La época más maravillosa del año … para los ataques y los atacantes

Diciembre de 2021 – Esta es la época del año más maravillosa para los atacantes. Entre las fiestas navideñas y el aumento del gasto en línea en las semanas previas a las vacaciones de fin de año, las oportunidades están listas para los malos actores que buscan aprovecharse de los compradores y las aplicaciones de comercio.

Los investigadores de seguridad de F5 Labs encontraron que muchas de las campañas de amenazas ingresaron a una red con algo tan simple como un correo electrónico de phishing, aprovechando a los usuarios que buscaban descuentos en las bandejas de entrada utilizando el lenguaje empleado por los minoristas en las promociones. Además, los casos de ataques a aplicaciones web, como los ataques DoS y DDoS, también aumentaron a medida que los atacantes intentaban interrumpir las ganancias de los minoristas en línea.

Para salvaguardar la experiencia de compras navideñas de los clientes y garantizar que las aplicaciones críticas para el negocio permanezcan activas, es esencial proteger las aplicaciones contra los tipos de ataques comunes que afectan a las empresas minoristas y de comercio electrónico durante el período de compras navideñas. Algunas estrategias que ayudarán a su organización a lidiar con los ciberataques navideños son las siguientes:

Suplantación de identidad (Phishing) – En todo el mundo, el phishing sigue siendo el medio de ataque más común o uno de los vectores de ataque más comunes para los ciberdelincuentes. En 2020, el número de ataques de phishing se duplicó con respecto al año anterior y, desde entonces, el número se ha mantenido en un nivel constante pero alto. Y, lamentablemente, esta forma de ataque sigue siendo tan frecuente porque funciona.

Los ciberdelincuentes pueden aprovecharse de los compradores que buscan ofertas enviando correos electrónicos que les resultan familiares a los compradores de las festividades. Y no se detiene en los correos electrónicos: los atacantes pueden enviar mensajes de texto falsos («Smishing») o incluso incrustar códigos QR maliciosos en correos electrónicos y promociones en redes sociales («Quishing»). Los correos electrónicos y mensajes de texto con lenguaje urgente que se suma a la locura de las compras navideñas pueden hacer que incluso los usuarios más expertos en amenazas hagan clic en enlaces de phishing en correos electrónicos, lo que pone en peligro las redes y la entrega de malware.

F5 SSL Orchestrator puede ayudar a la organización a detener los ataques de phishing antes de que dañen su red. Al descifrar las cargas útiles cifradas (como las comunicaciones por correo electrónico y redes sociales, que aprovechan en gran medida los certificados TLS), SSL Orchestrator puede obtener visibilidad de las cargas útiles cifradas para buscar malware. Por lo tanto, cuando un usuario hace clic en un enlace de phishing disfrazado de acuerdo para compras navideñas, el paquete será inspeccionado, identificado como malware y bloqueado para que no atraviese e infecte su red.

Con una suscripción complementaria F5 Secure Web Gateway Services, su organización también puede impedir que los usuarios accedan a sitios web que contienen descargas de malware. Dado que la base de datos de F5 SWG Services se actualiza constantemente y muchos sitios maliciosos se crean y eliminan en cuestión de días, siempre se le garantizará la protección contra las últimas páginas web de phishing.

Ataques de credenciales- El phishing no es el único tipo de ataque al que los minoristas en línea son vulnerables durante esta temporada de compras de alto tráfico. Las amenazas de credenciales, como los ataques de fuerza bruta, el relleno de credenciales y las credenciales filtradas, también pueden plantear riesgos graves para los clientes y dar lugar a adquisiciones de cuentas. Y nada causa estragos en la experiencia de compra navideña de un cliente como el fraude y el robo de tarjetas de crédito.

Afortunadamente, hay varias formas de detener un ataque de credenciales antes de que cause un daño inmenso. Si bien no es del todo inevitable, las credenciales filtradas son un pilar del mundo digital primero. F5 Leaked Credential Check es un complemento de F5 Advanced WAF que evita que las credenciales filtradas o robadas se utilicen para acceder a las aplicaciones, detectando y mitigando automáticamente el uso comprometido de las credenciales para que los clientes puedan realizar las compras navideñas sin temor a fraudes y robo de identidad.

