Nov 15

Consulta: He preguntado a chatGPT que me resuma el contenido de la “Ley Orgánica de Amnistía para la Normalización Institucional, Política y Social en Cataluña” y su opinión, y este ha sido su resultado:

Resumen General:

  1. Introducción y Motivación: La ley busca normalizar aspectos institucionales, políticos y sociales en Cataluña. Se detallan los precedentes históricos y la relevancia de la amnistía en situaciones excepcionales para mejorar la cohesión social.
  2. Definición de Amnistía y Alcance: Define la amnistía como un instrumento legal para excepcionar leyes en casos específicos. Se explican sus objetivos y se establecen comparaciones con otras legislaciones europeas.
  3. Contenido de la Ley:
    • Artículos: Detalla los actos y circunstancias específicas que serían cubiertos por la amnistía.
    • Exclusiones: Especifica actos que quedan excluidos de la amnistía, como delitos graves, torturas, terrorismo, traición, etc.
    • Efectos y Aplicabilidad: Describe los efectos jurídicos de la amnistía y las condiciones bajo las cuales se aplicaría.
  4. Disposiciones Adicionales y Finales: Incluye modificaciones a leyes relacionadas y establece la fecha de entrada en vigor de la ley.

Análisis y Opinión:

  • Contexto Político y Social: La ley parece ser una respuesta a situaciones políticas y sociales específicas en Cataluña, buscando un camino hacia la normalización y la reconciliación.
  • Equilibrio entre Justicia y Cohesión Social: Mientras la amnistía puede ser un paso hacia la resolución de conflictos, es crucial equilibrar la necesidad de justicia legal con los objetivos de cohesión social y política.
  • Exclusiones y Protección de Derechos: La exclusión de delitos graves y la protección de derechos humanos es una medida positiva, asegurando que la amnistía no se extienda a actos de extrema gravedad.
  • Comparación con Legislaciones Europeas: La referencia a otras legislaciones europeas proporciona un contexto legal más amplio y muestra un esfuerzo por alinearse con estándares internacionales.

En conclusión, la ley propone un enfoque enfocado en la reconciliación y la normalización, respetando al mismo tiempo los principios de justicia y los derechos humanos. Su éxito dependerá de cómo se equilibren estos aspectos en su implementación y de la respuesta de las diversas partes involucradas en Cataluña.

2º. A la pregunta: “Según tu análisis, el contenido puede ser anticonstitucional según la Constitución española?” La respuesta ha sido la siguiente:

Determinar si un contenido legislativo es anticonstitucional o no es una tarea compleja que generalmente requiere un análisis detallado por expertos en derecho constitucional y, en última instancia, puede requerir una decisión por parte de un tribunal constitucional o una entidad judicial similar. Mi análisis no puede sustituir esa evaluación legal formal. Sin embargo, puedo ofrecer algunos puntos de consideración basados en principios generales del derecho constitucional y el contexto de la Constitución Española:

  1. Conformidad con la Constitución: Cualquier ley en España debe ser conforme con la Constitución Española. Esto incluye respetar los principios fundamentales, derechos y libertades, y la estructura del Estado.
  2. Precedentes Históricos: La amnistía como concepto no es inherentemente anticonstitucional y ha sido utilizada en diferentes contextos históricos. La clave es cómo se formula y aplica en relación con los principios constitucionales.
  3. Derechos y Libertades Fundamentales: Una ley de amnistía debe respetar los derechos y libertades fundamentales garantizados por la Constitución. Esto incluye el derecho a la justicia y la igualdad ante la ley.
  4. Separación de Poderes: La ley debe respetar la separación de poderes, un principio clave en la Constitución. Esto significa que no debe interferir indebidamente en las funciones del poder judicial.
  5. Autonomía Regional y Unidad del Estado: Dada la naturaleza del conflicto en Cataluña, cualquier ley relacionada con esta región debe equilibrar la autonomía regional con la unidad e integridad del Estado español, como lo establece la Constitución.
  6. Interpretación del Tribunal Constitucional: Finalmente, cualquier cuestión sobre la constitucionalidad de una ley puede ser llevada ante el Tribunal Constitucional de España, que es el intérprete supremo de la Constitución.

Dadas estas consideraciones, un análisis completo de la ley en cuestión requeriría un examen detallado de su texto en relación con la Constitución Española y posiblemente una revisión por parte del Tribunal Constitucional si surge una disputa legal sobre su constitucionalidad.

3º A la pregunta: En el punto 3, Derechos y Libertades fundamentales, a tu entender, esta ley puede incurrir en las libertades fundamentales sobre el resto de la sociedad al amnistiar a políticos que han incurrido en actos delictivos que estan incluidos en la constitución española?. La respuesta ha sido la siguiente:

La cuestión de si una ley de amnistía, especialmente una que se aplica a políticos implicados en actos que podrían ser considerados delictivos según la Constitución Española, podría infringir las libertades y derechos fundamentales de otros miembros de la sociedad es compleja y multifacética. Aquí hay algunos puntos clave a considerar:

