que pueden comprometer fácilmente los sistemas sin ninguna intervención humana.

7 Principales Recomendaciones de Ciberseguridad para Empresas

Con la pandemia del COVID-19 en Chile y el mundo, se ha visto un aumento de correos electrónicos de phishing y estafas enviadas a personas y empresas. “El ciberdelito llegó para quedarse y no va a ser menos peligroso en los próximos años, ya que estos delincuentes siempre están ideando formas nuevas y más sofisticadas para atacar, por lo que será cada vez más importante proteger su negocio de manera efectiva”, agrega Andrés Cave.

El Ingeniero Civil y especialista en Ciberseguridad de nuestra compañía, Willians Rodríguez, detalla que “en la actualidad las empresas se encuentran en una época donde la información tiene un valor monetario para los delincuentes cibernéticos, es decir, listas de clientes, de proveedores, información confidencial sobre la compañía, sobre los clientes, datos personales de sus empleados, entre otros”.

Asimismo, nuestro experto en seguridad informática añade que las empresas “también tienen la necesidad de aumentar la seguridad de su infraestructura productiva para evitar ‘secuestros’ de servidores, indisponibilidad de servicios debido a usuarios malintencionados, traduciéndose esto en grandes pérdidas monetarias”.

De esta manera, las compañías deben preocuparse en la inversión de plataformas que los ayuden a mitigar los intentos de los delincuentes cibernéticos de vulnerar sus redes de datos, pero también deben invertir en concientizar a sus empleados, ya que ellos se han convertido en uno de los principales objetivos de los “hackers” mediante la utilización de Phishing o Ingeniería Social. Este último término se basa en el siguiente principio: “El usuario es el eslabón más débil”.

Nuestro Oficial de Seguridad, Ronald Pérez, detalla que se aconseja, “primero, definir claramente cuáles son sus activos de información críticos, los que pueden ser servicios, datos o infraestructura. En el fondo es saber qué es lo que quieren proteger”.

Otras sugerencias de nuestro Oficial de Seguridad son:

Verificar si cuentan con la seguridad necesaria para resguardar estos activos.
Agregar a todas las cuentas un segundo factor de autenticación seguro, partiendo pero no limitado a las cuentas de privilegio.
Generar procesos de Gestión de Incidentes completos, que permitan actuar de manera ordenada ante un incidente y crear medidas de mitigación de forma rápida y obtener lecciones aprendidas.
Implementar un buen sistema o servicio de monitoreo de su plataforma, así, una vez habilitadas las herramientas de seguridad, se monitorea que éstas se encuentren cumpliendo sus funciones y de esta forma ir adoptando medidas preventivas.
Realizar evaluación de su plataforma de manera periódica, realizando análisis de vulnerabilidades (Ethical Hacking).
Verificar el estado de concientización de sus colaboradores para evaluar el nivel de riesgo que existe en este punto; para esto, pueden realizar un servicio de Phishing con charla de concientización, e informar constantemente a sus colaboradores las buenas prácticas en materia de ciberseguridad.

Otros pasos a seguir en caso de ciberataque

Al respecto, Gonzalo Yañez, nuestro Gerente de Tecnología y Transformación de ESign, sugiere que “en primer lugar, en materia de seguridad en las empresas, se debe realizar un profundo diagnóstico de vulnerabilidades tanto a procesos, plataformas y prácticas. En base a esto, se deben identificar los riesgos críticos, medios y bajos, a partir de los cuales abordar soluciones de corto, mediano y largo plazo, diseñando un plan con una hoja de ruta dimensionada y contrastada con las necesidades de continuidad del negocio”.

“Para este plan se deberá determinar qué tipo de competencias requiere su equipo técnico y qué habilidades y conocimientos deberá tener toda la organización, así como las inversiones a evaluar. Los planes normalmente contendrán: mejoras tecnológicas y en plataformas, incorporación de componentes de seguridad, mejoras en los procesos y procedimientos y generación de una cultura de seguridad a todo nivel, reforzando que el riesgo más alto siempre está en las personas”, recalca nuestro Gerente de Innovación y Tecnología.