Otra forma de prevenir la filtración o el robo de credenciales es utilizar Shape Authentication Intelligence, que identifica a los usuarios de confianza para que su compra sea una experiencia rápida, segura y sin fricciones. Esto se logra aprovechando la inteligencia artificial, con un análisis avanzado para identificar a los usuarios confiables que regresan a su sitio web y autenticarlos sin problemas y de forma segura. La solución ofrece una recomendación en tiempo real para bloquear o permitir el acceso del usuario cada vez que se inicia una sesión, lo que garantiza que incluso si un atacante roba credenciales, no podrá acceder a la aplicación. Esto garantiza que solo los compradores reales puedan usar las credenciales para comprar en la tienda en línea.

Es esencial determinar si el inicio de sesión lo origina un bot o un humano y si la solicitud de inicio de sesión se realiza con intenciones malintencionadas o benignas. Bot Defense ofrece defensas dedicadas basadas en resultados que protegen los activos críticos de ataques sofisticados, salvaguardando las cuentas de adquisiciones y detener los ataques de relleno de credenciales, protegiendo a los clientes del fraude.

Con el desafío de las defensas de seguridad contra los ataques automatizados, los ciberdelincuentes continúan su explotación para iniciar la sesión manualmente en las cuentas o incluso aprovechar los clics humanos para eludir las soluciones anti-automatización. Al monitorear las transacciones a lo largo de todo el recorrido del usuario, incluso después de un inicio de sesión exitoso, la protección de la cuenta identifica la intención del usuario y detecta la actividad maliciosa para detener el fraude antes de que suceda. Account Protection funciona con un motor de inteligencia artificial de circuito cerrado y una telemetría unificada a gran escala basada en más de mil millones de transacciones por día.

Ataques a aplicaciones web – Durante la temporada navideña, también se ve un aumento en el tráfico hacia los minoristas en línea, también es crucial proteger las aplicaciones web para garantizar que los compradores puedan continuar accediendo y navegando en el sitio y obtener una experiencia sin fricciones. Los ataques contra las aplicaciones web, como los ataques DoS y DDoS, pueden reducir los flujos de ingresos de compras navideñas y generar frustración y fricción para el usuario final.

F5 proporciona una línea de firewalls de aplicaciones web con tecnología de motor F5 WAF robusto para ayudar a proteger las aplicaciones críticas para el negocio.

F5 Advanced WAF protege las aplicaciones con análisis de comportamiento, cifrado de la capa de aplicación y defensa proactiva de bots. Protege contra ataques DoS sofisticados. También puede bloquear direcciones IP específicas utilizadas en ataques a aplicaciones web con el complemento F5 IP Intelligence.

NGINX App Protect WAF protege las aplicaciones y API de arquitectura moderna de los últimos y más avanzados ataques y métodos de exfiltración de datos. Aprovecha los controles de seguridad transferidos directamente desde F5 Advanced WAF. NGINX App Protect DoS protege para que las empresas defiendan las aplicaciones web modernas contra ataques diseñados para hacer que éstas no estén disponibles. NGINX App Protect DoS protege a las organizaciones en contra de ataques DoS difíciles de detectar y aprovecha un modelo de configuración para simplificar la seguridad DoS para aplicaciones modernas. Y a medida que la solución se defiende contra más ataques, aprende y se adapta en consecuencia.

Y para una solución SOC completamente administrada para la implementación en un entorno híbrido o multinube hay que considerar Silverline Web Application Firewall y Silverline DDoS Protection.

Silverline Web Application Firewall es un servicio administrado que protege las aplicaciones de ataques de capa 7, ataques de día cero, y relleno de credenciales. Silverline DDoS Protection elimina los ataques de nivel de red y basados en firmas mientras se defiende contra ataques volumétricos de múltiples terabits y ataques de Capa 7. Como complemento, Silverline Threat Intelligence Service puede detectar y bloquear las direcciones IP utilizadas en los ataques DDoS para garantizar que se evite que los delincuentes cometan futuros ataques.

Investigación de IDC encuentra que los beneficios económicos de la adopción de UiPath aumentarán de $ 7 mil millones en 2021 a $ 55 mil en 2025

IDC predice que el uso de UiPath y su ecosistema generará $ 5 mil millones este año y $ 16,4 mil millones para fines de 2025

Diciembre de 2021 – UiPath (NYSE: PATH), una empresa líder en software de automatización empresarial, anunció una nueva investigación de IDC que examina las contribuciones de la automatización de procesos robóticos (RPA) de UiPath a la economía global. El White Paper de liderazgo intelectual de IDC encargado por UiPath, «El impacto económico de la automatización robótica de procesos de UiPath», establece que «los beneficios económicos esperados por el uso del software RPA por parte de los clientes de UiPath crecerán a un ritmo vertiginoso, de $ 7 mil millones en todo el mundo en 2021 a $ 55 mil millones en 2025”. Parte de este crecimiento se debe a los nuevos empleos netos que está creando UiPath; IDC prevé que para 2025 se crearán 73.000 nuevos puestos de trabajo a partir del uso de UiPath RPA.