  1. Equidad y Justicia: Una preocupación central es si la amnistía para ciertos individuos, particularmente aquellos en posiciones de poder o influencia política, podría ser vista como una erosión de la equidad y la justicia. Esto podría ser percibido como una forma de impunidad, especialmente si los actos amnistiados han tenido consecuencias negativas para otros.
  2. Derecho a la Justicia: La Constitución Española garantiza el derecho a la justicia. Si los actos cubiertos por la amnistía han violado derechos constitucionales o legales de otras personas, podría argumentarse que la amnistía interfiere con su derecho a buscar reparación o justicia.
  3. Principio de Legalidad: La amnistía podría ser cuestionada si se percibe que contradice el principio de legalidad, según el cual todos, incluidos los políticos, están sujetos a la ley. La exención de responsabilidad legal para ciertos individuos podría ser vista como un desafío a este principio.
  4. Confianza en las Instituciones: La aplicación de una ley de amnistía a políticos podría tener implicaciones en la percepción pública de la integridad y la legitimidad de las instituciones gubernamentales y judiciales. Esto podría influir en la confianza general de la sociedad en su sistema legal y político.
  5. Reconciliación y Paz Social: Por otro lado, en contextos políticos complejos y conflictivos, a veces se argumenta que medidas como la amnistía son necesarias para facilitar la reconciliación y la paz social. Este es un argumento común en situaciones post-conflicto o en transiciones políticas.
  6. Casos Específicos y Contexto: La evaluación de si una ley de amnistía infringe las libertades fundamentales dependería en gran medida de los detalles específicos de la ley y del contexto en el que se aplica.
  7. Revisión Judicial: Cualquier cuestión sobre la constitucionalidad o el impacto en los derechos fundamentales probablemente requeriría una revisión judicial, y en última instancia podría ser una cuestión para el Tribunal Constitucional.

En resumen, la aplicación de una ley de amnistía en este contexto podría tener implicaciones significativas en términos de derechos y libertades fundamentales. Determinar si estas implicaciones son justificadas o problemáticas requeriría un examen detallado de la ley, el contexto en el que se aplica, y una valoración de las necesidades de justicia, equidad y reconciliación social.

4º A la pregunta: Según tu opinión, es correcto que un político proponga una ley de amnistia por el mero hecho de consolidarse, asociandose con partidos independentistas y que hayan incurrido en el pasado con actos delictivos habiendo sido imputados por la justicia? Es ético ?

La propuesta de una ley de amnistía por parte de un político o un partido, particularmente en un contexto donde dicha ley podría beneficiar a aliados políticos o a sí mismos, plantea cuestiones significativas en términos de ética y gobernanza. Al abordar una pregunta como esta, es importante considerar varios aspectos:

  1. Motivación Política vs. Interés Público: La ética en la política a menudo se juzga en función de si las acciones de un político o partido están motivadas principalmente por el interés público o por intereses personales o partidistas. La promulgación de leyes que benefician principalmente a un grupo político o que buscan consolidar el poder puede ser vista como contraria a los principios de un gobierno imparcial y justo.
  2. Justicia y Legalidad: Desde una perspectiva ética, es crucial que las leyes y las acciones políticas respeten los principios de justicia y legalidad. Las leyes de amnistía que podrían perdonar actos anteriormente considerados delictivos deben evaluarse cuidadosamente en términos de su conformidad con estos principios.
  3. Transparencia y Responsabilidad: La transparencia en el proceso legislativo y la responsabilidad de los políticos ante sus electores y la ley son fundamentales. La falta de transparencia o la percepción de que la ley se utiliza para eludir la responsabilidad puede plantear serias preocupaciones éticas.
  4. Precedentes y Consecuencias a Largo Plazo: También es importante considerar los precedentes que tales acciones establecen y sus posibles consecuencias a largo plazo en la integridad del sistema político y legal.
  5. Contexto Político y Social: El contexto político y social más amplio también juega un papel crucial. En algunos casos, las leyes de amnistía se han utilizado como parte de procesos de transición o reconciliación. Sin embargo, estas situaciones suelen requerir un delicado equilibrio entre diversas consideraciones éticas y legales.
  6. Percepción Pública: La percepción pública de la ética de tales acciones es igualmente importante. La confianza en el sistema político puede verse socavada si las acciones de los políticos son percibidas como impulsadas por el interés propio en lugar del bien común.

En resumen, la propuesta de una ley de amnistía en estas circunstancias plantea importantes preguntas éticas y debe ser evaluada cuidadosamente en términos de motivación, impacto en la justicia y la legalidad, transparencia, responsabilidad, contexto y percepción pública. La ética en la política exige un compromiso con el interés público, la justicia y la transparencia, y cualquier desviación de estos principios debe ser objeto de escrutinio.

5º A la pregunta: A tu entender, si una buena parte de la población está en contra, que posibilidades hay de que un gobierno que haya propuesto este tipo de ley, perdure en el cargo? Cuál es tu opinión?

La viabilidad política y la duración en el cargo de un gobierno que propone una ley controvertida, especialmente una que enfrenta una fuerte oposición de una parte significativa de la población, dependen de varios factores. Aquí hay algunos aspectos a considerar:

  1. Apoyo Político y Coaliciones: La estabilidad de un gobierno a menudo depende de su base de apoyo en el parlamento o la asamblea legislativa. Si un gobierno depende de coaliciones, especialmente con partidos que tienen diferentes puntos de vista sobre una ley controvertida, esto puede influir en su estabilidad.
  2. Respuesta Pública y Movilización: Una fuerte oposición pública puede llevar a protestas, movilizaciones y cambios en la opinión pública. Esto puede afectar la popularidad del gobierno y su capacidad para implementar políticas.
  3. Medios de Comunicación y Opinión Pública: La cobertura mediática y la narrativa pública pueden influir significativamente en la percepción de la ley y del gobierno. Una cobertura negativa sostenida puede erosionar el apoyo al gobierno.
  4. Contexto Político y Económico: El contexto más amplio, incluyendo la situación económica, las tensiones políticas, y otros problemas sociales, también juegan un papel. En tiempos de crisis o dificultades, los gobiernos pueden ser más vulnerables a la oposición.
  5. Gobernanza y Rendimiento: La percepción de la competencia y la efectividad del gobierno en otras áreas también puede amortiguar o exacerbar el impacto de la controversia.
  6. Eventos Futuros y Cambios en las Circunstancias: Eventos inesperados o cambios en las circunstancias nacionales o internacionales pueden desplazar el enfoque de la controversia y afectar la estabilidad del gobierno.