Para reforzar lo expuesto anteriormente, nuestro Gerente General, nos enumeró otros pasos a seguir en caso de un ciberataque y así minimizar el daño:

Contener la brecha: Si bien se puede tener la tentación de eliminar todo después de que se produzca una vulnerabilidad a los datos, se debe preservar la evidencia, la cual es fundamental para evaluar cómo ocurrió la brecha y quién fue el responsable. El primer paso que se debe tomar después de un ciberataque es determinar qué servidores se han visto comprometidos y contenerlos lo más rápido posible, para asegurarse de que otros servidores o dispositivos no se infecten también.
Deshabilitar el acceso remoto.
Mantener la configuración de su firewall.
Instalar las actualizaciones o parches de seguridad pendientes.
Cambiar contraseñas de manera inmediata: Es necesario crear contraseñas nuevas y seguras para cada cuenta y evitar reutilizar las mismas, así, si se vuelve a producir una violación de datos en el futuro, el daño puede ser limitado.
Evaluar el ciberataque o Vulnerabilidad: Si se es víctima de un ataque más amplio que ha afectado a varias empresas, siga las actualizaciones de fuentes confiables encargadas de monitorear la situación para asegurarse de que hacer a continuación. Averigüe si fue parte de un ataque más amplio o la única víctima.
También se deberá determinar la causa del ataque dentro de su instalación para que se pueda trabajar para ayudar a evitar que no vuelva a ocurrir el mismo tipo de ataque.

A continuación, nuestro gerente general señala que uno siempre se debe preguntar: “¿Quién tiene acceso a los servidores infectados? ¿Qué conexiones de red estaban activas cuando ocurrió la vulneración? ¿Cómo se inició el ataque? Es posible que se pueda identificar cómo se inició la vulneración al verificar los registros de datos de seguridad a través de su firewall o proveedores de correo electrónico, su programa antivirus o su Sistema de Detección de Intrusiones. Si tiene dificultades para determinar la fuente y el alcance de la infracción, considere contratar a un investigador forense calificado. Puede valer la pena la inversión para ayudar a protegerse en el futuro”, recalca.

Una violación de datos puede ser estresante, pero siempre que tome las medidas correctas, su empresa estará mejor preparada para recuperarse con éxito. En el futuro, realice controles de seguridad frecuentes para ayudar a reducir la probabilidad de que un incidente vuelva a ocurrir en el futuro.

Dado que no existe una fórmula para ser inmunes a los ataques en temas de seguridad cibernética, tanto empresas como usuarios individuales deben tener presente que ”los delincuentes informáticos se encuentran 24/7 realizando pruebas/laboratorios buscando la manera de vulnerar un sistema, una aplicación o plataforma. Éstas pueden ser seguras hoy, pero el día de mañana puede salir a la luz un ataque de ‘día cero’, que es un ataque nunca antes visto”, destaca nuestro experto Willians Rodríguez.

El mundo vive una nueva era: la de información y el conocimiento. Cada año se incorporan nuevos paradigmas y tecnologías disruptivas que cambian sustancialmente la forma de realizar las cosas, en especial, en una época en que el Covid-19 nos obliga a realizar decenas de transacciones sólo por Internet y dependemos cada vez más de las Tecnologías de la Información.

Como conclusión, las empresas en Chile y el mundo deben prepararse para tratar de reducir el porcentaje de éxito de estos ataques de “día cero”, siguiendo nuestros consejos sobre seguridad informática.

La entrada Útiles consejos de ESign para resguardar la ciberseguridad se publicó primero en ESign.

Modernización de las Empresas con Soluciones de Firma Electrónica

Soraya Piddo — Fri, 18 Dec 2020 15:52:02 +0000

Aún en pleno siglo XXI, en Chile todavía persiste la costumbre de hacer trámites “vía papel”, lo que tiende a burocratizar y hacer menos eficientes los procedimientos administrativos para la solución de problemas de las empresas.

En ESign, entendemos que la mayoría de las industrias están enfrentando escenarios muy competitivos, lo que lleva a que muchos busquen optimizar sus procesos productivos y administrativos. Nosotros entregamos herramientas que aplican para todas las industrias y que han sido adoptadas por un considerable número de empresas; sin embargo, existen algunas compañías que continúan realizando sus procesos “porque siempre lo han hecho así”.

Nuestra conclusión es que esas empresas están perdiendo competitividad porque muchas otras ya están realizando estos cambios que están al alcance de la mano.

Por supuesto, es entendible que algunas empresas se encuentren más resistentes al cambio y otras más encaminadas a abordarlo. Por esto, en el escenario corporativo actual, conviven la adaptación, la convicción (positiva o negativa) y la aspiración a migrar digitalmente en términos de Transformación Digital Corporativa, lo que implica todo un cambio de cultura organizacional y multifactorial.

