Phishing y 8 de sus modalidades

Hola amigos, en esta ocación vamos a hablar sobre un tema de seguridad informática bastante delicado, el Phishing. Hablemos primero sobre el término.

Phishing se refiere a la captación de datos personales realizada de manera ilícita o fraudulenta a través de internet. Es una palabra del inglés que se origina de su homófona “fishing”, que significa ‘pesca’, en alusión al objetivo del phishing: pescar datos, ver “quién muerde el anzuelo”.

Ahora que conocemos que significa el término, hablemos sobre los tipos de phishing que los ciber delincuentes realizan

1. Phishing tradicional o Deceptive Phishing, también conocido como Phishing de clonado o de redireccionamiento:

Es la modalidad más común de phishing. El hacker se hace pasar por alguien conocido o por una entidad de confianza de la víctima. El objetivo es conseguir información personal o credenciales de acceso a un determinado sitio. Las dos formas más comunes de llevar a cabo este tipo de ataque son:

a) El usuario recibe un correo electrónico en el que el hacker se hace pasar por la entidad o ente de confianza. Una vez le ha contactado intenta sonsacarle algún tipo de información personal.

b) El usuario recibe un correo electrónico en el que se incluye un enlace que apunta a un sitio malicioso. Puede ser una página clonada cuya URL es prácticamente igual a la del sitio legítimo. Otra opción es que el ciber delincuente haya introducido algún tipo de iframe en una página legítima, aprovechando alguna vulnerabilidad de ésta. En cualquiera de los casos, el objetivo sigue siendo que engañar al usuario.

Phishing

2. Malware-Based Phishing:

Este tipo de ataque se caracteriza por el envío de correos electrónicos en los que se introduce una pieza de malware como archivo adjunto o como un descargable en el sitio web al que apunta el hipervínculo enviado por email y así poder aprovechar las vulnerabilidades del dispositivo del usuario. Este tipo de ataque es dirigido hacia las pequeñas y medianas empresas. ¿El motivo? Por lo general, el software no está siempre actualizado a la última versión y presenta mayores vulnerabilidades.

3. Spear phishing:

Muy parecido al anterior. En esta modalidad, el ataque suele ser mucho más personalizado. En algunos casos se llega incluso a incluir el nombre de la víctima, su posición, la compañía, el teléfono, etc. Además, suelen ir dirigidos a un número reducido de personas con cierto perfil dentro de una empresa (normalmente suele ser el eslabón más débil). El objetivo de este tipo de ataques suele ser más específico. Lo más común es que el vector de ataque utilizado sea el email, pero cada vez más, las redes sociales, están siendo también utilizadas.

4. Smishing (SMS):

Este tipo de phishing, a diferencia de en los casos anteriores, no es realizado por email, sino a través de Mensajes de texto cortos (SMS) en los teléfonos móviles. El delincuente informático suele hacerse pasar por un ente  de confianza y envía un sms informando al usuario de que ha ganado un premio, ofreciéndole participar en un sorteo o para ofrecerle algún tipo de atención/soporte. Para canjearlo, la víctima debe: Hacer clic en un hipervínculo, llamar a un número de teléfono o responder al mensaje

5. Vishing:

El término vishing viene de “Phishing de voz” e implica el uso del teléfono. En este tipo de ataque, o bien el delincuente informático establece centros de atención telefónica o directamente lanza él las llamadas. El delincuente informático se hace pasar por algún proveedor, operadora, un centro de soporte, un banco, etc. con el objetivo de recabar cierta información personal.

Phishing

6. Pharming:

Los cibercriminales manipulan los archivos hosts de una empresa o el sistema de nombres de dominio de la misma. Como resultado, las solicitudes de URL devuelven una dirección falsa y las comunicaciones se dirigen a un sitio web falso. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que está controlado por los cibercriminales.

7. Búsquedas del navegador:

Consiste en posicionar una página falsa por encima de la oficial mediante técnicas de SEO y SEM, para que cuando la víctima realiza una búsqueda, acceda a dicho resultado por error y, creyendo que se trata de la página legítima, introduzca en ella algún tipo de información.

8. Suplantación del CEO:

Consiste en hacerse con los credenciales del CEO o de cualquier otra persona con un cargo relevante dentro de la empresa para así, enviar un email desde su cuenta solicitando algún dato confidencial o la realización de una determinada transferencia/pago.