En cuanto a mi opinión, es importante destacar que la política es inherentemente dinámica y a menudo impredecible. Un gobierno podría sobrevivir a una controversia si logra comunicar efectivamente sus razones y si la medida es percibida como beneficiosa o justificada por una parte suficiente del electorado o si logra mitigar las preocupaciones mediante negociaciones y compromisos. Por otro lado, si la oposición es fuerte, sostenida y ampliamente apoyada, podría significar un desafío significativo para la permanencia del gobierno en el poder.

En resumen, la permanencia de un gobierno en el poder frente a una ley controvertida depende de un complejo entrelazado de factores políticos, sociales y económicos, y la capacidad del gobierno para navegar estos desafíos.

6º A la pregunta: A tu entender, sería conveniente volver a realizar unas elecciones generales a la vista de las movilizaciones y protestas habidas, teniendo en cuentas que el partido que va a gobernar no ha obtenido la mayoría y la única forma de poder gobernar es asociarse con otros grupos minonitarios dando esta concesión, ley de amnistia?

La decisión de convocar elecciones generales anticipadas en respuesta a movilizaciones y protestas, y en el contexto de un gobierno que depende de coaliciones con partidos minoritarios, implica consideraciones políticas y democráticas complejas. Aquí hay algunos factores clave a considerar al evaluar la conveniencia de nuevas elecciones:

  1. Estabilidad Política: Si el gobierno actual está enfrentando desafíos significativos para gobernar eficazmente debido a la falta de una mayoría clara y las protestas socavan su legitimidad o eficacia, nuevas elecciones podrían ser vistas como una forma de restablecer la estabilidad.
  2. Legitimidad Democrática: Las elecciones son un mecanismo fundamental en una democracia para reflejar la voluntad del pueblo. Si hay una percepción generalizada de que el gobierno actual no refleja adecuadamente esta voluntad debido a compromisos polémicos, como la ley de amnistía mencionada, unas elecciones podrían considerarse una forma de reafirmar o reevaluar el mandato del pueblo.
  3. Costo y Viabilidad: Las elecciones generales implican costos significativos y requieren una planificación logística. Además, no hay garantía de que el resultado de nuevas elecciones resuelva la situación política de manera más clara o estable.
  4. Impacto Socioeconómico: También es importante considerar el impacto socioeconómico de la inestabilidad política prolongada. Si las elecciones podrían potencialmente llevar a un gobierno más estable y efectivo, esto podría justificar su costo.
  5. Opinión Pública y Encuestas: Si las encuestas y la opinión pública indican un claro deseo de elecciones anticipadas y una posible reconfiguración del panorama político, esto podría ser un argumento a favor de convocarlas.
  6. Alternativas: Antes de optar por elecciones, podrían explorarse otras alternativas, como reconfigurar la coalición gobernante, buscar nuevos acuerdos entre partidos, o incluso realizar referendos sobre cuestiones específicas como la ley de amnistía.

En mi opinión, la decisión de convocar nuevas elecciones debería basarse en una evaluación cuidadosa de si esto serviría al interés público y mejoraría la gobernabilidad y la representación democrática. Si bien las elecciones pueden ofrecer una oportunidad para que el electorado exprese su voluntad en un momento de controversia política, también es importante considerar los desafíos prácticos y el contexto más amplio en el que se tomaría esta decisión.

Nov 02

Artículo: Innovación y protección: claves de la Jornada de Ciberseguridad de ASECOPS en Zaragoza.

Enlace a la noticia: https://cuadernosdeseguridad.com/2023/11/jornada-ciberseguridad-asecops/

ARTICULO:

En el marco del mes europeo de la Ciberseguridad, el pasado 25 de octubre, Zaragoza se convirtió en el epicentro de la discusión sobre ciberseguridad gracias a la jornada organizada por ASECOPS, la Asociación Española de Compañías Privadas de Seguridad.

El evento, celebrado en el Salón de Actos del Grupo San Valero del Club Cámara y patrocinado por la Compañía de Vigilancia Aragonesa (COVIAR) y la Correduría de Seguros KALIBO, contó con la participación de expertos en el campo, ofreciendo una visión integral sobre los desafíos y soluciones en esta área tan crucial.

Análisis de la situación actual

La jornada fue inaugurada por Javier Modubar, CEO de INGECOM, quien presentó una exhaustiva visión sobre la evolución de la ciberseguridad. Su ponencia, titulada «Análisis de la situación actual de la ciberseguridad. Tendencias», puso énfasis en el notable aumento de ciberataques, tanto a empresas como a particulares, resaltando la urgencia de anticiparse a estos mediante la ciberinteligencia. Modubar también advirtió sobre el incremento de ataques geopolíticos a infraestructuras XIoT y el uso más sofisticado de la IA en ciberataques.

El rol de los ciberseguros

Óscar-Rubén Sanz Martínez, Director Técnico de Kalibo, se centró en «Aseguramiento del riesgo cibernético. Ciberseguros». Explicó cómo los riesgos tecnológicos emergentes pueden comprometer la continuidad operativa de las empresas y destacó la importancia de los seguros de ciberriesgos, adaptados a cada actividad empresarial, como un medio efectivo para mitigar las consecuencias de un ciberataque.

Privacidad y seguridad de datos

Andrés Calvo Medina, inspector de la División Tecnológica de la Agencia Española de Protección de Datos (AEPD), abordó la delicada relación entre privacidad y seguridad en su intervención «Privacidad y Seguridad». Aseguró que, si bien la tecnología tiende a ser insegura, el eslabón más débil suele ser el factor humano. Calvo Medina enfatizó la importancia del Delegado de Protección de Datos en las organizaciones y recordó la obligación de reportar a la AEPD cualquier incidencia que comprometa la seguridad de los datos.

Riesgos en protección física y redes OT

La jornada continuó con Pedro Benito Durán, responsable de Auditoría y Pen Testing de Global Technology, quien en su ponencia «Ataques a elementos de Protección Física y Redes OT», expuso los riesgos que suponen los ciberataques a estos elementos, especialmente en industrias e infraestructuras críticas. A través de una demostración práctica, mostró cómo prevenir dichos ataques.

