CERTIFICADOS SSL/TLS VENCIDOS: El riesgo de Seguridad Crítico que puedes estar pasando por alto

Los certificados SSL/TLS son esenciales para proteger los sistemas corporativos y los sitios web internos y externos, además de proteger los datos de los usuarios. Al cifrar la comunicación entre los sitios web y los navegadores de los usuarios, protegen los datos confidenciales de miradas indiscretas, como números de tarjetas de crédito, datos corporativos y contraseñas. Pero, como la mayoría de las cosas, los certificados eventualmente vencen. Un certificado sin seguimiento puede dejar tu sitio vulnerable en el peor momento.

Para garantizar que tus sitios web y sistemas estén siempre seguros, es importante mantener un inventario de todos tus certificados SSL/TLS. Se debe realizar un seguimiento de los siguientes atributos:

• el nombre del certificado
• el propietario/responsable del certificado
• el nombre de dominio para el que va dirigido el certificado
• la fecha de vencimiento del certificado
• el tipo de certificado (por ejemplo, dominio validado, organización validada, validación extendida)
• el emisor del certificado.

Con estos datos, puedes hacer lo siguiente:

• Evitar sorpresas al vencer el certificado: tu sitio web puede mostrar advertencias o dejar de estar disponible cuando el certificado venza. Mantener un inventario de certificados te permite detectar próximos vencimientos. Luego podrás renovar los certificados de forma proactiva antes de que se produzcan interrupciones.
• Detectar y resolver errores de certificados: si hay un problema con uno de tus certificados, como una mala configuración o un cambio de nombre de dominio, podrás identificar rápidamente el problema y tomar medidas correctivas.
• Aumentar el cumplimiento: muchos sectores, como la atención médica y las finanzas, tienen regulaciones estrictas que requieren que los sitios web u otros sistemas utilicen certificados seguros. tener un inventario de tus certificados, puedes demostrar fácilmente que cumples con estas regulaciones.

Hazte cargo de tus certificados

La solución Certificate Inventory and Management de ServiceNow ayuda a gestionar los certificados SSL/TLS de dos formas clave: 1) Descubrir dónde se implementan los certificados mediante Discovery de ServiceNow y 2) Recopilar un inventario de los certificados emitidos por tu autoridad de certificados. Con el poder de las capacidades de flujo de trabajo de la plataforma, esta solución agiliza los procesos de certificados clave, lo que incluye lo siguiente:

• solicitar nuevos certificados
• renovar certificados existentes
• revocar certificados cuando sea necesario.

Además, concilia los certificados emitidos con los implementados de tu CA.

Esto permite ahorrar costos al identificar los certificados no utilizados que no requieren renovación. Los beneficios adicionales incluyen los siguientes:

• Mayor confianza del cliente: cuando los usuarios ven el ícono del candado en la barra de direcciones de su navegador, saben que el sitio web es seguro y que sus datos están protegidos.
• Riesgo reducido de filtraciones de datos: al cifrar todas las comunicaciones entre los sistemas o un sitio web y el navegador de un usuario, los certificados SSL/TLS pueden ayudar a reducir el riesgo de filtraciones de datos.
• Esto es especialmente importante para sitios web que manejan datos confidenciales, como números de tarjetas de crédito y contraseñas.
• Rendimiento mejorado del sitio web: los certificados SSL/TLS pueden mejorar el desempeño del sitio web al reducir la necesidad de volver a cifrar los datos cada vez que un usuario visita el sitio web.
• Conciencia operativa mejorada: aprovechar la NOW Platform, los flujos de trabajo para el cumplimiento de solicitudes de certificados y las tareas de renovación de certificados aportan claridad a las operaciones de seguridad con capacidades familiares de generación de informes y paneles.

No dejes la seguridad de tu sitio al azar. Con un inventario completo de certificados y ServiceNow como guía, puedes aumentar el cumplimiento, la confianza y el rendimiento mientras reduces el riesgo. 

