Diccionario básico para no perderte con los términos de ciberseguridad (II)

La Ciberseguridad es el conjunto de servicios, mecanismos y políticas que aseguran que el modo de operación de un sistema informático sea seguro, tanto el que se especificó en su fase de diseño, como el que se configuró en tiempo de administración o de uso.


La ciberseguridad es un enfoque integral que abarca todos los aspectos de la seguridad informática y se ocupa de proteger la integridad, confidencialidad y disponibilidad de la información y los sistemas.

A continuación, vamos a definir algunos de los términos relacionados con la seguridad informática o seguridad de tecnologías de la información, acompañados de algunos vídeos explicativos de Intypedia (Enciclopedia de la Seguridad de la Información).

Autenticación

La autenticación es el proceso mediante el cual se verifica la identidad de un usuario, dispositivo o sistema antes de permitirle acceder a recursos confidenciales. Esto se logra mediante la presentación de credenciales, como un nombre de usuario y una contraseña, que son verificadas contra una base de datos de identidades confiables.

La autenticación es un componente crítico de la seguridad de la información, ya que asegura que solo los usuarios autorizados tengan acceso a los recursos protegidos.

Hay diferentes métodos de autenticación, como la autenticación de contraseñas, la autenticación de dos factores y la autenticación biométrica.

Backdoor

Es una puerta trasera oculta en un sistema o software que permite el acceso no autorizado a los datos o funciones del mismo.

Suelen ser introducidos intencionadamente por un atacante externo a través de la explotación de una vulnerabilidad o mediante la instalación de software malicioso y puede ser utilizado para evadir la seguridad de un sistema, robar información confidencial, controlar un dispositivo de forma remota o para fines maliciosos.

Criptografía

Es el estudio y la práctica de la protección de la información mediante el uso de técnicas matemáticas.
La criptografía se utiliza para convertir información legible en un código cifrado que solo puede ser descifrado con la clave adecuada. Existen dos tipos principales de criptografía: la de cifrado simétrico y la de cifrado asimétrico.

En el cifrado simétrico, la misma clave se utiliza para cifrar y descifrar la información. Es rápido y eficiente, pero requiere que ambas partes compartan la clave secreta previamente.

En el cifrado asimétrico, se utilizan dos claves diferentes: una clave pública para cifrar la información y una clave privada para descifrarla. La clave pública puede ser compartida sin riesgos, pero la clave privada debe ser protegida con seguridad. Este método es más seguro que el cifrado simétrico, pero también es más lento y requiere más recursos.

DoS
(Denegación de Servicio)

Ataque informático que tiene como objetivo hacer que un sistema o servidor sea inaccesible para los usuarios legítimos.

Exploit

Es un código o técnica que aprovecha una vulnerabilidad en un sistema o aplicación para lograr un resultado no deseado.

Los exploits pueden ser utilizados para llevar a cabo diversos tipos de ataques, como la ejecución de código malicioso, la obtención de información confidencial o la toma de control de un sistema.

Firewall

Es un dispositivo o software de seguridad que controla el acceso entrante y saliente a una red o sistema informático.

Los firewalls funcionan filtrando el tráfico de red que entra y sale de un sistema, restringiendo o bloqueando el acceso a ciertos puertos y aplicaciones en función de una serie de reglas predefinidas o políticas de seguridad.

GPO
(Group Policy Object)

Group Policy Object o Directivas de Grupo son un conjunto de reglas y configuraciones que se aplican a un grupo de objetos de Active Directory en un sistema Windows, permitiendo a los administradores centralizar y automatizar la configuración de seguridad y la gestión de dispositivos en una red. Los objetos de Active Directory incluyen usuarios, grupos de usuarios y equipos.

Hacker

El término en inglés Hack se traduce al castellano como "piratear" y de ahí pirata informático. Aunque su significado suscita controversia, se puede definir a un hacker como alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas.

Desde hace tiempo los hackers han sido investigadores que han ayudado al progreso de la sociedad tecnológica de nuestro tiempo. El utilizar la definición como "pirata informático" para la palabra hacker es una criminalización del término y una degradación a ciberdelincuente de un grupo de personas que gracias a su pasión por buscar los límites de las tecnologías han mejorado nuestro tiempo.

Según la RAE: "Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora".

IAM
(Identity and Access Management)

IAM significa "Gestión de Identidades y Acceso" en español y se trata de un conjunto de prácticas y tecnologías utilizadas para gestionar cómo los usuarios y sistemas acceden a los recursos de una organización.

El objetivo principal de IAM es proporcionar un control seguro y eficiente sobre quién puede acceder a qué recursos, y con qué nivel de privilegios. Esto puede incluir acceso a aplicaciones, bases de datos, servidores, redes y otros recursos informáticos.

JWT
(JSON Web Token)

JWT es un estándar abierto para transmitir información segura entre partes a través de una red y se utiliza comúnmente para la autenticación y la autorización en aplicaciones web y móviles.

Un JWT consiste en tres partes: un encabezado, un cuerpo y una firma. La parte del encabezado incluye información sobre el tipo de token y el algoritmo utilizado para firmar el token. La parte del cuerpo incluye los datos que se quieren transmitir, como el nombre de usuario, los permisos y la fecha de expiración del token. La firma es un hash cifrado que garantiza la integridad de los datos transmitidos y la autenticidad de la fuente.

Los JWT son fáciles de transmitir y utilizar, ya que se pueden transmitir como un simple parámetro en una URL o en un encabezado HTTP. Además, como son compactos y están firmados, no requieren almacenamiento en el lado del servidor.

Keylogger

Un keylogger es un tipo de software o hardware que registra todas las pulsaciones de teclado. Estos programas se utilizan comúnmente para monitorear y grabar actividades en un equipo, con el objetivo de recopilar información confidencial o interceptar contraseñas y otra información confidencial.

LAN
(Local Area Network)

Red de computadoras que se encuentran en un área geográfica limitada, como una oficina, una escuela o un hogar. La finalidad principal de una LAN es compartir recursos y permitir la comunicación entre computadoras en una misma área.

Una LAN generalmente se conecta a través de dispositivos de red, como switches y routers, y utiliza protocolos de comunicación como TCP/IP para permitir la transferencia de datos y la comunicación entre dispositivos. Algunos de los recursos que se pueden compartir en una LAN incluyen internet, impresoras, discos duros, y otros dispositivos de almacenamiento.

Las LANs también ofrecen una mayor seguridad y control que las redes más grandes, como WAN (Wide Area Network) e Internet, ya que los usuarios y dispositivos están limitados geográficamente. Además, las LANs permiten una gestión más eficiente de los recursos y una mayor velocidad en la transferencia de datos, puesto que la distancia física entre los dispositivos es mucho más corta.

Malware

Malware es un término que significa "software malicioso". Se refiere a cualquier tipo de software diseñado con la intención de dañar o infiltrarse en un sistema informático sin el conocimiento o consentimiento del usuario.

Hay diferentes tipos de malware, incluyendo virus, gusanos, troyanos, spyware, adware, ransomwares, entre otros. Cada tipo de malware tiene un propósito diferente, pero en general, todos buscan dañar el sistema, robar información confidencial o interrumpir el funcionamiento normal de la computadora.

