DigiCert archivos - ESign

Desafíos y consejos de Ciberseguridad en Chile

Soraya Piddo — Thu, 20 May 2021 16:41:13 +0000

La ciberseguridad informática en Chile y el mundo es más necesaria ahora que nunca y esto es una realidad que no tiene discusión, pues los ciberataques se han masificado en todo el mundo y se han transformado en eventos comunes. Un ejemplo de ello es que sólo en Estados Unidos un servidor es atacado cada 39 segundos y cuatro mil empresas son hackeadas todos los días usando ransomware.

Una encuesta reciente de Marsh, líder en Consultoría, Corretaje de Seguros y Administración de Riesgos, respaldada por Microsoft, mostró que en América Latina, aunque el 31% de las empresas percibe un aumento en el número de ciberataques desde el inicio de la pandemia, solo el 24% aumentaron sus presupuestos de ciberseguridad, con solo el 17% de las empresas de la región teniendo seguro contra los riesgos cibernéticos.

Con las amenazas cibernéticas en aumento en los últimos años, colaborar y comunicarse de manera segura dentro de las empresas, requiere canales que deben ser completamente seguros. Hay cientos de amenazas diferentes en este momento, y los piratas informáticos están utilizando esta pandemia como otra superficie para desplegar sus ataques, así que es imprescindible estar preparado para evitar brechas de seguridad.

“Esto puede causar que miles o millones de personas sean afectadas, apagando servicios masivos de gran importancia y utilidad a clientes o ciudadanos. Un ejemplo de ello fue lo que hemos vivido en Chile con varios bancos. También han existido casos dramáticos como el de la ciudad de Atlanta (Estados Unidos), la cual fue atacada con el ransomware SamSam, dejando a la ciudad completamente desconectada durante cinco días, provocando altísimos costos y serios daños”, comenta Andrés Cave – Gerente General de ESign.

Problemas de ciberseguridad de trabajo remoto

Si bien el trabajo desde casa tiene sus méritos, como los costos más bajos para las empresas, este aumento meteórico ha dado lugar a algunos problemas preocupantes de seguridad de TI, en las que DigiCert incluye:

- Transición a la nube. Desde la pandemia, se prefieren las soluciones de acceso remoto y las organizaciones están trasladando gradualmente los procesos comerciales críticos a la nube. Sin embargo, depender cada vez más de la nube y crear agilidad en la nube podría crear más vulnerabilidades si no se protege adecuadamente. Microsoft descubrió que el 39% de las empresas están dando prioridad a las inversiones en seguridad en la nube sobre la seguridad de los datos y la información o incluso la seguridad de la red. PKI puede ayudar a proteger la nube y proporcionar una autenticación sólida e integridad operativa a escala.
- Suplantación de identidad por correo electrónico. El phishing por correo electrónico durante la pandemia se disparó. Existe una mayor prioridad para capacitar a los trabajadores y prepararlos para reconocer y saber cómo lidiar con las amenazas desde la pandemia y desarrollar las mejores prácticas para el acceso seguro al correo electrónico.

- Diversos dispositivos remotos. Los dispositivos móviles necesitan su propia protección de seguridad única. Pero al 52% de las organizaciones les resulta difícil proteger los dispositivos móviles de problemas de ciberseguridad. Un primer paso fundamental para resolver esto es implementar una política eficaz de administración de dispositivos móviles (MDM).

- Sin ciberseguridad en la oficina. Su empresa es más vulnerable cuando su personal no puede utilizar las medidas de seguridad de TI de la oficina, como los firewalls. Afortunadamente, con herramientas como Enterprise PKI Manager de DigiCert, puede aumentar la seguridad y proporcionar a los trabajadores remotos un acceso VPN seguro.

- Protección de contraseñas. Los colaboradores deben estar capacitados en las mejores prácticas de la política de contraseñas y su organización debe implementar la autenticación multifactor. Además, con el personal que trabaja desde casa, pueden verse tentados a compartir contraseñas de trabajo con amigos o familiares para ayudarlos con ciertas tareas laborales. Obviamente, este es un problema de seguridad y debe abordarse con la capacitación adecuada para todo el personal.

“La transición al trabajo remoto ha sido un obstáculo difícil de navegar para muchas empresas. Es lo suficientemente desafiante mantener las operaciones y la productividad mientras se trabaja desde casa. Sin embargo, a medida que aumentan los problemas de seguridad (como las estafas de phishing), también debe hacerlo la seguridad y la resistencia de las organizaciones”, afirmó Dean Coclin, Director senior de desarrollo empresarial en DigiCert.

Dado que no existe una fórmula para ser inmunes a los ataques en temas de ciberseguridad, tanto empresas como usuarios individuales deben tener presente que “los delincuentes informáticos se encuentran 24/7 realizando pruebas/laboratorios buscando la manera de vulnerar un sistema, una aplicación o plataforma. Éstas pueden ser seguras hoy, pero el día de mañana puede salir a la luz un ataque de ‘día cero’, que es un ataque nunca antes visto”, destacó el especialista en Ciberseguridad de ESign.