Fuente: www.thirdera.com

INCUMPLIMIENTO DE ESTÁNDAR PCI DSS EN LATAM VULNERA DATOS DEL CONSUMIDOR

El estándar PCI DSS (Payment Card Industry Data Security Standard) ha demostrado ser una forma eficaz de proteger los datos de titulares de tarjetas de pago o datos privados de autenticación. Aunque dicha certificación ha sido más lenta en América Latina que en otras regiones del mundo, su implementación debe acelerarse ya que de lo contrario representará una puerta de entrada a la ciberdelincuencia.

Una estimación de la consultora Americas Market Intelligence destacó que para 2022 en América Latina había 99 millones de titulares de tarjetas de crédito, en comparación con 169 millones que son solo titulares de tarjetas de débito y 117 millones que no están bancarizados. Por ello, la normativa PCI DSS juega un papel fundamental para evitar filtraciones de datos dentro de todo el ecosistema de pagos.

Oswaldo Palacios, Senior Account Executive para Akamai, mencionó que el estándar PCI DSS forma parte de los requisitos para transaccionar con tarjetas de crédito, por lo cual bancos e instituciones financieras están obligados a su adopción para garantizar con ello que los datos de los consumidores estén protegidos en todo momento al hacer uso de una tarjeta de débito o crédito.

Para mejorar la seguridad de los datos de los consumidores, varias empresas de tarjetas de crédito, tales como: VISA, Mastercard, Discover, JCB y American Express formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés) para garantizar su transparencia de operación. Esto aunado a las regulaciones gubernamentales, han hecho de PCI un “must” para cualquier compañía que transaccione con tarjetas de crédito y débito.

Ante una alta tasa de incidencia de riesgos asociados con el robo de datos, la banca o el sector financiero debe aplicar controles de seguridad eficientes y sólidos cuando se trata de salvaguardar los datos de las tarjetas bancarias. Latinoamérica es considerada una de las zonas con más fraudes en tarjetas de pago, problema que se agravó con el aumento de sitios de comercio electrónico y la digitalización.

Según un estudio de 2022, los comercios en línea de cuatro regiones del mundo declararon haber perdido casi el 3% de sus ingresos por comercio electrónico debido al fraude en los pagos. En particular, América Latina registró una pérdida mayor, del 4,6%, mientras que América del Norte obtuvo la pérdida más baja, del 2,4%.

¿Por qué la banca debe adoptar el estándar PCI DSS?

Aquellas instituciones bancarias que adoptan el estándar PCI DSS logran disminuir el riesgo de sufrir ciberataques o ciberfraudes, lo cual es fundamental cuando se procesan o almacenan datos confidenciales. Otros beneficios son: establecer alianzas comerciales, mejorar la gestión de incidentes de ciberseguridad, otorgar confianza al consumidor, evitar multas y procesos legales.

Al respecto, Oswaldo Palacios resaltó que uno de los motivadores de dicha normativa es proteger a la banca de amenazas como el ransomware, debido a que puede propagarse de una manera tal que pueden evadir controles de ciberseguridad tradicionales como Firewalls, XDR (detección y respuesta ampliadas) e IPS (sistema de prevención de intrusos). Por esto, el estándar ha evolucionado y pide que el alcance de las comunicaciones se reduzca mediante Microsegmentación ya que dicha práctica ayuda a mejorar la postura de ciberseguridad de las organizaciones.

El directivo explicó que PCI DSS pide a las instituciones la reducción del alcance de comunicación en los activos que “tocan” PCI o datos de los tarjetahabientes;  dicha acción se puede hacer mediante Microsegmentación, ya que sin generar cambios en la infraestructura se puede realizar una separación de tráfico de Red y accesos no autorizados o innecesarios en infraestructura crítica.

Es importante mencionar que las redes y aplicaciones que están en el ámbito de las normativas PCI DSS son complejas. Pueden abarcar varias máquinas, incluir entornos híbridos como contenedores y máquinas virtuales e incluso trabajar en varias ubicaciones físicas o zonas horarias. La Microsegmentación se está convirtiendo en una opción indispensable para el cumplimiento normativo, como PCI DSS.