NIST
(National Institute of Standards and Technology)

Se trata de una agencia gubernamental estadounidense, ubicada en Gaithersburg, Maryland, y es parte del Departamento de Comercio de los Estados Unidos. NIST es responsable de desarrollar y promover estándares, metodologías, herramientas y tecnologías para mejorar la eficiencia, la seguridad y la competitividad de la industria y la economía estadounidense.

NIST se enfoca en áreas clave como la tecnología de la información, la fabricación, la biotecnología, la construcción, la energía y los materiales. La agencia brinda apoyo técnico a otras agencias gubernamentales, empresas y organizaciones sin fines de lucro para ayudarlas a adoptar nuevas tecnologías y estándares.

En materia de seguridad de la información, NIST es ampliamente reconocido por sus pautas, recomendaciones y directrices para mejorar la seguridad de las tecnologías de la información. Por ejemplo, NIST ha desarrollado un conjunto completo de normas y directrices para el cifrado de datos, la gestión de identidades y accesos (IAM, por sus siglas en inglés) y la gestión de incidentes de seguridad. Estos estándares son ampliamente utilizados en todo el sector privado y gubernamental de los Estados Unidos y en muchos otros países.

OSINT
(Open Source Intelligence)

OSINT es el acrónimo de Open-Source Intelligence o Inteligencia de Fuentes Abiertas y pone el foco en la recopilación y análisis de información que está disponible públicamente en línea. La información puede incluir datos, documentos, fotografías, videos y otros tipos de contenido que se encuentran en fuentes abiertas y accesibles al público en general.

OSINT es ampliamente utilizado en diversos ámbitos, como la investigación de mercado, la inteligencia militar y de seguridad, la investigación de fraudes y la investigación de delitos.

Pentesting

Pentesting, cuya traducción es "Pruebas de penetración" en español, es un proceso de evaluación de seguridad informática en el que un equipo de expertos en seguridad simula un ataque real para identificar las vulnerabilidades y debilidades de un sistema o red.

El objetivo del pentesting es evaluar la eficacia de las medidas de seguridad implementadas y proporcionar recomendaciones para mejorar la seguridad. Para ello, se utiliza una combinación de técnicas manuales y herramientas automatizadas para buscar vulnerabilidades en sistemas, aplicaciones, redes y otras infraestructuras de tecnología de la información.

El pentesting se realiza en un ambiente controlado, con la autorización del propiertario del sistema o red, y no tiene como objetivo dañar ni afectar el funcionamiento de los sistemas o redes evaluados. Al contrario, el objetivo es mejorar la seguridad y preparar a los sistemas para posibles ataques reales en el futuro.

QRNG
(Quantum Random Number Generator)

QRNG se traduce en nuestro idioma como Generador de Números Aleatorios Cuánticos. La criptografía moderna se basa en la capacidad de generar números aleatorios de forma confiable y segura. Estos números se utilizan en muchas aplicaciones, como la generación de claves de cifrado, el monedero electrónico, la autenticación y la firma digital, entre otros.

La generación de números aleatorios cuánticos es una técnica que utiliza el comportamiento cuántico de los sistemas físicos para producir números aleatorios.

La naturaleza cuántica de estos sistemas permite que su comportamiento sea impredecible y no sea posible manipularlo, lo que garantiza una mayor seguridad en la generación de números aleatorios.

El QRNG utiliza el fenómeno cuántico de la interferencia, como la luz polarizada, para generar una secuencia de bits aleatorios que son extremadamente difíciles de predecir. La salida de un QRNG es una secuencia de bits que se considera completamente aleatorios y seguros para su uso en aplicaciones de seguridad.

RCE
(Remote Code Execution)

RCE se traduce como "Ejecución de código remoto" en español. Es una vulnerabilidad en seguridad informática que permite a un atacante ejecutar cualquier código en un sistema o aplicación remota sin necesidad de autenticación.

Una vez explotada una vulnerabilidad RCE, el atacante puede obtener acceso a los datos y funcionalidades del sistema o aplicación, incluyendo la ejecución de comandos en el sistema operativo, la instalación de software malicioso, la recopilación de información confidencial, entre otras acciones.

Estas vulnerabilidades son particularmente peligrosas porque permiten a los atacantes ejecutar código remoto sin necesidad de autenticación y sin tener acceso físico al sistema afectado.

SSL
(Secure Socket Layer)

SSL es el acrónimo de "Secure Sockets Layer", que actualmente se conoce como TLS (Transport Layer Security). Es un protocolo de seguridad que permite la transmisión segura de datos a través de Internet.

SSL/TLS funciona añadiendo una capa adicional de seguridad a la comunicación entre un cliente (por ejemplo, un navegador web) y un servidor (por ejemplo, un sitio web). Los datos que se transmiten entre el cliente y el servidor son cifrados para evitar que sean interceptados o manipulados por terceros.

La implementación de SSL/TLS se realiza a través de un certificado digital emitido por una entidad de certificación (CA, por sus siglas en inglés). Este certificado permite asegurar la identidad del servidor y verificar que la comunicación está siendo llevada a cabo con el servidor correcto.

Threat Modeling

Threat modeling o "Modelado de Amenazas" es un proceso estructurado de identificación, análisis y priorización de los posibles riesgos y amenazas a un sistema, aplicación o infraestructura.

El proceso de Threat modeling comienza con la definición y modelado del sistema o aplicación en cuestión, incluyendo la identificación de sus componentes y su interacción. Luego, se identifican posibles amenazas y vulnerabilidades, y se evalúa el impacto de estas amenazas en el sistema.

Finalmente, se definen estrategias para mitigar estos riesgos, por ejemplo, a través de la implementación de medidas de seguridad, la monitorización continua y la formación de los usuarios.

Threat modeling es una herramienta valiosa para asegurar la seguridad de los sistemas y aplicaciones, especialmente en un entorno en constante cambio y evolución, donde nuevas amenazas y vulnerabilidades surgen continuamente. Al implementar threat modeling, las organizaciones pueden adoptar un enfoque proactivo de la seguridad, en lugar de un enfoque reactivo, y garantizar la seguridad de sus sistemas y datos sensibles.

URL Filtering


URL filtering es una técnica de seguridad en línea que implica la evaluación y control de acceso a sitios web y URLs. Se utiliza para bloquear el acceso a sitios web considerados peligrosos o no deseados, como aquellos que contienen malware, phishing o contenido inapropiado.

URL filtering se realiza a través de una combinación de software y hardware, como firewalls, proxy web y software de seguridad en el endpoint. A menudo, se integra con otras tecnologías de seguridad, como la detección de intrusiones y la prevención de ejecución de malware, para proporcionar una protección integral contra los ataques en línea.

VPN
(Virtual Private Network)

VPN significa "Red privada virtual" y es una tecnología que permite crear una conexión segura y privada a través de Internet para acceder a redes y recursos corporativos o para navegar en Internet de manera segura y privada.

La conexión VPN se establece mediante un protocolo de comunicación cifrado, lo que significa que los datos transmitidos a través de ella están protegidos contra el acceso no autorizado y la interceptación.