El mundo vive una nueva era: la de información y el conocimiento. Cada año se incorporan nuevos paradigmas y tecnologías disruptivas que cambian sustancialmente la forma de realizar las cosas, en especial, en una época en que el Covid-19 obliga a los usuarios a realizar decenas de transacciones sólo por Internet y el mundo depende cada vez más de las Tecnologías de la Información, es por ello que las empresas en Chile y el mundo deben prepararse para tratar de reducir el porcentaje de éxito de estos ataques.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 16 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinum Partner del país.

La entrada Desafíos y consejos de Ciberseguridad en Chile se publicó primero en ESign.

Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos

Soraya Piddo — Thu, 22 Apr 2021 19:42:21 +0000

El robo de contraseñas de sitios web de entretenimiento, WhatsApp falso, noticias falsas sobre Covid-19 y la vacuna, estafas y ataques de ransomware más sofisticados, son algunas de las principales amenazas a las que están expuestos los usuarios. No es nuevo: la tecnología ha facilitado la rutina de las personas y más aún con las pandemias. Hoy en día ya no es necesario salir de casa para realizar un pago, realizar compras o incluso asistir a una reunión. Internet se ha convertido en un universo aparte, lleno de transacciones.

Con el objetivo de evitar estafas, el uso de certificados SSL para proteger e identificar sitios ha aumentado drásticamente. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar SSL. Los certificados SSL vienen en tres versiones: Validado por dominio (DV), Validado organizacionalmente (OV) y Validación extendida (EV). Las diferencias básicas se muestran a continuación:

Certificado SSL de validación de dominio (DV)

Los certificados SSL de validación de dominio validado se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.

Certificado SSL de validación de la organización (OV)

Para recibir un certificado SSL de validación de la organización, las organizaciones son autenticadas por la CA (Autoridad de certificación) contra las bases de datos del registro empresarial alojadas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.

Certificado SSL de validación extendida (EV)

Los certificados SSL de validación extendida agregan pasos de validación adicionales y ofrecen el nivel más alto de autenticación para salvaguardar la marca y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico utilizan EV, según los datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificado SSL OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.

En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Sabemos que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado. Pero no sabemos nada sobre ese dominio con certificado SSL DV. Con OV y EV, recibimos más información sobre el dominio, incluida la ubicación de la empresa (OV), e incluso más detalles con EV.

Mirando más allá del candado

Con la llegada de una web que está cifrada en más del 90% y con los navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente “buscar el candado”, ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes al buscar pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.

Otra pista que debe buscar es el nombre de la autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden colocar el cursor sobre el candado para ver el nombre de la CA. Si el indicador dice “Verificado por DigiCert“, puede estar seguro de que la identificación del sitio se ha verificado de acuerdo con los requisitos de la industria. Las CA líderes, como DigiCert y ESign, único Platinium Partner de DigiCert en Chile, actualizan constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.

Los certificados de Validación de Organización (OV) y Validación Extendida (EV) requieren cierto esfuerzo para obtenerlos. Primero, la entidad solicitante debe ser una organización válida y la CA debe buscar registros públicos para autenticarla. Debido a que esto implica mano de obra, existe un costo asociado con la obtención del certificado. Normalmente, estos no son obstáculos para las organizaciones legítimas. Pero para los ciberdelincuentes, proporcionan una fricción significativa, que puede evitarse obteniendo un certificado DV.

Una investigación reciente mostró que casi la mitad de los sitios de phishing ahora tienen candado. La mayoría de las veces, los certificados de Validación de Dominio (DV) se obtienen con éxito para esos sitios web. Los piratas informáticos saben que pueden solicitar DV automáticamente sin proporcionar ninguna información personal y algunas CA las ofrecen de forma gratuita. Por lo tanto, ni siquiera es necesaria una tarjeta de crédito. Un informe reciente sobre un compromiso de DNS por parte de un supuesto estado-nación afirmaba que los piratas informáticos habían ocultado su operación mediante el uso de “suplantación de certificados”, obteniendo certificados de proveedores conocidos de certificados gratuitos o de bajo costo con poca o ninguna validación realizada. Dada la fácil disponibilidad de estos certificados, no es de extrañar que los ciberdelincuentes utilicen certificados DV de forma predeterminada para legitimar sus sitios web.

Tenga en cuenta lo básico

¿Qué pueden hacer los consumidores para reconocer los sitios web fraudulentos? Tres palabras: examinar, examinar y examinar.

1. Si bien en el pasado estaba bien buscar el candado en la barra del navegador, ahora se debe examinar la información de este, colocando el cursor sobre el ícono para ver qué CA emitió el certificado. Si es DigiCert, puede estar seguro de que el sitio web ha sido verificado de acuerdo con los estándares de la industria y que, en el caso de un certificado OV (validación de organización) o EV (validación extendida), la identidad del propietario del sitio web ha sido examinada para mayor protección.

1. Mire de cerca la barra de direcciones y lea la URL a la que ha sido direccionado con atención. ¿Es lo que esperaba?

1. Haga clic en el candado para revelar información adicional sobre el sitio. Si usa un certificado EV, el nombre de la empresa se identificará inmediatamente después de hacer clic en el candado.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 17 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinium Partner del país.

La entrada Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos se publicó primero en ESign.