Ahora concoes 8 modalidades de este ataque, es bastante dificil saber cuando es un ataque y cualdo algo es verdadero, pero te dejo acá un enlace para que entres y puedas practicar como saber si es real o falso un email y fortalecerte y prácticar para no ser víctima de Phishing. Este entrenamiento es hecho por Google. Entrenar

6 razones por las cuales tu empresa debe invertir en Marketing Digital

Todas las empresas al rededor del mundo están en una constante lucha dentro su sector y buscan de manera exhaustiva incrementar sus ganancias, utilizando diferentes estrategias siendo el marketing digital uno de sus mejores aliados debido a los beneficios que otorga, esto debido a la visibilidad que brinda a las empresas con un público objetivo en momentos determinados,  dicha visibilidad es medible estadísticamente para poder hacer correcciones estratégicas en caso de ser necesario. Algunas de las principales razones por las que tu negocio debe invertir en marketing digital son:

1. Desarrollo de tu marca

Si una empresa no está en Internet  se dice que “no existe” ya que se ha probado que la mayoría de las personas buscan en Internet antes de comprar un producto o servicio en el mundo físico o digital. Esto es Implementar estrategias de marketing digital. También resalta el tener un sitio actualizado y con contenidos de calidad añadiéndoles valor con buenas campañas en redes sociales orientadas en los resultados que se desean obtener.

2. Los consumidores buscan la información

Son los usuarios que inician el vínculo al ser ellos quienes buscan la información haciéndolo más fuerte y directo, de igual forma con el marketing digital se puede llegar a un mercado objetivo más preciso consolidando un engagement motivando a los prospectos, a los clientes y a seguidores a tomar acción, teniendo la oportunidad de ofrecer la información continua y detallada sobre los productos o servicios.

3. Presencia permanente y visible.

Al estar de manera permanente en la red, la información está al alcance del usuario e implementando marketing digital se hace sin necesidad de ser invasiva, las relaciones son más duraderas y permite ajustar  en función a la demanda en tiempo real dependiendo de las reacciones de los consumidores

4. Medible

Con las estrategias de marketing digital se tiene la posibilidad de medir en tiempo real los alcances ya que el público interactúa, opina y responde sobre lo que le ofreces.

5. Impacto internacional

Al estar siempre en línea, disponible, con un buen plan de marketing digital se hace más fácil el expandirse a mercados internacionales, a nuevos mercados de manera simultánea dando la oportunidad de virilizarse en mercados a los cuales difícilmente se llegaría con marketing tradicional

6. Bajo costo

El costo de una estrategia de marketing tradicional es alto, puede ser por radio, periódico o TV, por otro lado el marketing digital está al alcance de todos, de cualquier negocio o empresa con una mínima inversión y se ajusta al mercado de manera puntual

En conclusión podemos decir que las ventajas del marketing digital se perfilan por el impacto de las nuevas campañas publicitarias donde se definen objetivos filtrando de manera directa e indirecta a empresarios y clientes disminuyendo costos para la empresa.

Si no aun no utilizas estas herramientas te invitamos a hacerlo hoy mismo.

Cómo protegerme de de ataques cibernéticos

Los ataques cibernéticos, o ciberataques, consisten en una seria de acciones cuyo objetivos son destruir o comprometer los sistemas informáticos de una organización. También puede tener como objetivo el acceso ilegal o robo masivo de datos personales, en este caso se denomina cibervigilancia.

Estas acciones delictivas se han vuelto cada día más frecuentes debido a la mayor presencia que tienen las empresas los gobiernos y los ciudadanos en Internet y con el mayor uso de sistemas y dispositivos conectados a la Red.

Los ataques cibernéticos pueden ser llevados a cabo tanto por distintos actores, que se mueven por las motivaciones más diversas:

  • Personas – los denominados hackers – que actúan de forma independiente, generalmente motivados por un beneficio económico.
  • Grupos organizados, con distintas finalidades, tanto criminales (terroristas), como ideológicas (activistas).
  • Gobiernos, en ataques que se enmarcan dentro de una estrategia de ciberguerra, dirigidos tanto a sistemas informáticos de otros gobiernos o a importantes activos públicos o privados.
  • Empresas privadas, en acciones de ciberespionaje.

Ahora que sabemos que es un ataque cibernetico t quienes los hacen, te daré unos consejos.