Web Application
Testing

Web Application Testing es un proceso de prueba y evaluación de aplicaciones web para determinar su seguridad, funcionalidad y calidad.

Este proceso se lleva a cabo para asegurarse de que la aplicación funcione correctamente y esté protegida contra posibles errores y problemas de seguridad.

Hay varios tipos de pruebas de aplicaciones web, incluyendo pruebas de funcionalidad, pruebas de seguridad, pruebas de rendimiento y pruebas de usuario.

XOR
(Exclusive Or)

XOR es un operador lógico utilizado en criptografía y seguridad de la información. La operación XOR toma dos valores binarios (1 y 0) y devuelve 1 si solo uno de los valores es 1, y 0 si ambos son 0 o ambos son 1.

YARA
(Yet Another Reasoner for Alerts)

YARA es un lenguaje de reglas que permite escribir patrones específicos para buscar y clasificar archivos y objetos en un sistema.

Se utiliza principalmente en la ciberseguridad para detectar malware y otros tipos de amenazas.

Con YARA, los analistas de seguridad pueden escribir reglas que describan las características de un malware o una amenaza conocida y luego utilizar estas reglas para escanear archivos y objetos en busca de patrones coincidentes. Esto les permite identificar y clasificar rápidamente los posibles incidentes de seguridad para tomar medidas de protección más eficaces.

Zero-Trust
(Architecture)

La arquitectura de confianza cero (Zero-Trust Architecture) es un enfoque de seguridad de la información que supone que todas las entidades en una red, tanto internas como externas, son potencialmente peligrosas y deben ser verificadas y autenticadas antes de permitirles acceder a los recursos. En otras palabras, no se confía en ningún usuario o dispositivo sin antes verificarlos.

Esta arquitectura se aplica en una red para garantizar que los usuarios, dispositivos y aplicaciones cumplan con unos estándares mínimos de seguridad antes de ser permitidos el acceso a los recursos de la red. Esto incluye la autenticación fuerte, la encriptación de datos, la verificación de la integridad de los dispositivos, la supervisión de la actividad de la red, la política de acceso basada en roles, entre otros.

Tal vez te interese conocer algunos de estos temas:

• Diccionario básico para no perderte con los términos de ciberseguridad (I)
  
  
• El CISO y la ciberseguridad
  
  
• Los mejores podcast de ciberseguridad
  
  
• La importancia de los programas Bug Bounty
  
  

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Qué es ChatGPT y cómo puede ayudarnos

ChatGPT es un modelo de lenguaje de gran escala desarrollado por OpenAI. Se trata de una tecnología de inteligencia artificial que utiliza aprendizaje profundo para responder a preguntas y realizar tareas complejas en lenguaje natural. El modelo se entrena en grandes cantidades de texto y datos para adquirir conocimiento y habilidades en una amplia variedad de áreas, desde ciencias hasta historia y entretenimiento. Al interactuar con usuarios, ChatGPT utiliza su conocimiento y habilidades para responder de forma precisa y relevante a las preguntas y solicitudes de los usuarios.

Ventajas de ChatGPT

ChatGPT es altamente escalable y puede ser integrado en una variedad de aplicaciones, como chatbots, asistentes virtuales y sistemas de respuesta automatizados. Esto lo hace ideal para empresas y organizaciones que buscan automatizar tareas repetitivas y mejorar la eficiencia de su servicio al cliente.

Además, ChatGPT es muy personalizable y se puede entrenar en una amplia variedad de tareas específicas, como la generación de respuestas para encuestas, la traducción de idiomas y la generación de contenido. Esto lo hace ideal para empresas que buscan aprovechar la tecnología de inteligencia artificial para mejorar su productividad y eficiencia.

Otra ventaja importante de ChatGPT es su capacidad para interactuar con los usuarios en una amplia variedad de formatos, incluyendo texto, voz y mensajes en línea. Esto significa que los usuarios pueden interactuar con ChatGPT de la manera que les sea más cómoda y conveniente, lo que a su vez mejora la experiencia de los usuarios.

Imagen de rawpixel.com en Freepik

Algunos ejemplos

💻 Programación informática

✓ Generar código

Se le puede pedir que genere un fragmento de código en un lenguaje específico, siguiendo una descripción o un ejemplo.

✓ Proporcionar soluciones a problemas

Se le puede preguntar sobre errores o problemas en el código y proporcionará soluciones o sugerencias.

✓ Responder preguntas técnicas

Se le pueden hacer preguntas sobre conceptos, librerías, tecnologías, etc. y proporcionará información precisa y detallada.

✓ Completar fragmentos de código

Se le puede pedir que complete un fragmento de código con las funciones o código adicional necesario.

✓ Documentación y recursos

Se le puede preguntar sobre recursos y documentación para aprender un lenguaje o tecnología específica, y proporcionará enlaces y recomendaciones.

🎓 Educación

✓ Responder preguntas

Se le pueden hacer preguntas sobre temas escolares o académicos y proporcionará respuestas precisas y detalladas.

✓ Generar contenido educativo

Se le puede pedir que genere explicaciones simples y accesibles sobre temas complejos, o resumas de textos o temas.

✓ Proporcionar recursos adicionales

Se le pueden preguntar sobre recursos adicionales para aprender sobre un tema específico, y proporcionará enlaces y recomendaciones.

✓ Ayudar en la investigación

Se le pueden hacer preguntas para investigar sobre un tema específico y proporcionará información relevante y precisa.

✓ Enriquecer discusiones

Se le puede pedir que genere argumentos y perspectivas adicionales para enriquecer discusiones y debates sobre un tema.

💼 Negocios

✓ Análisis de datos

Se le puede pedir que analice datos para identificar tendencias, oportunidades y desafíos para el negocio.

✓ Generar informes

Se le puede pedir que genere informes sobre un tema específico para el negocio, incluyendo estadísticas, análisis y recomendaciones.

✓ Proporcionar soluciones a problemas

Se le puede preguntar sobre problemas comerciales específicos y proporcionará soluciones y sugerencias.

✓ Generar ideas de negocios

Se le puede pedir que genere ideas de negocios para un sector o mercado específico.

✓ Ayudar en la toma de decisiones

Se le puede pedir que evalúe y compare opciones para ayudar en la toma de decisiones estratégicas.

Conclusiones

Es importante tener en cuenta que ChatGPT aún es una tecnología en desarrollo y puede presentar algunos desafíos, como la falta de comprensión completa del lenguaje y la necesidad de supervisión humana para corregir errores y mejorar la precisión.

En definitiva, ChatGPT es una tecnología de inteligencia artificial altamente avanzada y escalable que puede mejorar significativamente la eficiencia y productividad de las empresas y organizaciones.

Con su capacidad para interactuar con los usuarios en una amplia variedad de formatos y para ser entrenado en una amplia variedad de tareas específicas, ChatGPT es una tecnología que definitivamente vale la pena explorar.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Para qué quieren el Metaverso las empresas

Siempre que hay un descubrimiento científico o un avance tecnológico, a la mayoría de la sociedad le surge la misma pregunta: "¿Y eso para qué sirve?". Para qué sirve un neutrino, para qué sirve Blockchain y ahora para qué sirve el Metaverso. Realmente lo que quieren decir es para qué les sirve a ellos.