Soluciones de Firma Electrónica para Empresas

Algunos de estos factores de resistencia al cambio pueden ser barreras tecnológicas de su recurso humano, una falta de visión respecto del futuro empresarial, problemas de presupuesto, entre otros. Lo cierto es que la reciente emergencia sanitaria ha impactado en el concepto de “gestión documental” y con ello la demanda de estos procesos de manera acelerada.

Actualmente, la gente y las empresas han entendido que este tipo de soluciones digitales llegaron para quedarse y que son elementos claves para el desarrollo y sustentabilidad de cualquier negocio. Hoy, las personas no conciben gastar horas para pedir un producto, pagar un impuesto o simplemente ir a buscar un papel.

En ESign, apoyamos a las empresas a Transformarse Digitalmente en los procesos de cómo se relacionan con sus colaboradores, clientes y proveedores, por lo que ponemos a disposición de nuestros clientes herramientas para los procesos más fundamentales del quehacer empresarial. Quién no ha abordado estos procesos base, no ha comenzado una verdadera transformación digital.

La implementación de Soluciones de Firma Electrónica genera una contribución de impacto positivo en la Transformación Digital Organizacional, tanto en el sector privado como en el público, aportando beneficios medibles a través de plataformas innovadoras que cuentan con absoluto respaldo legal.

Nuestras Soluciones centran sus funcionalidades en aspectos que garantizan un tránsito amigable y de confianza hacia ambientes digitales, pues estos Proyectos influyen de manera directa en el aprovechamiento de recursos tangibles e intangibles para la Organización, e incluso, con una mirada global a partir de su aporte al medio ambiente con la eliminación del papel, ayudando a las empresas y negocios a adquirir una posición más competitiva en el contexto de la transformación digital, obteniendo una serie de ventajas y beneficios económicos, de imagen, operacionales, de riesgo, control, transparencia, entre otros.

Todo esto se puede “medir” tanto en aumento de ingresos a través de cierres efectivos de negocios, en la reducción de riesgos y multas en la firma de los contratos de trabajo, en mejorar la gestión y cumplimiento para los contratos de proveedores, o reducir costos y riesgos en almacenamiento, búsqueda, tratamiento del papel, entre otros.

Con el uso del documentos electrónicos más la firma electrónica, las empresas pueden:

- Obtener mayores ingresos: Hoy en día, Internet es un canal estratégico para generar ingresos. En este sentido, poder proponer un producto y/o servicio que agilice los cierres de negocios a través de contratos con proveedores o clientes, es algo estratégico para cualquier empresa.

- Lograr mayor seguridad: A diferencia del papel, los documentos firmados electrónicamente no pueden ser alterados o modificados, como también si se usa firma electrónica avanzada, la cual no tiene repudio.

- Ahorro de costos: La firma digital permite obtener grandes ahorros, como son las horas hombre, custodia, búsqueda y multas. Si esta cifra fuera extrapolada a grandes cantidades de documentos, trámites y empresas, se traduciría en millones de pesos en ahorros.

- Mayor agilidad: Los procesos y los flujos de operaciones que implican la firma y gestión de documentos se automatizan, simplificando en gran medida no sólo el procedimiento en sí, sino también el transporte, la distribución y su almacenamiento.

- Mejora de la experiencia de cliente: Con un buen viaje de cliente, las empresas mejorarán su servicio, percepción, e imagen, puesto que esta tecnología es un elemento básico para relacionarse con sus clientes que se contactan vía diversos medios y canales.

Entorno sin papel: Otra de las ventajas es que a través de los documentos electrónicos se aporta directamente en mejorar el medioambiente, reduciendo la tala de árboles, el consumo de agua, CO2 y basura, entre otros.

Cómo Implementamos Nuestras Soluciones Digitales

Como compañía buscamos implementar soluciones de firmas digitales de manera efectiva y con impacto en la satisfacción del cliente, lo que recae en diversos aspectos. Uno de ellos es el tiempo, pues es fundamental responder a las aspiraciones del cliente en la correcta y ágil implementación.

Desde la primera reunión comercial, es imprescindible conocer cuál es la urgencia que el posible cliente identifica para su puesta en marcha y, en adelante, se le brinda toda la información correspondiente respecto de nuestra metodología.

Por ende, al guiarlos asertivamente en este proceso, se le transmite cuán importante es contar con una contraparte técnica y administrativa comprometida y eficiente respecto del trabajo en conjunto a realizar con el objetivo de cumplir con el time to market acordado.

Nuestra sugerencia es, “ponernos en los zapatos” del cliente, trabajador, proveedor o simplemente quien tenga que firmar. Si se entiende bien el “dolor”, se podrá establecer de manera correcta como el papel electrónico podrá ayudarlo en lograr los objetivos que se ha planteado.