  1. Comprobar la procedencia de los correos electrónicos
    Una forma muy común de realizar los ataques cibernéticos es solicitarle información vía correo electrónico. Muchas veces no tomamos precauciones y respondemos a correos electrónicos desconocidos. Hacerlo es confirmar que la dirección de correo está activa, lo que da pie a que el ataque avance. Al ser amenazados caemos en la desesperación, pero muchos de estos ataques son automatizados y al que responda se le ataca con más fuerza ya que le han ganado su valor.
  2. Tener contraseñas fuertes
    Todos debemos cambiar las contraseñas con cierta periodicidad. De este modo evitamos inconvenientes y riesgos innecesarios. Además, dichas contraseñas deben ser una combinación de números, letras y caracteres especiales. De igual modo, se debería activar las opciones de seguridad, como por ejemplo, la autentificación de dos factores. Esta herramienta permite agregar una capa de mayor seguridad a la hora de iniciar sesión en sus cuentas.
  3. Tener conocimiento de los riesgos para prevenir ataques cibernéticos
    Muchas compañías realizan foros, talleres y charlas para explicar a los trabajadores del riesgo que representa los ataques cibernéticos. Este tipo de actividad permite que todos los miembros de la organización se mantengan informados durante los 365 días del año. Además evita que se cometan errores comunes. De igual manera si no pertenecemos a una de estas compañías debemos aprender a como securizar nuestra web o nuestras computadoras.
  4. Evitar visitar páginas sospechosas
    No todas las páginas en la web son seguras, por ello es preciso evitar las visitas a sitios desconocidos. En ocasiones, llegan invitaciones al correo electrónico o las redes sociales, aceptarlas podría representar un riesgo. Es necesario tener un antivirus y firewall activado y actualizado.
  5. No permitir que personas ajenas usen sus equipos
    Las visitas no deben tocar nuestros equipos sin permiso o supervisión. Es preciso supervisar que personas sin autorización los utilicen ya que no todas las personas tienen las mejores intenciones para nosotros o nuestros negocios.

La seguridad ante este tipo de ataques consiste muchas veces en prevención, de este modo podemos librarnos de los ataques cibernéticos que ponga en riesgo la estabilidad nuestra o de nuestro negocio.

Si quieres saber más sobre el tema de protegerte de ataques cibernéticos o ataques informáticos, te invitamos a ver el curso “Como hacer de mi web una muralla ante ataques informáticos” impartido por Luis Anaya en la plataforma de Udemy. Además te haremos un jugoso descuento del 91%. ¡No lo desaproveches!

Lo que ningún empresario te dice sobre las redes sociales

En los últimos años la presencia de las redes sociales ha tenido mayor protagonismo convirtiéndose en un medio de comunicación fundamental, gracias a ellas se logra compartir grandes cantidades de información entre personas y organizaciones en todo el mundo que se interconectan en plataformas como Facebook, Twitter, Instagram, YouTube entre otras. El vivir en un mundo interconectado de esta manera ha tenido grandes consecuencias tanto en el cambio de estilo de vida de las personas, la manera en cómo se comunican y la forma en que se deben administrar los negocios en un entorno globalizado.

Antes de la aparición de este “fenómeno” conocido como las “redes sociales” un buen producto promocionado a través del marketing tradicional o cara a cara era más que suficiente para generar relaciones a largo plazo con los clientes, pero en la actualidad conducir un negocio de manera eficiente sin que éste tenga presencia en redes sociales se convierte en algo muy difícil puesto que cuenta con una desventaja competitiva, ya que un gran porcentaje de relaciones entre consumidores y empresas se están creando y fortaleciendo a través de este tipo de plataformas virtuales, es por ello que independientemente el tamaño de la empresa se está volviendo cada vez más necesario tener presencia en las redes sociales.

Cuándo se menciona el hecho de tener “presencia en redes sociales” no se limita únicamente a crear una cuenta en cada red social y estar publicando ofertas o promoción mostrando el producto o servicio que se ofrece, se debe hacer con el ánimo de compartir información valiosa con los clientes, el uso de estas redes sociales se hace con la finalidad de buscar una mejor interacción con los consumidores a través de resolución de dudas, recibir algunas sugerencias y a su vez generar un entorno en el cual los clientes se sientan identificados y que al momento de tomar una decisión de compra se inclinen por aquella marca que les ha brindado un acompañamiento lo suficientemente bueno a través de dichas redes.

Muchos empresarios deciden invertir grandes cantidades de dinero utilizando medios masivos y tradicionales como TV y radio buscando resultados más rápidos;  sin embargo nuestra realidad difiere un poco, ya que TV y radio no tienen la misma relevancia como la tuvieron hace una o dos décadas, es claro que pueden ser medios complementarios para darle visibilidad a una empresa o producto, servicio o marca, pero las redes sociales bien utilizadas son fundamentales para generar un reconocimiento de producto en la sociedad actual debido a las diferentes segmentaciones que permite hacer (edad, geografía, genero, gustos y preferencias), a diferencia de los medios tradicionales donde se hacen esfuerzos para promover la marca a todos los espectadores en general sin importar si le generará interés o no.

El uso de las redes sociales es perfectamente aplicable tanto para pequeñas o grandes empresas, ya que si es una pequeña empresa y cuenta con pocos recursos hay muchas plataformas que permiten crear cuentas y comenzar a generar contenidos de manera gratuita para que de ésta manera se comience a crear una comunidad, obviamente, esto va a requerir algo de tiempo pero si se tiene a una comunidad bien administrada y fidelizada lo resultados mejoran y esto se puede ver reflejado en ventas.