Vivimos en la era de la utilidad. Lo que no tiene un uso practico instantáneo, sencillamente no vale. Pero esta necesidad de utilidad no es exclusiva de las personas, sino también de los negocios.

Por eso cuando aparece una novedad, y lo hace con tanta fuerza como el Metaverso, las empresas empiezan a pensar en cómo le podrán sacar partido. Porque en el mundo de los negocios solo hay algo peor que no saber, y es ser el único que no sabe.

Así que cuando Zuckerberg anunció su Metaverso (esto daría para cinco artículos), todas las grandes compañías empezaron a ver cómo podían aprovecharlo. Lo primero era averiguar de qué se trataba, pero a diferencia de otras tecnologías disruptivas como Quantum, Blockchain, Web 3... el Metaverso tiene algo que lo hace único y extremadamente atractivo, y es que es fácil de entender. Todo el mundo ha visto Matrix, o alguna de las veinte películas que hablan de realidades paralelas. La idea de un mundo virtual parecido al nuestro ya fue planteado por Platón (entre otros), pero lleva acompañando a la humanidad desde el inicio de sus días.

Y en cuanto apareció, muchas compañías empezaron a aplicar los principios del Metaverso, pero sin haber cambiado los suyos. Es decir, a la empresa se viene, o se conecta, únicamente para trabajar. Esta idea también es más antigua que la propia oficina, y ni el trabajo en remoto ha logrado desterrarla.

Image by Freepik

Una empresa, y da igual el sector al que nos refiramos, es lo que sus trabajadores son. Si tienes empleados críticos, abiertos y curiosos, así será tu empresa. Por tanto, la máxima de una compañía no debería ser que sus empleados "ejecuten" una labor, sino que éstos se desarrollen y evolucionen para que la empresa también lo haga. Un espacio de encuentro, colaboración, aprendizaje e intercambio de ideas que van más allá de la propia labor puntual. Y aquí es donde el Metaverso puede de verdad suponer un valor diferencial.

Hasta la fecha la mayoría de las empresas apuestan por usar el Metaverso para reuniones inmersivas, donde haya mayor interacción entre sus asistentes, se puedan compartir informes, se elaboren estrategias, se debatan aspectos puntuales o generales… en definitiva, se pretende "reproducir" una reunión física, con toda la riqueza que supone respecto a una reunión telemática.

Además, se está empezando a plantear en reuniones de ejecución de proyectos. El Metaverso en estos escenarios permite, por ejemplo, a dos arquitectos meterse casi de forma literal en los planos de unas oficinas nuevas mejorando la visión conjunta y, por tanto, la comunicación y colaboración entre ellos. No se comparte la pantalla haciendo Zoom, sino que se comparte el espacio entrando ambos en el propio diseño.

Otro de los focos en los que se está trabajando es en la parte formativa. La formación online, por lo general, no consigue superar los problemas de la distancia. El receptor no está en el mismo plano, es un alumno pasivo, en el que el feedback no termina de ser natural. El Metaverso puede solucionar en parte esas barreras. Puede haber mayor interacción entre las partes, y se pueden generar debates "orgánicos" más enriquecedores. Lograr que una audiencia pasiva se convierta en un aula de gente más comprometida con lo que se está enseñando y con sus propios compañeros. Además, el uso de material audiovisual, interactivo y personalizado, puede ser todavía más eficiente y productivo que en una formación física.

Y por supuesto, ya se han visto ejemplos de Meetings, Congresos y Presentaciones en el Metaverso con todas las ventajas que ello conlleva. Ahorro en desplazamientos y emisiones, eliminación de distancias, posibilidad de incorporar diferentes materiales... Incluso aforo ilimitado, o al menos mayor que en un evento físico. Pero hay algo que falta en esta lista de posibilidades que brinda el Metaverso a las empresas, y es el factor humano.

Si nos damos cuenta, todo lo que hemos ido describiendo anteriormente tiene un elemento común, están pensadas para el trabajo de sus empleados.

No nos engañemos, el trabajo ejecutivo es (y debe ser) uno de los grandes objetivos de una empresa, pero no es el único importante. Cualquiera que haya trabajado en una oficina sabe que trabajar codo con codo con sus compañeros es tan fundamental como el descanso del café o la cerveza con ellos tras el trabajo. Es en ese momento donde se estrechan los vínculos, se mejora la cohesión y se reafirma el sentimiento de grupo.
De hecho, numerosos estudios (como la Teoría de las relaciones humanas de Elton Mayo) indican que los trabajadores valoran más la sensación de bienestar y unión con sus compañeros que la propia tarea que desarrollan, lo que redunda en un mayor involucramiento y productividad.

Entonces, si las relaciones humanas de los trabajadores son tan importantes para el desarrollo del grupo y de la propia empresa, ¿por qué no aprovechar las posibilidades que nos da el Metaverso para fomentarlas y ampliarlas?.

Ver el Metaverso más allá de la tecnología que lo soporta, como un espacio de encuentro y colaboración entre los trabajadores. Un espacio de confianza, cercano, donde se abran opciones infinitas, como volar, visitar Marte, asistir a un concierto en la Fosa de las Marianas... Universos donde ningún ser humano ha llegado, y descubrirlos juntos, como equipo, al igual que estamos haciendo con el Metaverso.

El Metaverso no puede sustituir el mundo real pero puede ofrecernos posibilidades que jamás habíamos imaginado, personalizadas hasta el extremo en función de las características personales y profesionales de cada grupo. Solo hace falta que las empresas empiecen a tener más imaginación.

No se trata de elegir entre el mundo virtual y el mundo analógico, sino combinar ambos para lograr el mejor resultado. La tecnología ya está aquí, y será tan buena o tan mala como los motivos por los que la usemos. Así que antes de que las compañías se pregunten para qué sirve el Metaverso, deberían pensar para que lo quieren utilizar.

* Artículo de Raúl Somaza *

Raúl Somaza

Cofounder & Chief Creative de Remotefulness

BIO

Apasionado por entender y aportar a un mundo que no para de cambiar.
Nuevas formas de Trabajo, Sostenibilidad y Tecnología.
Durante muchos años trabajé como creativo para grandes empresas internacionales. Ahora sigo buscando soluciones creativas por medio de la tecnología para ayudar a las empresas a ser más humanas y sostenibles.

LinkedIn: raul-somaza

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Fundamentos de la Inteligencia Artificial

En esencia, la Inteligencia Artificial (en adelante AI por sus siglas en inglés "Artificial Intelligence") es programación informática que aprende y se adapta. O dicho de otro modo, es el nombre que se le da a cualquier sistema informático al que se le enseña a imitar comportamientos humanos inteligentes.


Se refiere a cualquier cosa, desde programas que enseñan cómo jugar juegos de mesa y traducir idiomas, hasta sistemas complejos que pueden tener conversaciones que parecen humanas, analizar el mercado de valores o ayudar a diagnosticar problemas de salud.