La coautora del informe, Maureen Fleming, y vicepresidenta del programa de IDC de investigación de automatización de procesos inteligentes, comentó: “Solo el 7% de los trabajadores de tareas habilitados digitalmente se han visto afectados por el uso de RPA. A la tasa de adopción proyectada de este estudio, los trabajadores de tareas afectados crecerán a una tasa de crecimiento anual compuesta del 70% entre 2020 y 2025, lo que representa el 10% de los trabajadores de tareas afectados. RPA ni siquiera está en la «rodilla de la curva» de adopción. Los resultados del estudio muestran que RPA está tocando millones de dólares de ingresos comerciales globales, creando miles de empleos y abriendo miles de millones de dólares en oportunidades para los socios del ecosistema”.

El estudio también encontró que:

La automatización es un creador de trabajos en red

Como ocurre con cualquier tecnología nueva, la automatización puede causar miedo en una organización. ¿Los robots de software aceptarán trabajos? ¿La automatización aumentará el desempleo? ¿Qué depara el futuro? Si bien RPA automatiza el trabajo manual, el crecimiento económico impulsado por los mercados emergentes crea nuevos puestos de trabajo.

IDC estima que se obtienen dos puestos de trabajo por cada trabajo perdido a causa de la RPA y, en función de cómo avanza la RPA, la proporción podría cambiar con el tiempo a cuatro puestos de trabajo ganados por cada trabajo perdido.

La automatización allana el camino para ayudar a desbloquear oportunidades profesionales

A medida que las empresas continúan priorizando los esfuerzos de transformación digital, están mejorando cada vez más las habilidades de sus empleados en RPA para desbloquear el potencial de productividad e innovación que ofrece la automatización.

Según el informe, de los encuestados de UiPath:

• El 68% de los trabajadores calificados tenían salarios más altos que antes

• El 57% de los trabajadores calificados tenían roles más altos en sus empresas que antes

• El 50% de la mano de obra nueva agregada como resultado de la RPA provino de nuevas contrataciones y el 50% de trabajadores calificados

Tom Clancy, vicepresidente senior de aprendizaje de UiPath, señaló: “La automatización desbloquea la productividad de los trabajadores y, lo que es más importante, los libera para que se centren en un trabajo significativo que sea creativo, colaborativo y estratégico. Al igual que las nuevas tecnologías anteriores, la RPA y la IA crearán nuevas oportunidades laborales. Y es por eso que es fundamental que las empresas brinden capacitación y acceso a la automatización y otras tecnologías digitales para crear empleados más satisfechos y llenos de energía”.

El ecosistema de socios de UiPath impulsa la aceleración del crecimiento en todo el mundo

Los beneficios de RPA de UiPath también los brinda su ecosistema de más de 4.700 socios que ofrecen productos y servicios adicionales para fomentar el desarrollo de habilidades y respaldar las implementaciones de los clientes. Este soporte de RPA puede ser tan básico como las conexiones de red o el almacenamiento en la nube, o tan complejo como la consultoría empresarial estratégica, las evaluaciones organizativas de recursos humanos o el soporte para la creación de centros de excelencia de RPA.

IDC predice que el uso de UiPath y su ecosistema asociado generará $ 5 mil millones este año y $ 16,4 mil millones para fines de 2025. IDC también estima que UiPath y su ecosistema asociado empleará a más de 40,000 para fines de 2025 y generará $ 52,1 mil millones en oportunidad de ingresos entre 2021 y 2025.

Thomas Hansen, director de ingresos de UiPath, agregó: “El ecosistema de socios de UiPath extiende el poder de nuestra plataforma de automatización líder a empresas de todos los tamaños, en todas las industrias, y ayuda a hacer posible el éxito del cliente. A medida que UiPath crece, también lo hacen nuestros socios, y estamos comprometidos a proporcionar a nuestro ecosistema de socios en expansión las herramientas y el apoyo necesarios para capacitar a todos los trabajadores para que tengan éxito en los trabajos del futuro”.