También la Microsegmentación permite una visibilidad de todas las aplicaciones y cargas de trabajo a nivel de proceso, además de crear políticas flexibles que se centren en el cumplimiento normativo y aplicarlas para controlar una postura de seguridad general que le permita estar preparado para cualquier auditoría.

Más adelante, el experto de Akamai destacó que el incumplimiento de la normativa puede acarrear consecuencias a las instituciones financieras y bancos, que van desde no poder operar pagos y transacciones con tarjetas de débito y crédito, multas por parte de los gobiernos o reguladores financieros, más el daño reputacional.

Por último, Oswaldo Palacio advirtió que si una institución financiera o banco no cumple con el estándar PCI, no podrá transaccionar con tarjetas de crédito y probablemente su alcance se reduciría a una caja de ahorro o una simple organización que recaba dinero de consumidores para algún fin determinado como el ahorro.

Los requisitos de Cumplimiento de PCI seguirán evolucionando, pero la implementación de soluciones potentes permite a los departamentos de IT proactivos cumplir con los actuales y, al mismo tiempo, establecer una base sólida para futuras mejoras de Seguridad de Datos.

 

Fuente: revistaseguridad360.com

 

VERIFICACIÓN DE DATOS “OFICIAL”: Una peligrosa iniciativa en México y Brasil

"Los factores de poder no pueden ofrecer verificación sobre informaciones y datos que los afectan". Crédito: Getty Images. Arte: Arlene Fioravanti.

Para que uno pueda creer en el trabajo de verificación de datos, los que lo ofrecen deben –necesariamente– ser transparentes y sobre todo apartidistas. Desafortunadamente, en América Latina, parece que se ha puesto de moda ver a políticos y/o partidos invitando a los ciudadanos a visitar "sus plataformas de fact-checking".

Esto es un engaño. No caigas en esta trampa.

El pasado domingo, el presidente de Brasil, Luiz Inácio Lula da Silva, publicó un tuit de cuatro frases que dejó a quienes luchan contra la desinformación en América Latina con los pelos de punta.

"Brasil ha sufrido mucho con las mentiras vistas en las redes sociales en los últimos años. Tenemos que fortalecer una red de la verdad. El gobierno lanzó esta semana una plataforma de verificación de datos y de combate a la desinformación. #BrasilContraFake", escribió.

Nadie cuestiona las dos primeras observaciones del líder izquierdista brasileño. Su país realmente vio el impacto de la desinformación masiva el pasado 8 de enero, cuando –de forma semejante a lo que pasó en Washington DC en 2021– miles de personas invadieron el Congreso, la Suprema Corte y el Palacio de Gobierno, creyendo en las noticias falsas que afirmaban que las elecciones habían sido fraudulentas.

Pero Lula se equivoca gravemente al celebrar que su gobierno ahora tenga una iniciativa de fact-checking. La idea es absurda y extremadamente peligrosa.

Los factores de poder no pueden ofrecer verificación sobre informaciones y datos que los afectan. Para que eso sea válido, es necesario que lo haga un equipo independiente. Lo demás es propaganda oficial disfrazada.

Desde 2016, el Código de Ética de la Red Internacional de Verificadores de Datos (la IFCN, por sus siglas en inglés) establece una serie de reglas claras para el trabajo de los fact-checkers. El objetivo es evitar que haya fact-checking de mala calidad –algo que empeoraría aún más el ya dramático escenario desinformativo en el que vivimos.

Para la IFCN, es indispensable que los fact-checkers sean transparentes en al menos tres aspectos: en la metodología que utilizan para escoger qué van (y qué no van) a chequear; en las fuentes que utilizan para determinar el grado de veracidad de las informaciones que analizan y en sus fuentes de financiación –para evitar que haya conflictos de interés en el camino de la más pura verdad factual.

Además de esto, la IFCN también exige de aquellos que se proponen hacer verificación de datos de forma honesta que tengan una política pública de corrección (para utilizar siempre y cuando se equivoquen) y que no sean partidistas.