Esta participación en redes sociales es a su vez ventaja competitiva que se podría aprovechar sobre  empresas que no tienen este tipo de  participación,  ya que no tienen comunidades fidelizadas en estas plataformas. Si es una empresa grande se puede generar feedback  invitando a otras personas a interactuar en tiempo real, cómo se puede ver, el mundo actual brinda de igual manera oportunidades tanto para pequeñas y grandes empresas y deben de aprovechar los beneficios que este tipo de plataformas ofrece.

Entonces podemos concluir que las redes sociales están al alcance de todos y son muy importantes en el funcionamiento de las empresas modernas ya que utilizando las de la manera correcta puede generar una conexión entre las personas y las empresas y esto a su vez se traduce en satisfacción, fidelidad, atracción de nuevos clientes, crecimiento sustancial de la empresa y mayores ganancias.

¿Quieres saber más acerca de las redes sociales en los negocios? ¡Entonces te recomendamos estar pendientes de este blog y este tema!

Que es un Hacker Ético

La palabra hacker ha sido tan mal usada en los medios de comunicación que la confundimos con cracker. Incluso la RAE registra en su primera acepción la de “pirata informático”, “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”. Eso justo es un cracker, según los expertos en ciberdefensa y del mundo de la seguridad informática.

Un hacker ético es una persona que usa de sus conocimientos avanzados en informática para hacer el bien. Su trabajo o afición (debería ser) es realizar pruebas en redes y sistemas y localizar vulnerabilidades. Una vez detectadas, se informa de ellas para que se tomen medidas y se solucionen.

El daño al sistema o sus usuarios nunca es una opción. Son hackers de sombrero blanco, los ‘buenos’ de la película. Tienen unos conocimientos y buscan sacarles partido haciendo el bien, como la mayoría de profesionales.

Frente a los hackers de sombrero negro, que buscan fallas de seguridad en sistemas a los que no han sido invitados para su enriquecimiento propio, y los de sombrero gris, que tienen su propio código ético pero buscan beneficio (reportar vulnerabilidades frente al CNI, FBI, Interpol, etc.), los de sombrero blanco buscan hacer más segura la red y los sistemas.

Un poco de Historia

Los programadores del MIT se hacían llamar asimismo «Hacker» como una forma de identificar su capacidad de hacer programas mejores y más eficaces, de una forma distinta a como se acostumbraba en ese entonces, siendo este el momento donde se relacionaba por primera vez la palabra «hacker» con el mundo de la informática.

Es así como el término «Hacker» se empezó a utilizar para describir «a toda persona que manipula o que posee conocimientos prácticos que modifican los usos de las cosas de modo que éstas puedan emplearse para fines no previstos en su origen» (Según Wikipedia).  Considero que ésta es la definición más apropiada, ya que la figura de «hacker» no está únicamente asociada al área de sistemas, informática o telecomunicaciones; también abarca cualquier área del quehacer humano, considerándose así «hacker» como una capacidad de reinventar una profesión o actividad, más que una profesión independiente.

La Real Academia Española (RAE) en el año 2014 incluyó por primer vez en el diccionario la palabra «Hacker», la cual definió como «Pirata Informático», describiéndolo como una «Persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta«, esta definición no sorprende en nada, ya que es la continuación de una tendencia errada en criminalizar el término «Hacker».

Luego a finales del año 2017, la RAE decide agregar otro significado, ésta vez totalmente distinto al inicial, destacándolo como una “Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”. Lo que motivó a la RAE a tomar esta decisión, fueron las observaciones y reclamos de la comunidad internacional de la seguridad informática, al ver como se criminalizaba un término que nada tiene que ver con actividades ciberdelictivas o ciberataques.

White Hat Hacker o Hacker Éticos.

Es todo lo contrario al Ciberdelincuente, es la antítesis del Black Hat Hacker. Su objetivo es mejorar los sistemas informáticos, identificando y corrigiendo vulnerabilidades o fallos de los mismos, con el fin de proteger el activo de la información dentro de una organización.

Su ética profesional radica, en que deben actuar previo acuerdo contractual con la empresa y organización dueña del sistema de información. Son también conocidos como Profesionales de la Ciberseguridad.

Atacar sistemas sin permiso

Con mucha frecuencia los hackers éticos no piden permiso a la hora de entrar a un sistema. Simplemente lo hacen y, cuando lo consiguen, avisan al responsable.

Los hackers éticos que están un paso adelante de los hackers maliciosos deben ser expertos en sistemas informáticos, con amplios conocimientos acerca de programación, redes y sistemas operativos.

Otro requisito es tener un conocimiento profundo sobre plataformas muy concretas (como Windows, Unix, Linux).

Paciencia, persistencia y una gran perseverancia son cualidades importantes que los hacker éticos requieren debido a cantidad de tiempo y nivel de concentración requerido para que la mayoría de los ataques den resultados. Conocimiento en redes, programación web y bases de datos son todos útiles en el trabajo del hacking ético y durante las pruebas de vulnerabilidad.