La última década ha visto un gran progreso, provocado por el aumento de la velocidad de las computadoras y la introducción de técnicas como el aprendizaje automático. Como resultado, la AI ahora se está integrando cada vez más en la forma en que vivimos, trabajamos y damos sentido al mundo.

En última instancia, el futuro de estas tecnologías dependerá en gran medida de lo que las personas decidan hacer con ellas, pero la promesa que tienen de transformar los desafíos humanos es cada vez más clara.

Parcialidad

Los datos incompletos pueden generar sesgos en la AI.

Los resultados de los sistemas de AI pueden verse afectados por datos que amplifican los sesgos existentes que se encuentran en el mundo real.

Por lo general, la AI crea un sesgo cuando los datos que se le ofrecen para aprender no son completos y, por lo tanto, conducen hacia ciertos resultados. Debido a que los datos son el único medio de aprendizaje de un sistema de AI, podría terminar reproduciendo cualquier desequilibrio o sesgo que se encuentre en la información original.




Por ejemplo, si estuviera enseñando a la AI a reconocer zapatos y solo le mostrara imágenes de zapatillas deportivas, no aprendería a reconocer tacones altos, sandalias o botas como zapatos.

El sesgo hace que sea un desafío desarrollar una AI que funcione para todos.

Ningún sistema de AI es lo suficientemente complejo, ni un conjunto de datos lo suficientemente profundo, para representar y comprender a la humanidad en toda su diversidad. Esto puede presentar profundos desafíos si se considera el potencial que tiene la AI para influir en las experiencias de personas reales.

Una AI que preselecciona candidatos para entrevistas para cubrir el puesto de CEO podría aprender a favorecer a los hombres, simplemente porque se le dieron currículums exitosos de los que aprender, e históricamente había un sesgo social hacia los candidatos masculinos.

Para garantizar que los sistemas de AI sean éticos y reduzcan el riesgo de sesgo, los programadores diseñan sus sistemas y conservan sus datos con atención. Esta es la única manera de garantizar que los sistemas funcionen bien para todos.

Conjunto de Datos

Los conjuntos de datos son grandes colecciones de información digital que se utilizan para entrenar la AI.

Pueden contener cualquier cosa, desde datos meteorológicos como la presión del aire y la temperatura, hasta fotos, música o, de hecho, cualquier otro dato que ayude a un sistema de AI con la tarea que se le ha asignado.

Los conjuntos de datos son como libros de texto para computadoras.

Así como un niño aprende a través de ejemplos, lo mismo ocurre con las máquinas. Los conjuntos de datos son la base de este proceso de aprendizaje.

Los equipos de diseño de AI tienen que considerar cuidadosamente los datos con los que eligen entrenar su AI, y pueden construir parámetros que ayuden al sistema a dar sentido a la información que se le proporciona.

Debido a su escala y complejidad, estas colecciones pueden ser muy difíciles de construir y refinar, como por ejemplo las muestras de audio o mapas extensos que cubran todo el sistema solar conocido.

Por esta razón, los equipos de diseño de AI frecuentemente comparten conjuntos de datos en beneficio de la comunidad científica, lo que facilita la colaboración e incentiva la investigación.

Aprendizaje automático (Machine Learning)

El aprendizaje automático permite que los sistemas de AI presenten sus propias soluciones, en lugar de estar preprogramados con un conjunto de respuestas: la AI aprende por sí misma a través de los datos y la experiencia.

En la programación tradicional, si quisieras enseñarle a una computadora a dibujar un gato, tendrías que explicar el proceso de dibujo con detalles precisos. Con el aprendizaje automático, alimenta un sistema de AI con miles de bocetos de gatos para analizar y dejar que busque patrones por sí mismo.

Con el tiempo, comienza a reconocer las características que componen a un gato, como las orejas puntiagudas y los bigotes, y desarrolla una comprensión más flexible y matizada de lo que constituye un boceto de gato.




Con estas capacidades de detección de patrones, el aprendizaje automático ayuda a los sistemas de inteligencia artificial a dar sentido a grandes cantidades de datos.

El aprendizaje automático puede completar ciertas tareas a gran velocidad y escala: los conservacionistas lo usan para analizar meses de grabaciones submarinas y señalar patrones de migración de ballenas, mientras que los médicos lo usan para examinar multitud de escaneos a la vez para identificar los primeros signos de una enfermedad.

Test de Turing

Se trata de un famoso test que planteó la pregunta: ¿Pueden pensar las máquinas?

El test de Turing tiene una premisa simple: "si un ser humano puede tener una conversación de cinco minutos sin darse cuenta de que está hablando con una máquina, la computadora pasa la prueba".

Inventada en 1950 por el científico informático Alan Turing, la prueba sentó las bases de lo que ahora llamamos AI, al preguntarse si era posible que una máquina imitara el pensamiento humano.

Curiosamente, muchos de los sistemas exitosos hasta la fecha podrían convencer a alguien de que estaban hablando con una persona, no como una conversación humana convincente, sino con errores ortográficos o gramaticales. Las habilidades requeridas para parecer humano y pasar la prueba no están necesariamente vinculadas con la 'inteligencia' y el 'pensamiento'.

Sin embargo, el test de Turing llevó a muchos científicos e ingenieros a considerar lo que nos hace inherentemente humanos e inspiró a los equipos de diseño de AI a luchar por sistemas informáticos que interactúen de formas más naturales y similares a las humanas.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

La importancia de los programas de Bug Bounty

Un programa de recompensa de errores o "Bug Bounty" por sus siglas en inglés, es un acuerdo ofrecido por plataformas web, organizaciones y desarrolladores de software mediante el cual los investigadores pueden recibir reconocimiento y compensación económica por informar de errores de seguridad, especialmente aquellos relacionados con exploits y vulnerabilidades.


Estos programas de gestión de vulnerabilidades permiten a los desarrolladores descubrir y resolver errores antes de que sean conocidos por el público en general, evitando incidentes de abuso generalizado.

Operan bajo la premisa de un acuerdo de no revelación de vulnerabilidades (disclosure guidelines), es decir, el contenido del informe se pondrá a disposición del equipo de seguridad y no será público para que disponga de tiempo suficiente hasta que pueda publicar una corrección.

Una vez cerrado el informe, el investigador o el equipo de seguridad pueden solicitar la divulgación pública.

Computer programmer photo created by pressfoto - www.freepik.com

Los programas de recompensas de errores han sido implementados a lo largo de los años por un gran número de organizaciones, incluyendo compañías como Facebook, Mozilla, Microsoft, Google, Twitter, Intel, Apple, Tesla, Paypal, Uber, etc.

Empresas ajenas a la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos (DoD), han comenzado a utilizar programas de recompensas de errores.

El uso del programa de recompensas de errores del Pentágono conocido como “Hack the Pentagon” es consecuencia de un cambio de postura que ha llevado a varias agencias gubernamentales de Estados Unidos a invitar a los hackers a participar como parte de un marco o política integral de divulgación de vulnerabilidades.

Son conocidos los programas del DoD “Hack the Army”, “Hack the Air Force”, “Hack the Defense Travel System” y “Hack the Marine Corps”.