Descargue una copia gratuita del Informe técnico de liderazgo intelectual de IDC, El impacto económico de la automatización robótica de procesos de UiPath, aquí.

* Informe técnico de liderazgo intelectual de IDC, patrocinado por UiPath, “El impacto económico de la automatización robótica de procesos de UiPath”, doc. # US47905721, septiembre de 2021

Las Cuatro Principales Tendencias de Automatización Para 2022

Por: Param Kahlon, Director de Productos, UiPath 

1.     1. Los CIO toman las riendas de la automatización 

La automatización es ahora la principal tendencia en tecnología (McKinsey) y la inversión está aumentando. El 80% de las organizaciones dicen que continuarán o aumentarán las inversiones con automatización este año y más del 50%c de todas las empresas ahora tienen cuatro o más proyectos de automatización en marcha. 

Pero si las iniciativas de automatización estuvieran dispersas entre las organizaciones, utilizando enfoques y tecnologías separadas y careciendo de gobernanza y supervisión centralizadas, las organizaciones tendrán mayores costos y menor impacto. 

Los CIO están siendo escogidos para liderar los proyectos de automatización. En 2022, los CIO deberán tomar decisiones cruciales, como elegir qué tecnología de automatización será estandarizada, qué recursos organizacionales deberán ser desarrollados y cómo garantizar la buena gobernanza, seguridad y calidad. 

Los CIO pueden gestionar los proyectos de automatización mediante la implementación de una estrategia de automatización corporativa, que incluya el desarrollo de recursos internos e infraestructura para administrar sus iniciativas, creando un Centro de Excelencia en automatización y desarrollando un pipeline que prioriza las oportunidades de automatización en toda la empresa. 

2.     2. La ‘automatización semántica’ revoluciona la RPA 

Hoy en día, los programadores de automatización necesitan decir a los robots qué hacer, paso a paso: «Ven aquí, abre esto, extrae aquello, llévalo allá…» Dependiendo de la complejidad de la automatización, programar y codificar instrucciones paso a paso pueden fácilmente ser responsables por el 40 al 60% de todo el tiempo de creación de la automatización.  

La automatización semántica permite que la automatización no dependa de enfoques basados en reglas para eliminar gran parte del trabajo del programador. Los robots activados semánticamente no sólo podrán ver y leer lo que hay en la pantalla; también comprenderán las relaciones y los contextos entre documentos, procesos, datos y aplicaciones.  

Pronto, los softwares robots podrán simplemente observar una actividad y comenzar a emularla, sin instrucciones paso a paso. Reconocerán el proceso, comprenderán qué datos se requieren y sabrán dónde obtener estos datos y para dónde moverlos. Los programadores y usuarios empresariales podrán iniciar la creación de automatizaciones simplemente pidiendo a los robots que realicen una tarea o completen un flujo de trabajo. 

Los CIO deben monitorear los avances en esta tecnología revolucionaria a medida que los líderes de automatización logran nuevos avances en IA, machine learning y reconocimiento de patrones en sus plataformas en 2022. 

3.     3. La automatización encuentra un nuevo promotor de C-Suite: el director de sostenibilidad  

A partir de marzo de 2021, el número de directores de sostenibilidad (Chief Sustainability Officers – CSO, en inglés) en todas las empresas de Fortune 500 había subido a 95, con casi un tercio de ellos habiendo asumido el cargo en 2020. Los CSOestán formando alianzas con los CIO en la búsqueda para volver a sus organizaciones más verdes. De hecho, en un estudio reciente de Gartner, más del 85% de los CIO encuestados dijeron que estaban involucrados en las iniciativas de sostenibilidad de sus organizaciones. 

La automatización es una tecnología que está causando un impacto casi instantáneo en las iniciativas verdes. Los procesos automatizados que apagan los data centers en periodos de bajo uso han reducido el consumo de electricidad de algunas organizaciones en un 9% o más. La automatización y digitalización de facturas, ejecución de contratos y otros flujos puede reducir significativamente el consumo de papel.   La automatización hace que otras operaciones y soluciones, como la gestión remota del local de trabajo, IA, ML y gestión de la nube, sean mucho más efectivas. 

Los CSO deben forjar alianzas con CIO, líderes de TI y CFO para analizar cómo se podría aplicar la automatización para lograr las metas de sostenibilidad. 