Lucha contra la ciberdelincuencia

José Luis Temprano Flórez, de Brigada Central de Seguridad Informática de la Policía Nacional, se enfocó en «La lucha contra la Ciberdelincuencia». Destacó el atractivo económico de estas actividades delictivas y proporcionó consejos para identificar intentos de phishing, además de advertir sobre herramientas engañosas como Fake Calls y Fake Apps.

Clausura y agradecimientos

El Comisario Principal Provincial de Zaragoza, Francisco Javier Abadía Tirado, cerró la jornada con una intervención que resumió y conectó todos los temas tratados. ASECOPS también extendió su agradecimiento a Manuel Giménez Cuevas, destacado portavoz de la Policía Nacional y moderador del evento.

Este encuentro en Zaragoza demostró ser un espacio crucial para entender y enfrentar los retos que la ciberseguridad presenta en la actualidad, marcando un hito en el compromiso colectivo para proteger nuestra sociedad digital.

Abr 03

Opinión: Una reflexión en un mundo hiperconectado.

“El gran avance en la inteligencia artificial traerá nuevos retos en protección y resiliencia. Conocer cómo se produce un ataque informático es esencial para comprender el propósito y el objetivo de los ciberdelincuentes.”

Nos encontramos ante una sociedad en el que el aumento de ataques dirigidos hacia instituciones y empresas están a la orden del día. Vectores de ataques cada vez más frecuentes hacia cualquier segmento de la población, ya no son tan quirúrgicos como hace algunos años. El phishing, el smishing y el ransomware, palabras que hace unos años oíamos y que nos afectaban prácticamente en nada, hoy, junto con la suplantación de identidad, están a la orden del día. Ataques crecientes y continuos. En la vida empresarial y en la vida cotidiana de la población, debemos ser conscientes y ser capaces de resolver soluciones eficaces que reduzcan al mínimo el impacto que puedan tener.

Por su parte, el ransomware es, por ende, el vector de ataque que más está amenazando a los sistemas informáticos en este momento. Conocer las habilidades y capacidades de los ciberdelincuentes nos ayudará a establecer la resiliencia que es tan necesaria en la vida cotidiana. Nuevas herramientas son creadas cada día, aprovechando nuevas vulnerabilidades en los sistemas, por lo que debemos de estar preparados para solventar los nuevos retos a los que nos vamos a enfrentar.

 La incorporación de resiliencia en materia de Ciberseguridad nos mantendrá activos y podremos establecer esas medidas de seguridad necesarias para la protección de los datos en caso de un intento de ataque a nuestros sistemas. Estas medidas de seguridad tienen que ser directamente proporcionales al tratamiento que queremos establecer en los datos a proteger. Necesitamos establecer protocolos, directrices y evaluar qué datos son esenciales o más importantes y establecer medidas de seguridad equitativas en este sentido. El tratamiento que llevemos a cabo en los datos evaluados integrará el nivel de protección elegido y, por tanto, el nivel de resiliencia que hemos establecido o que queremos establecer.

Los avances tecnológicos ocurren a velocidades increíbles, el problema es que los ciberdelincuentes progresan en la misma proporción. El gran avance en la inteligencia artificial traerá nuevos retos en protección y resiliencia. Conocer cómo se produce un ataque informático es esencial para comprender el propósito y el objetivo de los ciberdelincuentes. Un ciberdelincuente es constante. Si falla al principio, lo intentará de nuevo. Si eso falla, se le ocurrirá una nueva estrategia y lo intentará nuevamente. Por ello debemos de ser igualmente persistentes para establecer las contramedidas necesarias para contrarrestar los ataques. Disponemos de herramientas y protocolos de actuación, pero a su vez debemos de definir esa misma persistencia que tienen los ciberdelincuentes: debemos de ser constantes y establecer los controles necesarios para, en caso de recibir un ataque, seamos capaces de restablecer los sistemas informáticos en el menor tiempo y con el menor impacto posible.

El inicio del conflicto entre Rusia y Ucrania ha marcado un nuevo hito en el uso de las herramientas utilizadas para atacar infraestructuras y administraciones. Si hasta ahora esas herramientas estaban a disposición de un selecto círculo de hackers y comunidades, el llamamiento a la comunidad internacional por parte de la llamada “IT Army of Ukraine”, el ejército de TI de Ucrania, – organización voluntaria de guerra cibernética creada a fines de febrero de 2022 para luchar contra la intrusión digital de la información y el ciberespacio ucranianos después del comienzo de la invasión rusa de Ucrania el 24 de febrero de 2022 (Wikipedia.org)-  para la creación de una brigada internacional de ciberatacantes – o cibercooperantes- que ayudasen en la tarea de atacar el ciberespacio de los invasores,  ha supuesto la exposición de las herramientas utilizadas por los hackers así como la creación de nuevas herramientas específicas para atacar los puntos más estratégicos, incluyendo infraestructuras críticas, administraciones, servicios de telefonía y proveedores de comunicaciones, sanidad…

 La alta disponibilidad de estas herramientas, así como la documentación detallada de su uso, e incluso la automatización de los objetivos a las que van dirigidos los ataques cibernéticos, ha abierto la veda para que sean usadas incluso por aquellos usuarios más inexpertos, multiplicando de manera exponencial los ataques, ya sean autodirigidos contra estamentos de los países en conflicto como incluso utilizados para atacar otros estamentos y países. Aquí podemos incluir cualquier tipo de objetivo válido para los cibercriminales.