Otros organismos de carácter público como el Ministerio de Asuntos Exteriores de Finlandia también se han acogido al primer servicio de vulnerabilidades y recompensas económicas en el Norte de Europa (países nórdicos) coordinado por la empresa finlandesa Hackrfi.

Desarrollar software seguro es difícil, incluso para programadores experimentados que entienden los conceptos de seguridad. Debido a que construir sistemas a prueba de vulnerabilidades es un gran desafío, cada vez más empresas optan por implementar programas de recompensas de errores.

El interés en los programas de recompensas de errores continúa en expansión, y por una buena razón, ofrecen una excelente manera de alinear los intereses de las empresas que necesitan mejorar la seguridad con las personas más capaces de brindar esa seguridad:

- los hackers ponen a prueba sus habilidades con fines de lucro y las compañías minimizan sus costos porque el pago por el servicio solo se requiere para aquellos que encuentran vulnerabilidades dentro del alcance del programa.

Los programas de recompensas de errores varían en alcance y cuantía en función de las potenciales vulnerabilidades.
Según las estadísticas, se lanzan alrededor de 2 billones de líneas de código cada semana con más de 110 billones de líneas de código de software creado solo en el año 2017.

Bugcrowd, una empresa especializada en seguridad colaborativa o crowdsourced security, informó que su programa de recompensas de errores ascendió a más de 6 millones de dólares en 2017 y que el 77% de todos los programas de recompensas de errores tuvieron su primera vulnerabilidad detectada y comunicada en las primeras 24 horas de anunciar el programa.

Por su parte, la plataforma HackerOne arroja, entre otros, los siguientes datos correspondientes al pasado año 2021:

• los programas de Bug Bounty están creciendo en todas las industrias, aumentando un 34% en 2021.
• los hackers informaron de 66.547 errores válidos en 2021: un 21% de incremento respecto de 2020.
• el precio medio de un error crítico aumentó de 2.500 en 2020 a 3.000 dólares en 2021.
• en el último año, el tiempo promedio de resolución de vulnerabilidades de toda la industria se redujo en un 19%: de 33 a 26.7 días.
• en la actualidad, los principales CISO y equipos de seguridad están aprovechando las habilidades y experiencia de una comunidad profesional y comprometida de hackers como estrategia central de sus pruebas de seguridad: saber qué vulnerabilidades se están priorizando, cómo se están corrigiendo y qué valor se les atribuye, puede ayudarles a crear o mejorar su propio programa de pruebas de seguridad.

Algunos canales oficiales o direcciones de correo para reportar vulnerabilidades de seguridad son:

• Apache Software Fundation: security@apache.org
• Apple: product-security@apple.com
• Avast: bugs@avast.com
• Facebook: https://www.facebook.com/whitehat/report/
• Git Hub: https://hackerone.com/github/reports/new
• Google: https://www.google.com/appserve/security-bugs/m2/new
• Intel: secure@intel.com
• Microsoft: https://msrc.microsoft.com/create-report
• Mozilla (Client Bug Bounty): https://bugzilla.mozilla.org/form.client.bounty
• Mozilla (Web Bounty): https://bugzilla.mozilla.org/form.web.bounty
• PayPal: https://hackerone.com/paypal/reports/new
• Tor Project: https://hackerone.com/torproject/reports/new
• Uber: https://hackerone.com/uber/reports/new
• Brave: https://hackerone.com/brave/reports/new
• Google Chrome: https://bugs.chromium.org/p/chromium/issues/entry?template=Security%20Bug
• Microsoft Edge (basado en Chromium): https://msrc.microsoft.com/create-report
• Mozilla Firefox: https://bugzilla.mozilla.org/form.client.bounty

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Cómo desinstalar Adobe Creative Cloud por completo

Las aplicaciones de Adobe Creative Cloud son de las más utilizadas por los usuarios de Mac. Pero es posible que necesites desinstalar Adobe CC, ya sea porque has dejado que caduque tu suscripción y no tienes intención de renovarla, porque has encontrado un software alternativo a Creative Cloud o por cualquier otro motivo.


Mover la aplicación a la papelera no es suficiente, ya que seguirá conservando todos sus archivos en el sistema y almacenará archivos inútiles en el disco duro.

Por este motivo, te explicamos cómo desinstalar Creative Cloud en Mac por completo, eliminando todo rastro de esta aplicación en el sistema.

Laptop typing photo created by jcomp - www.freepik.com

¿Qué es Adobe Creative Cloud?

Adobe Creative Cloud, también conocido como Adobe CC, es un servicio por suscripción que permite acceder a más de 20 aplicaciones de fotografía, vídeo, diseño, web, experiencia de usuario y redes sociales.

Aplicaciones que van desde los clásicos Photoshop, Illustrator, Acrobat Pro o Lightroom, a programas más específicos como After Effects o InDesign.

También incluye una asignación de espacio de almacenamiento en la nube, la biblioteca completa de Adobe Fonts, el programa Adobe Portfolio, el servicio Behance y diferentes herramientas de colaboración.

¿Cómo eliminar completamente Adobe Creative Cloud?

La empresa de software estadounidense proporciona una guía específica para desinstalar Adobe CC en Mac, pero este método deja archivos basura innecesarios en el ordenador o portátil.

De esta forma, la desinstalación de Adobe Creative Cloud puede ser un proceso tedioso, debido a que hay que desinstalar este servicio de forma manual.

Estos son los pasos que debes seguir:

• Sal de Adobe Creative Cloud y todos los procesos relacionados. Para ello, inicia el Monitor de actividad y busca los procesos de Adobe CC. Selecciónealos y haz clic en el botón "Detener". Confirma la acción con la opción "Forzar salida" para cerrar los procesos inmediatamente.
  
  
• Elimina todas las aplicaciones relacionadas con Adobe Creative Cloud. Inicia sesión en la aplicación de escritorio de Adobe CC. Accede a la pestaña "Aplicación" y busca las herramientas instaladas en el sistema (Photoshop, Illustrator, Lightroom, InDesign y más). Haz clic en el icono "Más acciones" junto a la aplicación que quieras desinstalar y selecciona la opción "Desinstalar".
  
  
• Utiliza el programa de desinstalación de Adobe. Descarga el archivo de instalación Creative Cloud Uninstaller.app desde la página de Adobe. Haz doble clic en el programa y confirma que quieres desinstalar la aplicación de escritorio de Creative Cloud.
  
  
• Borra los archivos asociados con Adobe Creative Cloud. Como hemos comentado anteriormente, el programa de desinstalación de Adobe no elimina todos los archivos residuales en Mac. Para borrarlos, accede a la carpeta "Aplicación" y arrastra todas las carpetas de Adobe hacia la papelera. Luego, elimina todas las aplicaciones de Adobe ubicadas en la carpeta "Utilidades". Una vez que hayas terminado de eliminar todas estas carpetas, no te olvides vaciar la papelera para finalizar la desinstalación.

No cabe duda de que se trata de un proceso tedioso. Además, los usuarios deben tener cuidado al eliminar archivos que pueden ser importantes para el correcto funcionamiento del sistema.