4.     4. Los equipos de RH se preparan para su próximo gran desafío: gestionar una fuerza laboral humano-digital 

Las personas están trabajando codo a codo con sus asistentes robóticos virtuales, compartiendo trabajo, delegando y trayendo de vuelta la tarea, varias veces al día. La automatización será aún más intrínseca en el futuro del trabajo. Con la escasez de mano de obra y separaciones que continuarán en un futuro cercano, la automatización puede destrabar el potencial humano al dar a los trabajadores más tiempo, mitigando los impactos de la actual falta de mano de obra, realizando más trabajo en menos tiempo. En 2022, los directores de RH priorizarán:

• Previsión y planificación de pérdidas y ganancias de empleos. Los robots asumirán muchos trabajos menos calificados que involucran la entrada de datos, procesos basados en reglas y tareas monótonas. Pero los nuevos puestos que requieren habilidades más altas serán ocupados. Los equipos de RH con visión de futuro están mapeando las probables pérdidas y ganancias, y desarrollando planes para mejorar, recalificar y reasignar trabajadores en estos nuevos puestos. 
  
• Expansión del entrenamiento para cambiar el comportamiento diario. Los líderes empresariales esperan tener que volver a entrenar un tercio de su fuerza laboral en los próximos años, como resultado de la implementación de nuevas tecnologías de automatización, según Deloitte. La capacitación se ampliará para incluir a los usuarios finales que quizás no quieran convertirse en programadores ciudadanos. Estos programas de «usuario final» se centrarán en cosas como motivar a los trabajadores a cambiar sus estándares de trabajo, adoptar nuevos procesos y aprender a usar sus asistentes robóticos de la manera más eficaz. 
• Actualización y recualificación. A medida que los trabajos de menor valor son asumidos por robots y los trabajos de mayor valor emergen para ocupar su lugar, los departamentos de RH deben empeñarse en grandes esfuerzos de entrenamiento que incluya no sólo habilidades técnicas, sino también habilidades sociales como liderazgo, pensamiento crítico y adaptabilidad.

Escenarios de Fraude en el Modelo Compre Ahora, Pague Después

Por: Oscar Sánchez, Ingeniero de Soluciones de Seguridad de F5 México.

La banca ha experimentado grandes transformaciones durante la última década a medida que se integra más en la vida cotidiana de los consumidores. Solo en el último año, la adopción de tecnología en la banca se ha acelerado a un ritmo sin precedentes. 

En México, de acuerdo con la Asociación Mexicana de Ventas Online (AMVO), en 2020 el comercio electrónico en el país representó 316 mil millones de pesos en ventas, un incremento de 81% con respecto a 2019.  

Los consumidores están encantados de tomar decisiones financieras sin tener que visitar una sucursal bancaria o use una aplicación bancaria. Compre ahora, pague después (Buy now pay later/ BNPL) representa una transformación en la industria de pagos y está experimentando una rápida adopción. BNPL empodera a los consumidores al proporcionar una línea de crédito en el punto de venta. 

El hecho de que la mayoría de los proveedores de servicios de BNPL no cobren intereses si los pagos se realizan a tiempo, y que las opciones de BNPL estén disponibles tanto en el comercio electrónico como en los escenarios minoristas tradicionales, hace que este instrumento financiero sea muy atractivo. 

La adopción del servicio BNPL ha crecido de manera constante, beneficiando tanto a las empresas como a los consumidores. Un caso de estudio de 2019 observó lo siguiente:  

• Un aumento del 33 % en el tamaño del carrito de compras cuando se proporcionaron las opciones de BNPL. 
• La capacidad de comprar ahora y pagar más tarde ayuda a los consumidores a estirar su dólar durante tiempos financieros difíciles, como lo muestra el crecimiento del 200 por ciento en la adopción de BNPL en 2020. 
• El éxito depende de que la experiencia del usuario sea fluida con: 

• Una experiencia de pago simple que requiere pocos clics. 
• Una experiencia de usuario constante en todos los sitios web. 
• Sin tarifas de procesamiento. 
• Crédito instantáneo, sin un largo proceso de aprobación.

Sin embargo, las prácticas que mantienen la experiencia del usuario simple y atractiva son las mismas que utilizan los atacantes para cometer fraude y ganar dinero. Los estafadores aprovechan las técnicas existentes y modificadas para intentar engañar a los sistemas y servicios de BNPL. 