El avance tecnológico de la inteligencia artificial en el campo de la Ciberseguridad se puede ver de dos formas diferentes: aquellos supuestos en el que la inteligencia artificial pueda reconocer en tiempo real cualquier tipo de ataque con la mínima intervención humana y, por otro lado, el supuesto en el que la inteligencia artificial podría obtener nuevos mecanismos y vectores de ataque más sofisticados y dirigidos. El problema se presenta cuando esta inteligencia artificial está comandada por personas sin experiencia y libre de cualquier moralidad o lo que es peor, utilizada por personas con mucha experiencia que aprovechan el potencial de la IA para crear nuevas herramientas y vectores de ataque más personalizados y complejos. Debemos prepararnos para contrarrestar este tipo de acciones que podamos recibir en corto y medio plazo.

El uso de la tecnología de deepfake – manipulación de las imágenes – que en estos últimos años se ha desarrollado a una escala no imaginable hace una década, y gracias, en gran medida, a la evolución de la inteligencia artificial, así como el desarrollo tecnológico cada vez más avanzado, ha permitido que estemos cada vez más expuestos a la desinformación masiva y por consiguiente a tener que analizar y evaluar los procedimientos que antaño nos servían como referente. La sociedad, cada vez más conectada e influida por agentes externos, es la que sufre esa desinformación y alteración.  Información cada vez más manipulable y dirigida hacia vectores de la población más propensos a la manipulación, aunque, si bien es cierto, más difícil de discernir entre información veraz o manipulada. Los cibercriminales encuentran en esta desinformación un caldo de cultivo para desplegar sus armas y crear incertidumbre entre la población, lo que provoca que, debido al exceso de información imposible de ser procesada, sean vectores directos de ataques cibernéticos.

Redes sociales, ¿a quién no le preocupa los riesgos a los que están expuestos nuestros hijos? Ciberacoso: palabra que surge del auge de internet y de las redes sociales; suplantación de identidad, ciberbulling, sextorsión, grooming, robo de información, cibersexting, fraping, cibermobbing, ciberviolencia de género, ciberstalking, son los principales delitos de ciberacoso que hoy en día han surgido. Es por ello, que hay que educarles desde la más temprana edad, en materia de privacidad, ciberseguridad y el uso responsable de internet y de las nuevas tecnologías. Muchos de los problemas que hay hoy en día con la privacidad de los datos es fruto de la mala gestión, que, desde todos los estamentos, se ha hecho en relación con el valor de la intimidad y el derecho a tenerla.

Tampoco podemos olvidarnos de un sector de la población que está sufriendo más a causa de las nuevas tecnologías – nuestros mayores. El uso de las nuevas tecnologías por parte de este sector de población y la escasísima formación en las nuevas tecnologías, los hacen ser el punto de mira de los ciberdelincuentes, phising, smising, son los vectores más habituales con los que se pueden encontrar. El correo electrónico cada vez más utilizado para comunicarse, así como las redes sociales, muy vulnerables para los atacantes cibernéticos. Debemos ser conscientes y tenemos el deber moral de hacer la tarea lo más fácil posible para ellos sin imponer limitaciones u obligaciones impuestas por determinados sectores.

En definitiva, nos tenemos que preguntar hasta qué punto nos vamos a implicar:

Como empresa, tenemos que evaluar en qué medida nuestros activos están en peligro y cómo vamos a protegerlos. Tenemos que contar con directrices claras y establecer protocolos y directrices para la acción en caso de que tengamos que recuperarlas. Hay herramientas, protocolos y directrices, ahora somos nosotros quienes debemos ponerlas en práctica.

Como ciudadanos tenemos que ser conscientes de la alta información a la que estamos sujetos, pero tenemos que evaluar y discernir qué tipo de información queremos recibir. Recopilar la misma información de varias fuentes nos permitirá evaluar el grado de imparcialidad y veracidad. Un posible desafío -pero casi imposible- debido a la gran cantidad de información subyacente que bombardea nuestras vidas diariamente.

José Miguel Molina.

Mar 24

Artículo: Consejos -muy básicos- para mantener tus datos a salvo.

Consejos muy básicos para mantener tus datos protegidos y a salvo. Minimiza los riesgos al máximo y protégete de forma proactiva.

  1. Mantén actualizado tus sistemas operativos. Un sistema operativo desfasado o no legal te puede acarrear muchos problemas. Algunos SO han finalizado su soporte, por lo que no existen actualizaciones que se puedan realizar. Muchas veces son actualizaciones de seguridad que se realizan sobre vulnerabilidades encontradas, al no realizarse, se pone en riesgo todos tus datos. No se lo pongas fácil a los ciberdelincuentes. Lo mismo ocurre con las mejoras o nuevas versiones, al no poderlas actualizar, muchos de los complementos añadidos, no estarán disponibles, con los consiguientes problemas que pueden surgir sobre compatibilidades con nuevas aplicaciones.
  2. Instala un antivirus confiable y actualizado. Ten en cuenta que casi a diario las empresas que ofrecen estos programas los mantienen actualizados a diario.
  3. Si tienes una WIFI accesible a tus clientes, procura que no esté “conectada” a tu red local y desactívala cuando cierres la oficina.
  4. Si usas un gestor de correo electrónico, procura mantener al día tu “lista negra de direcciones” así como revisar la carpeta de “spam”.
  5. Informa a tus empleados que deben reportar cualquier irregularidad que detecten e informales de las nuevas amenazas y campañas de phishing que hay actualmente.
  6. Realiza controles de los sistemas informáticos verificando que se están ejecutando las actualizaciones e informa de cualquier problema que detectes a tu empresa de mantenimiento informático.
  7. Realiza copias de seguridad diarias. Como mínimo se deberían de realizar 2 copias de seguridad, una en local y otra alojada en la nube. Si no tienes contratado un alojamiento en la nube, considéralo como una muy buena opción. En caso de que no puedas recuperar una copia en local, siempre podrás tener acceso a la que tengas alojada en la nube. No hagas una copia de tus datos en un dispositivo de almacenamiento USB y te la lleves a casa….. no es una buena opción…… Mantén siempre las copias de seguridad almacenadas en un lugar seguro y protegidas por contraseña.