Por suerte, existen herramientas que permiten desinstalar Creative Cloud por completo, eliminando los restos de sus aplicaciones de una sola vez sin dejar archivos residuales. Y todo ello de forma rápida y segura.

Tal vez te interese conocer algunos de estos temas:

• Programas que nos ayudan a gestionar nuestros negocios
  
  
• Las 15 mejores aplicaciones de edición de vídeo para tu smartphone
  
  
• 5 aplicaciones de mensajería instantánea alternativas a WhatsApp
  
  
• ¿Qué aplicaciones para empresas no pueden faltar en un móvil?
  
  

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

SMS marketing: qué es y cómo ponerlo en práctica

El marketing SMS es una estrategia muy interesante para las marcas que quieren impactar a los consumidores de una forma efectiva y rápida. Hace que sea una buena opción para sorprender a las personas en poco tiempo. Después de todo, el 90% de los mensajes de texto son leído en menos de 3 minutos y eso se traduce en mayores ventas.

¿Qué es el Marketing SMS?

Es una técnica que utiliza el envío SMS con intención de impactar al consumidor usando mensajes profesionales e instantáneos. Estos mensajes cortos se destinan a comunicar oportunidades, actualizaciones, ofertas y alertas interesantes para los clientes.

Aunque otras plataformas han desarrollado un gran avance, la realidad es que los SMS siguen siendo muy efectivos y son un recurso estratégico para usarse en marketing.

¿Para qué se usa el SMS marketing?

Se pueden utilizar de diversas maneras. Algunos de los casos donde es una buena idea enviar SMS masivos son:

Promociones a corto plazo de minoristas o comercio electrónico

Las promociones y cupones son una buena manera de atraer a más personas a la tienda o sitio web. Si se realiza una promoción en tiempo limitado, es conveniente llegar a un mayor número de individuos y los SMS son un canal perfecto para ello.

Actualizaciones urgentes sobre eventos o pedidos de clientes

En un evento se pueden dar cambios en su planificación y ejecución. Cuantas más personas acudan al evento, más complicado es comunicar la información. Con los SMS esto se solventa, ya que se informa rápido sobre cancelaciones, cambios o actualizaciones.

Recordatorios de citas

Si en un negocio se dan citas, es frustrante que algunos clientes olviden las citas y lleguen tarde o ni siquiera aparezcan. Eso no sólo afecta a la agenda, sino también en haber podido dar ese espacio de tiempo a otra persona. Una solución es enviar SMS para asegurarte de que los clientes no olviden su cita.

¿Cuáles son las ventajas del SMS en tu estrategia?

Podemos encontrar varias ventajas a la hora de implementar el SMS en nuestras estrategias de Marketing, aparte del conocido coste-beneficio.

• Tiene alta tasa de apertura. Su ventaja está en que se entrega en segundos y tiene una tasa de apertura del 98%. Además, es necesario para el éxito que el mensaje sea claro, directo y conciso.
• Consigue una empresa más atractiva. Enviar los mensajes es una forma de mostrar a los clientes que la empresa conoce las tendencias y novedades.
• Ayuda a fidelizar clientes. Podemos enviar a los clientes textos con información relevante, promociones en fechas señaladas, etc. para conseguir una mayor fidelización.

Tips para optimizar el envío de SMS Marketing

Podemos crear una campaña de SMS marketing teniendo en cuenta una serie de pasos importantes:

• Definir los objetivos
  No es cuestión de enviar mensajes SMS a diestro y siniestro, sino saber qué queremos comunicar en el mensaje. Es decir, antes de iniciar la campaña hay que establecer la meta que se espera conseguir.
• Elabora tu base de datos de clientes
  Si ya conoces el objetivo a conseguir con tus campañas de Marketing SMS, lo siguiente es elaborar una base de datos de clientes que deseen recibir ese tipo de comunicaciones. Si no se pide permiso a los clientes, podríamos incurrir en un delito.
• Recuerda que sólo tienes 160 caracteres para tu contenido
  El SMS Marketing tiene como máximo 160 caracteres, por lo que es necesario que el mensaje sea conciso y directo, incluyendo siempre un enlace de baja del servicio para dar al cliente la posibilidad de cancelar el envío de SMS en cualquier momento.
• No abuses del envío de SMS
  Si envías demasiados SMS puede llegar el momento en que los clientes lo sientan como una molestia y más si no has pedido su consentimiento para enviarles los mensajes. Es más, puede ser considerado incluso spam.
• Estudia bien qué poner en tu SMS
  Muchas veces no es necesario ofrecer promociones, basta con hacer sentir importante al cliente para que entienda que la oferta no es para todo el mundo. Un SMS también logra feedbacks para mejorar el servicio y conocer la satisfacción del cliente.
• Análisis y Tests
  Tras elaborar y aplicar el proyecto de SMS Marketing, es conveniente analizar qué ha funcionado bien, qué no y subsanar errores. Podemos valorar criterios para saber si una campaña ha tenido o no éxito como son la tasa de clics, conversiones y bounces.

En conclusión, las campañas de SMS Marketing tienen una alta tasa de éxito y pueden funcionar perfectamente combinadas con otros canales. Pero también hay que tener en cuenta ciertos elementos como son los horarios o la forma de dirigirnos al cliente para que funcione correctamente.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Como Google Chrome ayuda a mantener seguras a las empresas

La seguridad de la información, ahora más que nunca, es una prioridad para los equipos IT sobre todo considerando que el cibercrimen se ha incrementado un 600% como consecuencia de la pandemia del COVID-19 y el trabajo remoto ha disparado el coste medio de una filtración de datos en $137.000 según el último informe de IBM, How much does a data breach cost?


Chrome ha trabajado durante 14 años para mitigar los riesgos, bloquear sitios y contenido malicioso y mejorar de forma proactiva la seguridad web para mantener seguros a los usuarios y los datos corporativos, siendo pionero en nuevas capas de protección como site isolation y sandboxing.

Site Isolation es una medida de seguridad de Chrome que garantiza que las páginas de diferentes sitios web siempre se ejecuten en diferentes procesos, cada uno de los cuales se ejecuta en un espacio aislado que limita lo que el proceso puede hacer. También impide que el proceso reciba ciertos tipos de datos confidenciales de otros sitios web.

Sandboxing es la práctica de aislar una pieza de software para que pueda acceder solo a ciertos recursos, programas y archivos dentro de un sistema informático, a fin de reducir el riesgo de errores o malware que afecte al resto del sistema.

Todos los navegadores Google Chrome tienen habilitado sandboxing de forma predeterminada, siendo uno de los muchos beneficios de usar el sistema operativo Chrome OS.

Si se produce alguna amenaza de seguridad, sandboxing la aisla al sitio web o la aplicación afectada.
Básicamente, la amenaza ahora está en un "sandbox" y no puede avanzar más en tu dispositivo evitando más daños a tu computadora. Todo lo que tienes que hacer es cerrar el navegador.

Foto creada por rawpixel.com - www.freepik.es

Chrome cuenta con múltiples elementos de seguridad para ofrecer a las organizaciones la mejor protección posible.