Eso explica el susto que se llevó la comunidad de fact-checkers esta semana. Rompiendo todas las reglas del trabajo de verificación de datos, el gobierno brasileño busca asumir el papel de dueño de la verdad y está dispuesto a usar toda la maquinaria de Brasilia (más unos 5 millones de dólares de presupuesto) para distribuirlas.

Quienes cliquearon en el enlace ofrecido por Lula en su tuit del domingo encontraron un trabajo 100% alineado con los intereses de su gobierno. Una defensa de ministros y ministerios. La vieja y conocida propaganda política –de esta vez, empaquetada como la verdad.

Es la llegada al país más grande de América Latina de la peligrosa ola que ya se ha visto en México, Colombia, Perú y Ecuador. Algo contra lo que debemos alzar nuestra voz.

Datos recolectados esta semana por los miembros de LatamChequea, la red de verificadores de datos profesionales que reúne a más de 30 iniciativas de fact-checking en Latinoamérica, demuestran que los políticos de la región buscan dejar de ser tema de las verificaciones para pasar a ser sus productores. Y que están dispuestos a usar recursos públicos en esto.

El gobierno mexicano, por ejemplo, mantiene en internet dos plataformas que usan las famosas etiquetas de verdadero y falso para ofrecer a los ciudadanos propaganda.

Infodemia, lanzada en 2020, es una iniciativa del sistema público de radiodifusión del estado de México dedicada a amplificar las "verdades" del presidente Andrés Manuel López Obrador (AMLO). Sea en formato de audio, video o texto.

’Quién es quién’ es una especie de sección en la famosa "mañanera" que el político ofrece en directo, por las redes, todos los días. Pasó a ser un espacio utilizado por AMLO para incluso atacar a la prensa que investiga su administración.

En noviembre del año pasado, el Centro Latinoamericano de Investigación Periodística (CLIP) hizo un análisis sobre la calidad del trabajo ofrecido por esas dos iniciativas mexicanas y reveló que los chequeos de Infodemia y ‘Quién es Quién’ suelen manipular hechos en favor del gobierno y del partido oficialista Morena. También consumen dinero público para funcionar y se aprovechan del sofisticado aparato de propaganda oficial.

En Perú y en Colombia, las incursiones del poder en el universo del fact-checking también existieron, pero fueron puntuales.

Los organismos electorales peruanos (autónomos, pero parte del Estado) lanzaron páginas con "verdades" sobre las elecciones en 2021. Según la Oficina Nacional de Procesos Electorales (ONPE), fueron 217 "chequeos", una labor que "alcanzó mucha audiencia a nivel de plataformas digitales". En privado, los verificadores reclaman por la baja calidad de la información ofrecida.

En Colombia, una iniciativa de chequeo gubernamental se mantuvo activa durante el paro de 2021 y llegó incluso a difundir la narrativa de que los verificadores eran en realidad los verdaderos desinformadores en acción. ColombiaCheck reaccionó explicando en detalle cómo realiza su trabajo.

Y en Ecuador si no fuera por la acción inmediata de los verificadores locales, el gobierno tendría también su página de "verdades". En un editorial muy impactante, María Sol Borja, editora política de GK, subrayó que el fact-checking tiene como ingrediente indispensable ser independiente del poder. Y que el poder jamás podría ejecutar una verificación de calidad.

Para los que viven en Estados Unidos, toda esta charla puede parecer lejana y fuera de contexto. Pero no lo es. Desde 2016, políticos en campaña usan el fact-checking como arma para conseguir votos. Hillary Clinton dedicó la homepage de su sitio a esto. Y nada indica que no habrá "fact-checking partidista" en 2024.

Imaginemos ahora cómo sería la reacción de los estadounidenses si el presidente Joe Biden, en disputa por la reelección, asumiera el papel de verificador de datos nacional y pusiera toda la maquinaria de la Casa Blanca para repartir sus verdades. ¿Quiénes en Estados Unidos se callarían? ¿Quiénes aceptarían? Dedícale unos minutos a esa reflexión.