La mayoría de los hackers éticos son conocedores acerca de las áreas de seguridad y temas relacionados, pero no necesariamente tienen un gran dominio de las contramedidas que pueden prevenir ataques.

Ahora que conoces que es un hacker ético puedes solicitar sus servicios para proteger la red y sistemas de tu negocio.

Inbound marketing, incrementa tus ventas sin morir en el intento

¿Sabes que puedes incrementar de manera exponencial las ganancias de tu negocio online? Todo en cuestión de meses. Nos referimos a la utilización del inbound marketing, y trata de distintas técnicas de marketing digital no intrusivas implementadas de manera específica, que busca contactar con el usuario al inicio del proceso de compra, acompañarlo a la transacción de compa y brindarle seguimiento post venta, lo hace incrementando el número de visitantes de tu sitio web, y que estos visitantes se conviertan en contactos con lo que se tendrá un relación a largo plazo a través de generar comunicación efectiva, ya que se le estará dando seguimiento para darle información personalizada y se convierta en cliente.

El termino inbound marketing fue creado en 2005 por Brian Halligan y Dharmesh Shah marcando una Clara diferencia entre el outbound marketing que por otra parte consiste en la implementación de técnicas de comunicación intrusivas lo cual interrumpe de manera periódica y constante al cliente y sin su consentimiento, generando hostilidad y rechazo a la marca.

Por otra parte el inbound marketing ejecuta actividades que le resultan amigables al cliente y lo atrae de manera orgánica al generar interés debido a sus gustos y preferencias, pero ¿cómo funciona? lo dividiremos de manera simple en 5 fundamentos.

  • La atracción del tráfico.

El inbound marketing a través de la utilización estratégica de ciertas técnicas como lo son el marketing de contenidos, redes sociales, relaciones públicas, SEO (keywords, estructura y arquitectura del sitio web, no tener contenidos duplicados, monitorear links, entre otros), eventos, sorteos, dinámicas de viralización, entre otros, para el usuario que aún no conoce  tu negocio te visite. Esta primera fase es de vitalidad debido a que será la base de todo el proyecto, tener un gran volumen de visitas orgánicas hará que el inbound marketing funcione de manera correcta.

  • La convergencia

Cuando el usuario ha descubierto tu sitio web encontrando información de su interés y que anda buscando en ese momento en específico fácilmente brinda sus datos con la finalidad de seguir recibiendo más información sobre la empresa, sus productos o servicios, con esto las empresas tienen la oportunidad de crear su propia base de datos solida con la cual el proceso es eficiente crearse de manera totalmente orgánica. Se debe tener en consideración el desarrollo óptimo de formularios, los CTA (call to action / llamado a la acción) y landing pages (páginas de aterrizaje)

  • La automatización

Con técnicas de automatización de procesos de inbound marketing como lo es el mailing, chat bots, CTA’s (Call To Action) inteligentes y dinámicos, etc., puedes hacer llegar de manera específica la información a los usuarios teniendo en cuenta el feedback, de esta manera tendrás la oportunidad de hacer llegar a estos tus ofertas en el momento oportuno cuando el usuario esté preparado para ello.

  • La fidelización

El inbound marketing tiene como finalidad no solamente conseguir clientes sino más bien que éstos se conviertan en evangelistas de tu marca y están dispuestos a hablar de manera positiva de ella a sus amigos para que también ellos la descubran y consuman, a su vez le hablen a sus amigos sobre los beneficios que han recibido.

  •  El análisis

Debido a las diferentes herramientas de marketing digital qué se utilizan con el inbound marketing se tiene la oportunidad de hacer un mejor análisis para ver la evolución y progreso de estas y hacer en un determinado momento las correcciones oportunas.

“El secreto no es correr detrás de las mariposas…es cuidar el jardín para que ellas vengan hacia ti” Mário de Miranda Quintana

Que es un Pentesting

El pentesting es una acción constituida por un conjunto de “test de penetración”, o penetration tests, que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades. Están diseñados para clasificar y determinar el alcance y la repercusión de dichos fallos de seguridad. Como resultado de estos test podremos obtener una idea bastante coherente del peligro que corre nuestro sistema y de las defensas con las que contamos. Además, también podremos evaluar cómo de eficientes son dichas defensas.

Los pentests ayudan a determinar las posibilidades de éxito de un ataque; a identificar los fallos de seguridad que son consecuencia de vulnerabilidades de menor riesgo, pero explotadas de cierta manera; también dan pie a identificar otras vulnerabilidades que no son posibles de hallar con una red automatizada o software específico; y a comprobar la capacidad de los encargados de seguridad para detectar con éxito y responder a los ataques.

Tipos de Pentests: Caja Blanca, Negra y Gris

Hay algunas maneras de realizar pentesting, cada una de ellas tendrá una eficiencia diferenciada. Entre ellas, podemos destacar la White Box, la Black Box y la Gray Box.