Hay en el mercado muchas aplicaciones de copia de seguridad que te permiten tanto realizarlas en local como en la nube. No escatimes, son tus datos y los de tus clientes.

  1. Intenta ser PROACTIVO en ciberseguridad. Es decir, implanta estrategias, comunícate con tus empleados, en definitiva ANTICIPATE a las posibles amenazas, minimizaras los riesgos y mantendrás a salvo tus datos.

José Miguel Molina

Mar 06

Artículo: Qué es y cómo protegerse de un ataque de sniffing

El sniffing se puede llevar a cabo en redes cableadas e inalámbricas y puede ser difícil de detectar.

Un ataque de sniffing, también conocido como «intercepción de paquetes», es una técnica de ciberataque que consiste en interceptar y recopilar información que se transmite a través de una red, como contraseñas, números de tarjeta de crédito y otra información confidencial.

Los atacantes utilizan herramientas de sniffing para monitorear el tráfico de la red y capturar los paquetes de datos que se transmiten entre dispositivos en la red. Estos paquetes pueden contener información sensible que el atacante puede utilizar para acceder a sistemas o robar información.

El sniffing se puede llevar a cabo en redes cableadas e inalámbricas, y puede ser difícil de detectar porque no siempre deja rastros obvios en los sistemas afectados.

Existen varios ataques de sniffing famosos que han ocurrido en la historia de la ciberseguridad. Aquí hay algunos ejemplos:

    Ataque a la red de TJX Companies: En 2007, los hackers lograron acceder a los sistemas de la cadena minorista TJX Companies y robaron información de más de 90 millones de tarjetas de crédito. Los atacantes utilizaron una técnica de sniffing para interceptar el tráfico de red y capturar los datos de las tarjetas de crédito.

    Ataque al proveedor de servicios de correo electrónico de Yahoo: En 2014, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red en los centros de datos de Yahoo y robar información de más de 500 millones de cuentas de correo electrónico.

    Ataque a la red de Target: En 2013, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red de Target y robar información de más de 40 millones de tarjetas de crédito y débito.

    Ataque a la red de Sony Pictures: En 2014, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red de Sony Pictures y robar información confidencial, incluyendo correos electrónicos, guiones de películas y datos financieros.

    Ataque al sitio web de Ashley Madison: En 2015, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red del sitio web de citas Ashley Madison y robar información de más de 30 millones de usuarios.

Diez medidas para protegerse de un ataque de sniffing

  1. Usa una conexión segura: Siempre que sea posible, usa una conexión segura como una red privada virtual (VPN) o una red cifrada.
  2. Actualiza tu software: Mantén actualizado el software de tu sistema operativo y de seguridad para protegerte de vulnerabilidades conocidas.
  3. Evita las redes WiFi públicas: Evita conectarte a redes WiFi públicas no seguras. Si debes usar una red WiFi pública, utiliza una VPN.
  4. Usa el cifrado: Usa el cifrado siempre que sea posible, por ejemplo, para enviar correos electrónicos o mensajes de texto.
  5. Usa contraseñas seguras: Utiliza contraseñas seguras y cámbialas con frecuencia.
  6. Usa la autenticación de dos factores: Usa la autenticación de dos factores siempre que sea posible para agregar una capa adicional de seguridad.
  7. Usa software de seguridad: Usa software de seguridad confiable, como un antivirus o un cortafuegos, para proteger tu dispositivo de posibles amenazas.
  8. Desactiva el WiFi y Bluetooth cuando no los estés usando: Desactiva el WiFi y Bluetooth en tu dispositivo cuando no los estés usando para evitar que alguien acceda a ellos.
  9. No reveles información confidencial: No reveles información confidencial en línea, como tu número de tarjeta de crédito o tu número de seguridad social.
  10. Usa una tarjeta de crédito virtual: Usa una tarjeta de crédito virtual en lugar de tu tarjeta de crédito real al hacer compras en línea para reducir el riesgo de fraude.

La entrada Qué es y cómo protegerse de un ataque de sniffing se publicó primero en CyberSecurity News.

Feb 23

Artículo: Crear hábitos cibersaludables en las empresas es clave para reducir la brecha de seguridad.

Si bien el conjunto de soluciones de protección que tanto usuarios particulares como las empresas vienen utilizando desde hace años para estar protegidos frente a posibles ciberamenazas, esto ya no es suficiente para dejar de convertirse en un blanco perfecto para los atacantes. Y es que, como este tipo de soluciones demandan de interacción humana en algún momento del proceso de protección, el factor humano tiene influencia directa en el conjunto de la ciberseguridad de una empresa.

Inversión en la concienciación y la capacitación del factor humano

De hecho, una de las mayores brechas de la seguridad informática también en las empresas es la acción humana. Por todo ello, los expertos de la tecnológica española NUUBB, especializada en servicios cloud y ciberseguridad para empresas, insisten en que los empleados no solo han de contar con herramientas y una formación ante ciberataques o puramente defensiva frente a las amenazas digitales. Se les ha de facilitar hábitos ‘cibersaludables’ que les ayuden a actuar en un entorno de riesgo cibernético constante, evitando así caer en engaños que puedan comprometer a la organización entera.

Por todo ello, para que una estrategia de ciberseguridad sea fuerte y resulte eficaz, se debe implicar a todos los departamentos de la organización. Cada miembro o empleado del equipo representa una brecha de seguridad si no posee los conocimientos de actuación necesarios. “Una plantilla sin formación en ciberseguridad y que no esté concienciada acerca de los peligros que puede acarrear su actuación hace que todas las soluciones de protección pierdan su efectividad. Esto repercute en un elevado coste puesto que se está pagando un precio por unos productos de protección que, debido a que otros aspectos de la estrategia no cumplen con los requisitos, no tienen la efectividad esperada. Añadido a esto, se corre el riesgo de sufrir incluso más pérdidas causadas directamente por los ciberataques. Por eso es necesario formar y sobre todo concienciar a los empleados para que formen parte activa en la estrategia de protección”, añade Marc Palfrey, Marketing & Comercial B2B de NUUBB.