Fuente: univision.com

CUMPLIMIENTO DE LAS NORMAS PCI-DSS ¿QUÉ SE ESTÁ HACIENDO PARA MEJORARLO?

Esta normativa requiere que las organizaciones que manejan información de salud implementen medidas de seguridad para protegerla de los ciberataques. Estas medidas incluyen el uso de contraseñas seguras, el cifrado de datos y la capacitación del personal en seguridad.

 

La situación actual sobre las Normas PCI DDS es mixta. Por un lado, hay un creciente reconocimiento de la importancia de estas normas y un aumento en el número de empresas que están trabajando para cumplirlas. Por otro lado, todavía hay muchas empresas que no están cumpliendo con las normas, lo que las pone en riesgo de sufrir ataques cibernéticos y pérdidas financieras.

LA NORMATIVA PCI DSS

La normativa PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de estándares de seguridad para la protección de datos de tarjetas de crédito. Esta normativa es obligatoria para todas las empresas que almacenan, procesan o transmiten datos de tarjetas de crédito, ya sean físicas o virtuales.

TIPOS DE SOLUCIONES PCI DSS

Hay una variedad de soluciones PCI disponibles en el mercado, que van desde soluciones de software a servicios gestionados. Las organizaciones deben elegir una solución PCI que se adapte a sus necesidades específicas.

• Soluciones de software: Las soluciones de software PCI son soluciones que se instalan y configuran en los sistemas informáticos de la organización. Estas soluciones pueden proporcionar una variedad de funciones de seguridad, como la detección y eliminación de malware, la gestión de contraseñas y la protección de datos en tránsito.

• Servicios gestionados: Los servicios gestionados PCI son servicios que proporcionan una solución PCI completa, que incluye la instalación, configuración, mantenimiento y actualización de la solución. Estos servicios pueden ser una buena opción para las organizaciones que no tienen los recursos o los expertos necesarios para gestionar su propia seguridad de datos de tarjetas de pago.

¿CÓMO CUMPLIR CON LAS NORMAS PCI DSS?

Las Normas PCI DSS son un conjunto de requisitos complejos y detallados. Para cumplir con las normas, las empresas deben realizar una evaluación de riesgos para identificar los datos de tarjetas de pago que almacenan, procesan o transmiten. A partir de esta evaluación, las empresas deben implementar las medidas de seguridad necesarias para proteger estos datos.

Las empresas también pueden optar por contratar a un tercero para que realice una evaluación de cumplimiento de PCI DSS. Un tercero puede ayudar a las empresas a identificar las áreas en las que no cumplen con las normas y a desarrollar un plan de cumplimiento.

¿CÓMO ELEGIR UNA SOLUCIÓN PCI?

Al elegir una solución PCI, las organizaciones deben considerar los siguientes factores:

• Necesidades de seguridad: Las organizaciones deben evaluar sus necesidades de seguridad para determinar qué tipo de solución PCI es la más adecuada.

• Tamaño de la organización: Las soluciones PCI están disponibles para organizaciones de todos los tamaños. Las organizaciones deben elegir una solución que se adapte a su tamaño y presupuesto.

• Requisitos de cumplimiento: Las organizaciones deben asegurarse de que la solución PCI que elijan cumpla con sus requisitos de cumplimiento.

Autor: Anónimo

ANTIVIRUS POWERTECH PARA IBM i

DEFENSA CONTRA MALWARE PARA IBM i

El reciente aumento de los ataques de malware y ransomware ha puesto de relieve la necesidad de proteger los servidores (incluidos los servidores de Power Systems que ejecutan IBM i) de programas maliciosos. Powertech Antivirus para IBM i es una solución de escaneo creada para IBM i para brindar la seguridad, estabilidad y confiabilidad que las organizaciones modernas necesitan.

IBM i incluye funcionalidad incorporada para admitir el escaneo antivirus nativo, pero la plataforma no contiene un motor de escaneo. Como el único motor de análisis antivirus comercial nativo de IBM i, Powertech Antivirus llena ese vacío. Al integrarse perfectamente con el sistema operativo IBM i, Powertech Antivirus elimina muchos de los problemas que pueden introducir los motores de exploración que no se ejecutan de forma nativa en IBM i.