Cómo funcionan los sistemas BNPL 

Los servicios de BNPL son proporcionados por empresas o bancos de tecnología financiera (fintech). Los minoristas se suscriben a estos servicios y el método de pago suele activarse en el punto de venta tanto en el mundo digital como en el físico. En una plataforma de comercio electrónico, al consumidor se le ofrece BNPL como una opción de pago después de agregar artículos al carrito de compras y pagar. Si el comprador selecciona BNPL, se le dirige a un proveedor de servicios BNPL que después de verificar al usuario, le extiende una línea de crédito sin intereses. El proceso de pago implica escanear un código QR, usar el teléfono para confirmar la transacción o ingresar una contraseña de un solo uso enviada al teléfono.  

Técnicas de fraude en funcionamiento 

Los servicios BNPL son como otras aplicaciones digitales y los atacantes utilizan varias técnicas para engañar a este sistema. Tres técnicas comunes que utilizan los estafadores incluyen: 

• Adquisición de cuentas: los servicios de BNPL generalmente brindan una línea de crédito predeterminada, y los límites de préstamos generalmente aumentan con la antigüedad de la cuenta, las transacciones y el historial de pagos. Los estafadores crean cuentas falsas para capitalizar el crédito predeterminado, pero para aumentar sus ganancias también se dirigen a las cuentas existentes. Los atacantes utilizan una combinación de técnicas, que incluyen suplantación de identidad, relleno de credenciales y clonación de tarjetas SIM. 

• Abuso de la línea de crédito predeterminada para cuentas nuevas: la mayoría de los sistemas BNPL permiten a los consumidores registrarse simplemente proporcionando copias de documentos como prueba de identidad (como una licencia de conducir) y / o una dirección actual (como facturas de servicios públicos). Los estafadores obtienen estos documentos de correos electrónicos robados o violaciones de datos, y crean cuentas falsas utilizando los mismos requisitos de registro y la línea de crédito introductoria que se ofrece a los consumidores legítimos. En algunos casos, los estafadores se confabulan con los comerciantes para convertir la línea de crédito predeterminada en efectivo. 

• Reembolsos con tarjeta de crédito robada: la mayoría de los servicios de BNPL permiten a los consumidores liquidar préstamos utilizando tarjetas de crédito. Los estafadores aprovechan esta función y pagan sus deudas utilizando la información de la tarjeta de crédito robada. Para el comerciante, tales transacciones dan lugar a devoluciones de cargo y otros gastos para resolver el fraude. 

Sólida planificación de defensa  

Para hacer frente a la embestida de los diversos mecanismos de ataque que utilizan los estafadores, los proveedores de servicios de BNPL deben incluir varios controles de seguridad preventivos y de detección. Estos deben incluir mecanismos para identificar al usuario y su intención. Algunas de las comprobaciones necesarias para los sistemas BNPL incluyen: 

• Validación del usuario durante el proceso de registro: la mayoría de los sistemas BNPL facilitan el proceso de registro, sin agregar complejidad. Por lo que deben incluir autenticación biométrica, verificaciones de vivacidad, la capacidad de detectar huellas dactilares, rostro u otro factor presentado a un lector de autenticación biométrica, y verificaciones de documentos falsos (como hologramas o discrepancias de fuentes) como parte del proceso de registro para contrarrestar la creación de identidad falsa.
• Detección y prevención de adquisiciones de cuentas: los servicios de BNPL deben proteger las adquisiciones de cuentas de usuario válidas. Esto requiere una serie de comprobaciones que incluyen: 

1. Detectar esfuerzos manuales y automatizados de relleno de credenciales e implementar contramedidas, como límites de tarifas y congelamientos de cuentas basados ​​en el tiempo. 
2. Recopilar y analizar información contextual adicional, como el dispositivo del usuario, la ubicación y la hora del día, y usarla junto con otros factores de autenticación. 
3. Implementar un sistema de autenticación multifactor robusto y basado en riesgos. 

• Protección contra el uso de tarjetas de crédito robadas: implemente y haga cumplir el protocolo 3D Secure para tarjetas de crédito para mejorar la prevención del fraude con tarjetas de crédito.
• Detección de anomalías: recopilar la telemetría necesaria sobre los datos de las transacciones del usuario, y utilizar algoritmos de aprendizaje automático para detectar anomalías transaccionales como la colusión entre compradores y vendedores. 