Caja Blanca o White Box

La prueba White Box, o de “Caja Blanca”, es el Pentest más completo. Esto es porque parte de un análisis integral, que evalúa toda la infraestructura de red. En el caso de que se produzca un error en el sistema, es posible que, al iniciar el Pentesting, el hacker ético (o pentester, nombre dado a los profesionales que actúan con esas pruebas) ya posee conocimiento de todas las informaciones esenciales de la empresa, como topografía, contraseñas, IPs, logins y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, etc.

Con estas informaciones preliminares, la prueba puede dirigir certero su ataque y descubrir lo que necesita ser mejorado y reorientado. Por ser un volumen alto de información preliminar, generalmente este tipo de Pentest es realizado por miembros del propio equipo de TI de la empresa.

Caja Negra o Black Box

La prueba Black Box, o “Caja Negra”, es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información disponible sobre la corporación. Aunque sea dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, el Pentest de Caja Negra es el más cercano a seguir las características de un ataque externo.

Dadas estas características, sin gran mapeo de informaciones, actuará de forma extremadamente similar a la de cibercriminales – lo que es una gran experiencia, si no parte de forma maliciosa y sirve apenas como un método de reconocer fragilidades en la estructura de red.

Caja Gris o Gray Box

Definido como una mezcla de los dos tipos anteriores, el Gray Box – o “Caja Gris” – ya posee cierta información específica para realizar la prueba de intrusión. Sin embargo, esta cantidad de información es baja y no se compara a la cantidad de datos disponibles en un Pentest de Caja Blanca.

Dada esta forma, la prueba de Caja Gris invertirá tiempo y recursos para identificar tales vulnerabilidades y amenazas, basándose en la cantidad de información específica que tiene. Es el tipo de Pentest más recomendado, si existe la necesidad de contratar alguno de estos servicios.

¿Qué actividades comprende un Pentesting?

Un Pentesting comprende múltiples etapas con diferentes tipos de actividades en distintos ámbitos y entornos. La profundidad con que se lleven a cabo las actividades dependerá de ciertos factores, entre los que se destaca el riesgo que puede generar hacia el cliente alguno de los métodos que se apliquen durante la evaluación.

Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis, que se describen a continuación:

Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande. Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a lo largo de las siguientes fases. La información que se busca abarca desde nombres y direcciones de correo de los empleados de la organización, hasta la topología de la red, direcciones IP, entre otros. Cabe destacar que el tipo de información o la profundidad de la pesquisa dependerán de los objetivos que se hayan fijado en la auditoría.

Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de ataque. Esta etapa involucra el escaneo de puertos y servicios. Posteriormente se realiza el escaneo de vulnerabilidades que permitirá definir los vectores de ataque.

Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los usuarios, nombres de equipos, servicios de red, entre otros. A esta altura de la auditoría, se realizan conexiones activas con el sistema y se ejecutan consultas dentro del mismo.

Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el auditor para comprometer el sistema.

Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la manera de preservar el sistema comprometido a disposición de quien lo ha atacado. El objetivo es mantener el acceso al mencionado sistema perdurable en el tiempo.

Si bien las fases que componen a la operatoria de un Pentesting son las mencionadas anteriormente, cabe señalar que a partir de los resultados obtenidos se genera la documentación correspondiente con los detalles que comprendieron la auditoría. Esta documentación es la que verá el cliente, y es la que servirá como guía para tomar las decisiones futuras pertinentes.

Finalmente, es importante tomar los recaudos necesarios para evitar sufrir ataques e incidentes en la empresa o negocio. Asimismo la seguridad debe ser gestionada contemplando la necesidad de la realización de auditorías cada cierto tiempo, el cual se considere adecuado para nuestra empresa o negocio.

¿Como está la seguridad de tu empresa o negocio? ¿Ya has realizado un Pentesting? ¿Estas pensando en hacer un Pentesting? ¡Cuentanos más sobre lo que quieres hacer con respecto al tema del Pentesting!

Que es HUMINT

Human Intelligence (HUMINT), es la recolección de información por personal especialmente entrenado, por medio de contacto interpersonal ,usando una variedad de tácticas y métodos tanto activos como pasivos, cuyo objeto son otras personas de las cuales se puede extraer información o colaboración para obtenerla.

La Inteligencia de fuente humana (HUMINT), es la más antigua y tradicional, han sido, son los espías, infiltrados, agentes secretos, informadores, entrevistas, interrogatorios. Existen varios tipos:

Oficial de Enlace:
Es un miembro del servicio secreto acredito en una embajada, su misión es relacionarse y recibir o aportar con sus homólogos de ese país, en ocasiones puede ejercer de Jefe de inteligencia de las actividades de esas embajada en ese país.

Agente Operativo:
Seguimientos, introducciones en edificios para colocar escuchas, acciones operativas, dependiendo de los escrúpulos del servicio puede encargarse de asesinatos selectivos.