Seguridad en la que no tienes que pensar

Con las actualizaciones automáticas habilitadas, Chrome ofrece a las empresas correcciones rápidas y automáticas para vulnerabilidades de día cero (zero day).

El equipo de seguridad de Chrome publicó recientemente un post que explica el estado de los bugs y exploits que afectan a su navegador y que merece la pena leer: What's up with in-the-wild exploits? Plus, what we're doing about it.

También incluye capacidades como 'site isolation' y 'sandboxing' que evitan que el código malicioso afecte a otros sitios visitados o impacte en los equipos de los usuarios.

La infraestructura de escaneo ayuda a detectar y eliminar extensiones maliciosas de Chrome Web Store para evitar que los usuarios finales se infecten (el año pasado se produjo una caída de malware de casi el 90%).

Estas son protecciones integradas directamente en Chrome que automáticamente mantienen seguros a sus usuarios y su organización.

Protección para usuarios de Chrome

Son capas adicionales de protección que mantienen seguros a los usuarios finales mientras navegan por la web.

Safe Browsing o navegación segura, que se ofrece de forma nativa en Chrome, ayuda a proteger los dispositivos al mostrar advertencias a los usuarios cuando intentan navegar a sitios peligrosos o descargar archivos maliciosos.

Información sobre la seguridad de las contraseñas, informando a los usuarios si sus contraseñas se han visto comprometidas o incluso indicándoles que cambien su contraseña corporativa si intentan reutilizarla en contra de las políticas de la empresa.

Controles a nivel de empresa

Cada organización tiene necesidades de seguridad únicas por lo que Chrome ofrece a las empresas protecciones avanzadas y administración modular de políticas para ayudar a alcanzar esos objetivos de seguridad.

Con más de 100 políticas, los administradores pueden usar multiples herramientas de administración, incluida la administración en la nube del navegador Chrome (Chrome Browser Cloud Management), para personalizar el navegador.

Chrome Browser Cloud Management proporciona una potente gestión de extensiones empresariales, una prioridad de seguridad para muchas organizaciones. Los usuarios finales pueden solicitar extensiones y los administradores permitirlas o denegarlas. Además, los administradores pueden fijar versiones específicas de extensiones para apoyar cualquier proceso de revisión de seguridad interno.

La visibilidad y los informes son otra área de soporte para los equipos IT. A través de Chrome Browser Cloud Management, los administradores pueden obtener más información sobre el entorno de los navegadores como la versión actual de cada navegador, las aplicaciones y extensiones instaladas, y las políticas aplicadas.

Estos datos pueden ayudar a los equipos IT a tomar decisiones de seguridad, comprender mejor los dispositivos que ejecutan Chrome e investigar si surgen problemas.

Seguridad Zero Trust

Chrome permite actualizar la estrategia de seguridad de las organizaciones al migrar a modelos de acceso de confianza cero (zero trust).

BeyondCorp Enterprise ayuda a proteger endpoints mediante la integración directa de amenazas y protección de datos en Chrome, incluyendo la pérdida de datos intencionada o accidental y evitando el malware y el phishing en tiempo real.

Además, Chrome y BeyondCorp Enterprise proporcionan la confianza en el dispositivo (device trust) y señales de seguridad de endpoints directamente desde el navegador, lo que facilita significativamente el despliegue de confianza cero en su entorno.

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más

Los papeles de Pandora, Python y el aprendizaje automático

A finales del año 2021 vieron la luz los papeles de Pandora, estos son un conjunto de aproximadamente 12 millones de documentos filtrados (unos 3 TeraBytes), que formaban parte de una investigación periodística. Provienen de una filtración de documentos confidenciales de 14 despachos de abogados especializados en la creación de sociedades en varios paraísos fiscales, entre ellos, Panamá, Islas Vírgenes Británicas o Bahamas.


A través de esta información se han puesto al descubierto las fortunas secretas de líderes mundiales, grandes empresarios, funcionarios públicos, y en general, multitud de evasores que se mantenían al margen de la ley.

Entre algunos personajes populares, destacan el presidente de Chile, el ex-director del FMI, el rey de Jordania, el primer ministro checo, o Tony Blair, o incluso estrellas del mundo del espectáculo como Julio Iglesias, Shakira, Claudia Schiffer o Pep Guardiola.

Todos estos datos vienen a exponer diversos sistemas que se usaban para evitar los controles fiscales sobre dichas fortunas, siendo la base para multitud de acusaciones de corrupción, lavado de dinero o evasión fiscal.

Los documentos incluyen datos de más de 5 décadas, aunque la mayoría se refieren a los últimos 20 años, e incluyen información sobre 30.000 beneficiarios.

Además de su gran volumen, eran de diversa procedencia, idioma y formato, documentos escritos a mano, hojas de cálculo, correos electrónicos, imágenes, ficheros PDF de más de 10.000 páginas, pasaportes, extractos bancarios, declaraciones de impuestos, contratos, ... Lo cual le añade complejidad a la hora de analizarlos y poder extraer conclusiones de los mismos.

El reto estaba en poder obtener resultados y sacar a la luz los secretos en un tiempo razonable. Y en eso Python y las últimas técnicas de aprendizaje automático tuvieron un papel crucial.

Photo created by rawpixel.com - www.freepik.com

Tan solo una pequeña fracción de dichos documentos, el 4%, estaban estructurados, es decir, contenían los datos organizados en tablas. Esos fueron los más simples de analizar, se organizaron por empresa, se eliminaron duplicados y se combinaron en un documento maestro, de esta manera todos los datos estaban juntos y su interpretación fue mucho más directa.

En otros archivos, como documentos escritos, archivos en formato PDF, ... se usó Python para automatizar la extracción y su posterior estructuración dentro de lo posible.

Pero para el resto de documentos, los casos más complejos, se usaron técnicas de Machine Learning o aprendizaje automático, a través de la librería Scikit-Learn de Python.

De esta manera, se identificaron, separaron y clasificaron formularios concretos de documentos mayores. Incluso muchos de estos formularios estaban escritos a mano, y se tuvieron que emplear técnicas de reconocimiento de escritura manual.

Cuando todos esos datos finalmente se pudieron estructurar, se generaron unas listas que vinculaban a los beneficiarios con las empresas, y posteriormente se usaron librerías de visualización de datos para crear modelos visuales e incluso poder realizar búsquedas sobre dichos datos.
De esta manera, los investigadores obtuvieron una herramienta que les permitía rastrear las conexiones entre personas y empresas a través de la maraña de documentos, y descubrir a los evasores.

En la Universidad Internacional de Valencia y de manera específica en el Curso Experto de Programación Python se estudia dicho lenguaje y las técnicas más populares de inteligencia artificial, como el aprendizaje automático, redes neuronales, ciencia de datos, automatización, ... Todas ellas disciplinas clave en la resolución del caso de los papeles de Pandora.

* Artículo de Iván Fuertes Torrecilla *

Iván Fuertes Torrecilla

Senior Render Engine & SDK Programmer for Augmented Reality at Wikitude

BIO

Director del título "Experto Universitario en Programación en Python"

LinkedIn: Lead Engineer at 31st Union

Jose Maria Acuña Morgado - Web Developer - Ethical Hacking

Leer más