De hecho, según datos recientes de Verizon, el 85% de las infracciones de ciberseguridad es provocado por errores humanos, pudiendo llegar a provocar pérdidas millonarias ante la vulnerabilidad de los datos críticos de la empresa. Para el año 2025 se estima que a nivel mundial estas pérdidas pueden alcanzar los 10 billones de dólares.

Asimismo, el 98% de los ciberataques a los que hacen frente las empresas vienen dados por técnicas de ingeniería social. Se establece que 1 de cada 5 brechas de seguridad son originadas por un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente. Por lo que, la mejor defensa contra los ciberdelincuentes es la inversión en el factor humano de la ciberseguridad, potenciar su concienciación y capacitación es un elemento clave de las empresas.

Métodos de evaluación y nivel de ciberseguridad en las empresas

Existen métodos de evaluación para comprobar en qué nivel de ciberseguridad se encuentra la empresa a nivel humano, como el Sophos Phish Threat, según explican desde NuuBB.  Este tipo de medidas de evaluación ponen a prueba a los empleados de la empresa emitiendo mensajes con suplantación de identidad, u ofertas engañosas atractivas, entre otras.Son simulaciones de ataques phishing que se hacen a los empleados de la empresa sin previo aviso para hacerlo efectivo, y que como resultado ofrece un informe completo con los datos obtenidos de concienciación y actuación de las personas de la organización.

Artículo publicado en: https://cybersecuritynews.es/crear-habitos-cibersaludables-en-las-empresas-es-clave-para-reducir-la-brecha-de-seguridad/

Feb 11

Artículo: CISA releases recovery script for ESXiArgs ransomware victims.

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has released a script to recover VMware ESXi servers encrypted by the recent widespread ESXiArgs ransomware attacks.

Starting last Friday, exposed VMware ESXi servers were targeted in a widespread ESXiArgs ransomware attack.

Since then, the attacks encrypted 2,800 servers according to a list of bitcoin addresses collected by CISA technical advisor Jack Cable.

While many devices were encrypted, the campaign was largely unsuccessful as the threat actors failed to encrypt flat files, where the data for virtual disks are stored.

This mistake allowed Enes Sonmez & Ahmet Aykac of the YoreGroup Tech Team to devise a method to rebuild virtual machines from unencrypted flat files.

This method has helped numerous people recover their servers, but the process has been complicated for some, with many people asking for help in our ESXiArgs support topic.

Script released to automate recovery

To assist users in recovering their servers, CISA released an ESXiArgs-Recover script on GitHub to automate the recovery process.

“CISA is aware that some organizations have reported success in recovering files without paying ransoms. CISA compiled this tool based on publicly available resources, including a tutorial by Enes Sonmez and Ahmet Aykac,” explains CISA.

“This tool works by reconstructing virtual machine metadata from virtual disks that were not encrypted by the malware.”

While the GitHub project page has the steps you need to recover VMs, in summary, the script will clean up a virtual machine’s encrypted files and then attempt to rebuild the virtual machine’s .vmdk file using the unencrypted flat file.

When finished, if successful, you can then register the virtual machine again in VMware ESXi to gain access to the VM again.

CISA urges admins to review the script before using it to understand how it works and avoid possible complications. While the script should not cause any issues, BleepingComputer strongly advises that backups are created before attempting recovery.

“While CISA works to ensure that scripts like this one are safe and effective, this script is delivered without warranty, either implicit or explicit.” warns CISA.

“Do not use this script without understanding how it may affect your system. CISA does not assume liability for damage caused by this script.”

The Week in Ransomware – February 3rd 2023 – Ending with a mess

Feb 07

Artículo: Campañas de PHISING que intentan obtener las credenciales. Recomendaciones

Debido al  aumento de este tipo de ataques, os queremos realizar las siguientes recomendaciones:

En caso de recibir un mensaje de este tipo hay que eliminarlo directamente y comunicarlos a los demás empleados del intento de fraude y que, en caso de recibirlo, procedan a eliminarlo inmediatamente.

En el supuesto de haber facilitado las credenciales de acceso, es recomendable modificarlas lo antes posible, y siempre que se pueda habilitar un doble factor de autenticación. También se deben modificar estas credenciales en cualquier otro servicio en el que se utilicen las mismas.

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda: (Fuente: INCIBE)

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarte de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

NUESTRAS RECOMENDACIONES ADICIONALES PARA EVITAR FUTUROS ATAQUES CIBERNÉTICOS O MINIMIZARLOS:

  1. Educación y concientización del personal: Asegurar que todos los empleados comprendan los riesgos y conozcan las mejores prácticas de ciberseguridad. Sería recomendable realizar auditorias internas para comprobar la concienciación de los empleados y la capacidad de respuesta.
  2. Actualización de software y hardware: Mantener todo el software y hardware actualizado con los últimos parches y actualizaciones de seguridad. Evitar SIEMPRE software no legítimo.
  3. Implementación de contraseñas fuertes y autenticación de dos factores: Implementando políticas de contraseñas fuertes y usando autenticación de dos factores para todas las cuentas.
  4. Copias de seguridad regulares: copia de seguridad periódica de los datos importantes en una ubicación segura en LOCAL y otra en la NUBE en caso de un ataque de Ransomware. En caso de tener aplicaciones que se ejecutan en local pero los datos se guardan en la NUBE del proveedor del aplicativo, asegurarse que se puede realizar con asiduidad, COPIAS EN LOCAL para posteriormente trasladarlas a equipos de almacenamiento externos independientes, evitando, que en caso de que se produzca un ataque al sistema de almacenamiento del proveedor, nosotros tengamos una copia de seguridad de los datos lo más reciente posible.
  5. Uso de software antivirus y firewall: Instalación y mantenimiento de software antivirus y un firewall para proteger contra software malicioso e intentos de piratería.
  6. Limitación del acceso a los sistemas y datos sensibles: Limitación del acceso a sistemas y datos sensibles solo a aquellos que lo necesitan.
  7. No hacer clics en enlaces o descargarse programas de páginas no confiables.