Infiltrado o Topo:
Se introduce en organizaciones terroristas, criminales o en otros servicios de inteligencia, empresas con el objetivo de obtener información, desestabilizar, o llegar a otro tipo de acciones asesinatos, sabotajes.

Agente de Campo:
Es el espía que se introduce en un país o determinada zona con el objeto de recoger información, de determinados objetivos o crear una red propia de colaboradores e informadores.

Informador o colaborador:
No es un miembro del servicio de inteligencia pero desde su posición, o puesto de responsabilidad dentro de una organización, transmite información.

La necesidad que tiene cualquier organización, ya sea pública o privada, de anticiparse a su competidor o adversario, ha provocado que siempre sea prioritario el conocer sus intenciones: ¿qué tiene pensado hacer?, ¿cómo lo hará?, ¿en dónde?, etc.

Este conocimiento, en la mayoría de las ocasiones solamente es posible conseguirlo mediante la intervención del agente de inteligencia humana (HUMINT), la mayoría de las veces denominado como espía.

Desde tiempos ancestrales, los grandes dirigentes y militares se han rodeado de hombres y mujeres de confianza que le han proporcionado la información necesaria para tomar sus decisiones. Estos datos se han obtenido mezclándose entre la gente, hablando con todos, pero sin decir nada, infiltrándose entre los enemigos.

Lo que al principio estaba orientado únicamente a la esfera política y militar se ha ido extendiendo cada vez más a la actividad empresarial. Esto es debido a que conocer las intenciones de nuestros competidores, así como prevenir posibles fugas de información de nuestra empresa, se traduce en beneficios económicos.

Hoy en día la sociedad está cada vez más basada en la tecnología, y existe la creencia generalizada de que esta protege nuestros activos (ya sea a nivel particular como a nivel empresarial) de una manera segura. Pero la realidad es otra completamente distinta.

Con bastante frecuencia oímos noticias sobre fugas de información de una empresa a otra, de servicios de inteligencia que tienen información supuestamente clasificada, de famosos que ven cómo sus intimidades salen a la luz o políticos que ven truncadas sus carreras porque se airean ciertas indiscreciones… Y normalmente, detrás de todo esto se encuentra la mano (y el oído) del hombre… El HUMINT.

Pero ¿tenemos claro que tipo de actividades se llevan a cabo en HUMINT? ¿Son de aplicación en el ámbito civil y empresarial o quedan circunscritas únicamente a los servicios de inteligencia?

Para responder a la pregunta anterior primero hay que saber cuales son las actividades HUMINT típicas, y que están relacionadas con la fuente de la que se obtiene información, que como se ha dicho al principio son personas.

Aunque las clasificaciones, en muchas ocasiones, solo valen para el que las hace, una bastante aceptada sobre las actividades HUMINT es la siguiente:

Entrevistas.
Actividad en la cual una persona facilita, consciente o inconscientemente, información, conociendo o no la verdadera identidad de su interlocutor y la importancia de la información que esta facilitando.

Interrogatorios.
Actividad en la cual se intenta obtener información de manera sistemática de personas detenidas o capturadas, sin su consentimiento.

Gestión de contactos y de agentes.
Aunque hay diferencias entre agentes y contactos, en líneas generales, esta es una actividad en la que se intenta captar personas para obtener información sobre un organización o individuos concretos.

Relaciones de enlaces de inteligencia.
Es una actividad que consiste en el intercambio de personal entre dos organizaciones, amigas o neutrales, para facilitar el trasvase de información.

Vigilancia
Actividad consistente en la obtención de información sobre personas, lugares o actividades de interés, de manera continua y que se puede prolongar en el tiempo.

Reconocimiento
Actividad de obtención de información llevada acabo de manera puntual sobre determinados puntos o zonas de interés. El reconocimiento, al contrario que la vigilancia, no es continuo en el tiempo.

Las actividades HUMINT, anteriormente citadas, las podemos dividir en dos bloques: un primero en el cual existe contacto directo e interacción con la fuente, mientras que en la vigilancia y el reconocimiento no lo hay.

¿Sabías esto, practicas HUMINT en tu negocio o empresa? ¿Lo comenzarás a utilizar?

Importancia del diseño gráfico para el crecimiento y posicionamiento de la empresa

Este es el primero de una serie de artículos relacionados que te darán información de la importancia del diseño gráfico aplicado a redes sociales, sitio web, documentos y en aplicación general para tu empresa.

La identidad corporativa es la representación o imagen conceptual que un espectador tiene de una organización o de una empresa, la imagen corporativa es una parte de la identidad de la empresa que hace referencia a los aspectos visuales de dicha representación y fácil reconocimiento. La identidad corporativa no trata sólo del logotipo de la empresa como suele confundirse con frecuencia, la identidad corporativa es la imagen, las sensaciones, las emociones, la filosofía y los valores que la empresa transmite al exterior y por extensión, la representación de todo ese conjunto de elementos que se quieren trasmitir a los clientes y público en general.