Para esto le sugerimos usar ciertas herramientas muy probadas, como es el NPS, para entender el nivel de satisfacción de los clientes internos y externos, y desde ahí diseñar un buen Customer Journey Map o Viaje del Cliente, el que a su vez, podrá diseñar o definir un buen proceso que debe ir mejorando con el tiempo.

Para ayudar en esta Transformación Digital, contamos con soluciones para ayudar a nuestros actuales y futuros clientes, tales como Cloudsigner, Esigner, Checksign, TSA, eGovsign, Cloudsigner Mobile y API’s, todas las cuales están disponibles en nuestro sitio web.

Así, al transformar digitalmente la empresa, ésta puede obtener mayores ingresos y seguridad, ahorrar costos, agilizar los flujos y procesos operacionales, mejorar la experiencia del cliente y resguardar el medio ambiente. Sin duda, razones más que suficientes para comenzar a implementar las Soluciones propuestas.

La entrada Modernización de las Empresas con Soluciones de Firma Electrónica se publicó primero en ESign.

Autenticación de Identidad con Clave Única y Firma Electrónica Avanzada remota

ESign — Mon, 16 Nov 2020 20:32:43 +0000

En los últimos años ha habido grandes avances tecnológicos y normativos que han permitido disponibilizar una serie de alternativas ubicuas y seguras para el enrolamiento y autenticación de personas.

En este sentido, ESIGN como empresa de Identidad Digital Legal acreditada ante el Ministerio de Economía, lleva años desarrollando de forma muy activa soluciones de firma y documentos electrónicos que permiten hacer de este mundo un lugar más simple y confiable.

Desde la publicación de la Ley 19.799, la única forma de obtener una Firma Electrónica Avanzada era a través de la validación de identidad de manera presencial ante un ministro de fe. A 18 años de su promulgación y debido a grandes avances normativos internacionales como es el Reglamento de la Unión Europea Nº 910/2014 – eIDAS –, sumado a la pandemia que nos aqueja, se han acelerado una serie de procesos de digitalización en donde este tipo de Firma cumple un rol clave.

Es por ello, que recientemente el Ministerio de Economía ha autorizado el uso de Clave Única como la alternativa exclusiva para verificar la identidad de una persona desde internet, usando siempre un segundo factor de autenticación como una clave dinámica (OTP), biometría, token, entre otros.

ESIGN y sus marcas (CloudSigner.com, Firma.cl, y prontamente Firma.com.co), han integrado estas tecnologías de identidad digital, autenticación, y firma masiva para así generar una Firma Electrónica Avanzada remota y sin repudio legal para las personas y empresas.

Con este importante avance, la Firma Electrónica Avanzada con Clave Única permitirá rápidos avances en la transformación digital, en especial sobre aquellos productos y servicios disponibilizados en la web, como por ejemplo consentimiento para productos financieros, contratos, mandatos, receta médica, trámites Municipales y con el Estado, entre muchos otros.

La entrada Autenticación de Identidad con Clave Única y Firma Electrónica Avanzada remota se publicó primero en ESign.

Cambios en la emisión de certificados SSL

ESign — Tue, 13 Oct 2020 20:47:36 +0000

El pasado mes de febrero Apple anunció que su navegador Safari ya no confiará en los Certificados SSL / TLS que cuenten con una validez de más de 398 días. El 11 de junio, Dean Coclin, presidente emérito del Foro CA / B ( Certificate authority/ Browser Forum), dio la noticia en Twitter de que Google seguirá el ejemplo de Apple para limitar los certificados de igual manera en la que lo hará Apple a partir de 1 de septiembre 2020.

Esta medida implica que a partir del 31 de agosto de 2020, Digicert, ESIGN LATAM y su e-commerce SSLfull, en calidad de Platinum Partner de Digicert no emitirán certificados SSL con vigencia de 2 o más años. Es importante comentar que aquellos certificados que han sido emitidos a más de un año antes del 31 de Agosto del 2020 serán respetados y esta nueva norma rige a partir de los certificados emitidos desde el 1 de Septiembre del 2020 en adelante.

El objetivo de esta acción es asegurar que los sitios web utilicen certificados actualizados y con los últimos estándares criptográficos, por lo que se disminuirá la cantidad de certificados antiguos o abandonados que pueden ser robados y reutilizados para ataques de phishing o malware.

ESign – Más de 15 Años Construyendo un Mundo de Confianza Digital

La entrada Cambios en la emisión de certificados SSL se publicó primero en ESign.