Como prevención adicional:

Contratar un equipo de Ciberseguridad o un servicio de consultoría: Contratar un equipo de expertos en ciberseguridad o un servicio de consultoría para ayudarlo a comprender los riesgos y desarrollar un plan integral de seguridad.

Contratar un seguro para Riesgos Cibernéticos. Podéis ver en este artículo qué amenazas cubre y qué tipo de riesgos debes analizar antes de contratar uno.

Jun 23

Artículo: ¡Contraseñas seguras¡

Artículo publicado en https://www.osi.es/es/campanas/contrasenas-seguras

Interesantes artículos con recomendaciones sobre el uso y generación de contraseñas seguras.

Imagen banner
Imagen articulo del blog

Artículo del blog

¿Sabías que el 90% de las contraseñas son vulnerables?

Imagen Video Cuánto tardarían

Vídeo

¿Cuánto tardarían en averiguar mis contraseñas?

Imagen articulo de la historia real

Historia real

Una contraseña fácil, ¿pero cuántas cuentas comprometidas?

Imagen infografía Ataques a las contraseñas

Infografía

Ataques a las contraseñas

Imagen articulo del blog

Artículo del blog

Típicos errores que cometemos al usar nuestras contraseñas, y cómo corregirlos

Imagen recurso pedagógico

Recurso pedagógico

Mejora tus contraseñas

Imagen artículo blog

Artículo del blog

El factor de autenticación doble y múltiple

Imagen recurso pedagógico

Recurso Pedagógico

El camino seguro

Imagen recurso pedagógico Crea tu contraseña segura

Infografía

Crea tu contraseña segura paso a paso

Imagen Gestores de contraseñas: ¿cómo funcionan?

Artículo de blog

Gestores de contraseñas: ¿cómo funcionan?

Feb 11

Artículo: Un informe de Microsoft revela que los ciberataques más exitosos se aprovechan de vulnerabilidades “básicas” que pueden salvarse con factores de doble autenticación

Artículo publicado en: https://www.businessinsider.es

Las tácticas de la mayoría de los ciberataques no son tan sofisticadas como se puede pensar, defiende Microsoft en un un nuevo informe.

De hecho, la mayoría de esos ataques podrían ser bloqueados con el factor de doble autenticación activado, que solo el 22% de los usuarios de Azure tienen.

Con unas defensas tan exiguas, los negocios siguen enfrentándose a amenazas continuadas, explica un alto cargo de la multinacional a Business Insider.

El daño provocado por los ataques de ransomware sigue creciendo, pero eso no quiere decir que sus técnicas sean necesariamente más sofisticadas. Así lo explica un nuevo informe estadístico de Microsoft.

En el primer informe de Cyber Signals que Microsoft publica, se desgranan ciertas tendencias a partir de los datos de 1.200 millones de usuarios que forman parte del directorio activo de Azure. La tecnológica ha descubierto que robar o adivinar contraseñas sigue siendo una de las técnicas más comunes con las que los ciberdelincuentes logran hackear a los usuarios.

Eso quiere decir que la mayoría de los ciberataques podrían evitarse activando el factor de doble autenticación a la hora de iniciar sesión: este sistema exige a los usuarios verificar su identidad cuando acceden al servicio con un dispositivo distinto al que están usando para entrar en su cuenta. Solo el 22% de los usuarios de Azure tienen activado este mecanismo, lamenta la compañía.

Es la primera vez que Microsoft publica estadísticas sobre cuántos de sus usuarios confían en el factor de múltiple autenticación en sus servicios.

Los ciberdelincuentes especializados en ransomware se limitan a aprovechar “una oportunidad” y después “correr”, explica a Business Insider el responsable de Inteligencia de Amenazas por Ransomware de Microsoft, Cristopher Glyer. Es raro que un ciberatacante haga todo lo que esté en su mano para romper la seguridad de las cuentas.

Por eso solo las cuentas con las configuraciones de seguridad más débiles son las que a la postre se convierten en los objetivos preferidos de estos criminales.

Incluso colectivos de criminales informáticos patrocinados por países extranjeros se aprovechan de estas prácticas de hacking tan rudimentarias para comprometer la seguridad de sus objetivos, asegura el vicepresidente de Microsoft Security, Vasu Jakkal, a este medio.

La unidad de Inteligencia de Amenazas de Microsoft documenta en su informe que incluso grupos ligados a Rusia e Irán están usando técnicas como el password sprays (probar una misma contraseña de uso común en varias cuentas de usuario) para tratar de acceder a las mismas. 

El año pasado, el gran ataque que sufrió SolarWind, y por el que se llegó a acusar al Gobierno ruso, en realidad había comenzado porque se comprometió una contraseña que no era segura.

“Cuando piensas en ciberatacantes de estados extranjeros piensas que usarán técnicas muy sofisticadas”, dice Jakkal. “Y en realidad no lo necesitan porque les basta con robar contraseñas para contar con un acceso inicial a los sistemas de sus víctimas”.

Esto quiere decir que los ciberdelincuentes no siempre tienen que invertir mucho dinero y tiempo para asaltar a la mayoría de sus víctimas. Los agentes maliciosos pueden comprar contraseñas robadas que se han filtrado en brechas de seguridad. 150 dólares puede suponer un paquete de 400 millones de contraseñas, según Microsoft. Así, hackear a alguien puede ser tan sencillo como iniciar sesión.

“Las barreras de entradas han descendido, lo que implica que a medida que nos adentramos en la siguiente ola de digitalización y en el mundo de los metaversos y todo eso (elige la palabra que prefieras), veremos las mismas amenazas de siempre”, resume Jakkal.

Entradas más antiguas «