La identidad corporativa de una empresa abarca tanto aspectos de carácter estético que la representa visualmente como: logotipo, tipografías, colores, papelería corporativa, los elementos de comunicación externa e interna, publicidad, protocolo, arquitectura corporativa, como aspectos intangibles, por ejemplo, la filosofía de la propia organización o empresa, su misión y sus valores, además de otros factores claves para la empresa.

Algunas personas no le prestan el interés adecuado a este aspecto esencial de la empresa, pero la realidad es que mediante el diseño gráfico se capta la atención de las personas y de ahí se define si será el primer y último acercamiento a la empresa como clientes o clientes potenciales.

Es un hecho es que, si el diseño resulta ser creativo, al público que queremos alcázar les será de interés y atrapará su atención para conocer más acerca del servicio, producto o en general lo que queremos comunicar. Al final esto es lo nuestro principal objetivo.

De lo contrario, sólo verán una imagen poco interesante y aburrida.

Pero la creación de una imagen empresarial no es algo sencillo.

Es todo un proceso en el que previamente se necesita una investigación para poder saber a qué tipo de público va dirigido el producto, su edad, el nivel sociocultural, entre otros aspectos que dan pie a la segmentación.

Todo con el fin para poder darle a la imagen un mayor impacto en los usuarios y poderles crear un deseo de atracción y adquisición.

Dejaré el tema hasta acá, mantente pendiente de la continuación que publicare en días próximos.

Lo que debes saber antes de crear tu negocio online

En un mercado tan dinámico como lo es el del negocio, en un plano digital se observa una enorme cantidad de proyectos e ideas originadas en medio de la crisis, pero de igual manera dentro del conglomerado de grandes ideas y proyectos existen muchas dificultades por las que los emprendedores deben pasar con su negocio y de lo cual nadie le gusta mencionarlo, a continuación te mostraremos algunos aspectos a evaluar para tu emprendimiento.

Elige bien tu negocio.

Tienes que saber identificar qué tipo de producto o servicio es en el que te estarías especializando, identificar a tu mercado meta o audiencia, canales de comunicación (conocer las redes sociales y su uso óptimo),  canales de distribución, expectativas del mercado, agente diferenciador entre lo que tú y la competencia ofrecen, etc.

Administrar eficientemente tu negocio.

Esta es una parte complicada para muchos, hay quienes buscan en físico o por Internet cursos sobre administración para su negocio, que vayan de acuerdo al tipo de empresa que se están emprendiendo. Haz presupuestos y haz proyecciones, hay que tener en cuenta los gastos iniciales, los gastos del producto y proyectar una ganancia; es de aclarar que durante esta parte, en los primeros meses probablemente no se perciban grandes ganancias, puesto que está abriéndose pasó en el sector y ganando visibilidad poco a poco.

Administrar eficientemente tu negocio

Has un buen plan de marketing.

Para poder realizar esto de manera eficiente es de vital importancia que conozcas el sector al que pertenece tu negocio, las ventajas y desventajas competitivas de éste, conocer tu oferta, conocer tu mercado objetivo, sus gustos, preferencias, necesidades y deseos, posibles aliados estratégicos, canales de comunicación sólidos para desarrollar un feedback (retroalimentacion) eficiente.

Aprende de tus errores.

A pesar de que tengas un plan de marketing sólido, una gran idea de negocio y los mejores aliados, siempre existe la posibilidad de que cometas algún error o suceda algún inconveniente. Pero no dejes que eso te desanime, sino más bien levántate, analiza cual es la raíz del problema y has las correcciones necesarias. Recuerda que cada fracaso te acerca un paso más al éxito.

Sal de tu zona de confort.

Con el tiempo y mucho esfuerzo llegarás a consolidar tu negocio como una empresa bien posicionada, ya que tus procesos marcharán bien, tendrás una cartera de clientes sólida y esto se verá reflejado en mayores ganancias. Pero así como lo inculca la cultura japonesa con su filosofía “kaizen”, debes estar en constante búsqueda de mejora continua, no es porque tu empresa esté mal sino porque siempre hay algo que se puede mejorar; ampliar la cartera de productos o servicios que se ofrecen, mejorar el canal de comunicación y distribución, mejorar en los tiempos de espera, etc.

Cree en ti y en tu negocio.

Este es un paso que nunca debe faltar al emprender en tu negocio online, pero que será muy complicado en algunas etapas. ¡No te rindas!

Los emprendedores se caracterizan por ser personas osadas, y tener la seguridad en sí mismos es determinante para conseguir el éxito. ¡Atrévete, da el salto, ponte en marcha para hacerlo realidad!

¡Quien no arriesga no gana!