Ningún sistema operativo puede permitirse el lujo de estar desprotegido. IBM i se utiliza normalmente para aplicaciones y datos críticos. Esto significa que la amenaza de virus malware y ransomware supone un riesgo importante para su organización. Powertech Antivirus está diseñado para proporcionar el nivel de protección que sus servidores Power Systems necesitan.

ANTIVIRUS POWERTECH PARA IBM i

Diseñado específicamente para los sistemas de archivos utilizados por IBM i, Powertech Antivirus proporciona escaneo nativo del sistema de archivos que le permite escanear las estructuras del sistema operativo que no se encuentran en otras plataformas, como enlaces recursivos, para descubrir virus y códigos maliciosos dondequiera que se encuentren. Además de comprender los enlaces recursivos, Powertech Antivirus para IBM i le permite escanear objetos de IBM i en busca de firmas digitales modificadas (un signo de manipulación).

CARACTERÍSTICAS CLAVE

Escaneo de sistemas de archivos nativos para sistemas IBM i

Para encontrar virus donde se esconden, es importante usar una herramienta nativa para evitar fallas en el escaneo y problemas de seguridad. Powertech Antivirus está diseñado específicamente para escanear sistemas IBM i de forma segura y eficaz.

Elimine los problemas de rendimiento

Si no está utilizando un programa creado para IBM i, el proceso de escaneo de malware es lento y aumenta la carga de su red. Las soluciones de malware diseñadas para IBM i eliminan estas preocupaciones.

Protección mejorada contra ransomware

La detección de ransomware basada en el comportamiento protege a IBM i del ransomware que se origina en sistemas que acceden a IBM i a través de unidades compartidas. La detección híbrida sin firmas de última generación protege sus sistemas de ataques de malware conocidos y desconocidos.

Análisis heurístico avanzado

Powertech Antivirus utiliza una técnica llamada análisis heurístico para identificar virus no identificados previamente mediante características que a menudo los distinguen, como la modificación espontánea de archivos o la replicación.

Opciones de escaneo flexibles

Puede optar por escanear archivos dinámicamente a medida que se abren o Powertech Antivirus funciona con cualquier solución comercial de programación de trabajos, para que pueda decidir qué directorios escanear y cuándo escanearlos.

Escaneo de particiones

No pierda tiempo ni dinero instalando múltiples soluciones antivirus en toda su empresa. Powertech Antivirus garantiza que todas sus particiones de Linux, AIX e IBM i estén libres de malware, virus y gusanos.

Escaneo de integridad de objetos

IBM y otros proveedores firman digitalmente sus objetos, pero estos objetos todavía corren el riesgo de sufrir modificaciones. Cuando utiliza Powertech Antivirus para IBM i, puede escanear y detectar objetos modificados, programas parcheados y otras modificaciones no autorizadas en IBM i.

Informes de cumplimiento integrales

Powertech Antivirus informa sobre cualquier cosa que un auditor solicitaría, incluidos directorios escaneados, infecciones encontradas y actividad de limpieza/cuarentena. Toda la actividad de escaneo de malware se registra en el diario de auditoría del sistema y también se puede transmitir a su archivo syslog para obtener un seguimiento de auditoría claro.

Aportes de valor

Protección de datos y la información

Apoya en la protección los datos y la información confidencial de las organizaciones contra el robo o la destrucción.

Reducción de los riesgos de seguridad

Reduce los riesgos de seguridad que pueden afectar el funcionamiento de las organizaciones. 

Mejora de la eficiencia

Powertech para IBM i ayuda a mejorar la eficiencia de las organizaciones al reducir el tiempo y los recursos necesarios para la gestión de seguridad. 

Mayor tranquilidad

Proporciona a los usuarios una mayor tranquilidad, sabiendo que sus datos e información están protegidos.

Fuente:

fortra.com