Ciberseguros, los salvavidas de la navegación moderna

Síguenos en |    

“Años atrás, sin importar cuántos, hallándome con poco o ningún dinero en la faltriquera, y sin nada que me interesara especialmente en tierra, se me ocurrió hacerme a la mar por una temporada, a ver la parte acuática del mundo.”

Melville, Herman. Moby Dick, Capítulo I

1.- Introducción

Siempre he pensado, seguro que como muchos otros, que el mundo marino y el de Internet son ciertamente similares. No en vano se ha decidido reutilizar el término: “navegación”.

Tanto uno como otro sirvieron en sus orígenes uno para expandir el horizonte del hombre, generaron nuevas formas de comercio, de intercambio de noticias, de gentes (y su privacidad), pero también ataques, piraterías y guerras. Como vemos, comparten ventajas, amenazas y últimamente soluciones.

Imagen con elementos conceptuales que simbolizan la ciberseguridad en la navegación web.
Seguridad en la navegación, elaboración propia.

Me refiero sin duda a los ciberseguros.

La cuestión es que Internet hoy es igual a muchas cosas positivas, pero también implica muchos ataques informáticos, de forma constante y regular, y además cada vez de mayor escala (solo en 2018 España recibió 102 ciberataques graves, es decir, dirigidos a infraestructuras críticas como centrales eléctricas o nucleares). Si pasamos del Internet conocido al Internet de las Cosas, España en la primera mitad de 2018 recibió más ciberataques que nadie.

Por tanto, hacer frente a esos ataques, con las correspondientes medidas de seguridad, pero también con las precauciones debidas si al final sufrimos un daño, es una cuestión básica. Es ahí donde entran en juego los ciberseguros.

El mundo marino en sus inicios no estaba exento de riesgos, como es lógico. De hecho, aventurarse en el mar era una gran odisea hasta hace no mucho tiempo. De modo que las gentes de mar, o quien tenía intereses económicos “navegando”, comenzaron a elaborar una serie de pactos, acuerdos y normas que hoy son lo que conocemos como “seguros”.

Continuar leyendo “Ciberseguros, los salvavidas de la navegación moderna”

La vuelta al mundo en una transferencia internacional de datos

Síguenos en |    

“¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

Continuar leyendo “La vuelta al mundo en una transferencia internacional de datos”

Cómo redactar un contrato de pentesting

Síguenos en |    

Érase una vez un ciudadano particular que se acababa de comprar una casa y al que le preocupaba mucho la seguridad.

Le habían dicho que la barriada en la que había comprado la casa era muy tranquila, pero aún así quería saber lo segura que resultaba. Sin embargo, no tenía claro cómo hacerlo. Entonces pensó en algo: le daría las llaves a uno de sus mejores amigos (que era vigilante de seguridad) y le pediría que examinara por dentro y por fuera la casa, para descubrir cómo alguien podría llegar a entrar.

De esa manera, su amigo debía probar las ventanas, las cerraduras o cómo de resistente era la valla. El objetivo era descubrir cualquier posible vía de entrada en la casa para por ejemplo, robar algo. Hecha la prueba, el amigo le dijo que había encontrado una ventana que cerraba mal y una cerradura mal instalada.

Lo que el amigo de nuestra pequeña historia había hecho era lo que en el mundo de la ciberseguridad se llama un escáner de vulnerabilidades. Es decir, el primer paso para conocer las fortalezas, debilidades y necesidades de tu negocio desde el punto de vista de la ciberseguridad.

¿Pero era eso un pen test? No, era solo el primer paso para llegar a uno. Es decir, y siguiendo con la analogía de la casa, ahora que nuestro ciudadano particular ya sabía que la casa tenía algunas vulnerabilidades, lo siguiente que iba a hacer era contratar a un “ladrón”. El objetivo ahora era que esa persona entrara en la casa y se hiciera con todo lo posible, para lo que debía aprovecharse de las vulnerabilidades conocidas (o nuevas que encontrara). Por ejemplo, quizá el ladrón pudiera acceder a la casa gracias a la ventana que cerraba mal. Ahora bien, la alarma se disparaba correctamente y eso hacía que lo pudieran acabar deteniendo.

Eso sí sería un pentesting, pen test, penetration test o examen de penetración, o lo que es lo mismo, un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. De esa forma, una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.

password-2781614_1920.jpg

Continuar leyendo “Cómo redactar un contrato de pentesting”