Los sistemas BNPL amplían el poder adquisitivo de los consumidores con su amplio atractivo para la audiencia y préstamos sin intereses, sin embargo, los estafadores no necesitan apartarse mucho de sus trucos existentes para sacar provecho del sistema como la adquisición de cuentas y el fraude de nuevas cuentas que representan una amenaza similar para los sistemas BNPL. Las regulaciones para las empresas de tecnología financiera difieren según las regiones, pero las empresas deben implementar controles de seguridad para protegerse contra el abuso del sistema.

INFOBLOX: El 65% de las Tiendas On-line Incrementan Medidas de Seguridad Durante las Compras de Temporada

Un 14% de los encuestados manifiesta haber detectado un incremento en ataques DDos y un 11% en ataques de ransomware

 Diciembre de 2021.- De acuerdo al estudio de Infoblox «Retail Risks: Holiday Season Is Peak Season for Cybersecurity Threats», analiza los principales retos de seguridad a los que se enfrenta el comercio minorista especialmente en las ventas de temporada, y las medidas que están tomando para mitigar dichas amenazas, más de la mitad de los minoristas están aumentando su gasto en ciberseguridad en la época más taquillera y peligrosa del año.

Esto se debe a que las medidas adecuadas son importantes para obtener una mayor transparencia de la red, lo que permite a las empresas responder rápidamente a posibles incidentes cibernéticos que pueden conducir a la pérdida de ingresos y daños a la marca.

Se estima que un 20% del total de ventas de gran parte de los comercios orientados al consumidor final se realizan en ventas de temporada alta, y parece que hay una tendencia a que este porcentaje se incremente de año en año.

Este volumen de actividad hace que este sector se convierta en objetivo de los ciberdelincuentes en esta época del año, en el que se producen más y más variadas brechas de seguridad, tales como robos de datos de tarjetas de crédito, acceso fraudulento a cuentas (después del robo de datos de inicio de sesión y contraseña).

Pero no solo los minoristas pueden convertirse en víctimas de ataques cibernéticos. La atención se centra también en los consumidores. Nuestros datos son a menudo presas fáciles y muy buscados. Todos somos demasiado descuidados con nuestra información en la red. Esto también fue confirmado por nuestro estudio: la seguridad de los datos y el robo de identidad no son motivo de preocupación para los consumidores cuando compran en línea: la pregunta más importante para ellos es si el pedido llega a tiempo.    

Los beneficios de la compra por Internet va más allá del precio, especialmente porque los consumidores encuentran mercancía mediante otro canal y a la puerta de su casa. Los que eligen el comercio electrónico, detectan cada vez más promociones y descuentos, productos disponibles y nuevos servicios, sin embargo, también detectan alza en los costos de entrega.

El estudio de Infoblox señala que el 31% de los de los profesionales de TI encuestados manifestó haber detectado un aumento de los ataques cibernéticos a través de redes sociales.

Muchos de ellos achacan este incremento a los particulares patrones de compra que adopta el consumidor en estas fechas, en los que a menudo se baja la guardia en cuanto a precauciones de seguridad. A esto hay que añadir un incremento en las técnicas clásicas de phising, en las que el consumidor es redireccionado a una web de promociones falsa.

 Un 14% de los encuestados manifiesta haber detectado un incremento en ataques DDos y un 11% en ataques de ransomware. No es sorprendente por tanto que casi dos tercios (65%) de los departamentos de TI de tiendas on-line incrementen las medidas de seguridad en cuanto a monitoreo y visibilidad de la red en la temporada alta.

Las amenazas relacionadas con fallos de seguridad en la red es también un motivo de preocupación para los profesionales, ya que pueden ser explotadas para causar una caída de los sistemas, robar datos de los clientes o causar daños mayores.

En cuanto a las causas más frecuentes que generan brechas de seguridad, un 25% de los encuestados menciona las vulnerabilidades de dispositivos no parchados y los errores del usuario, que no toma las suficientes precauciones al conectarse a una red o autenticarse. Un 23% achaca estas brechas a vulnerabilidades en la cadena de suministro o a dispositivos IoT no protegidos.

La mayoría de los encuestados reconocen que el hecho de conocer las vulnerabilidades no es suficiente. Consideran como medidas urgentes acciones tales como un protocolo robusto de gestión de parches y formar a empleados y clientes para un uso seguro de las plataformas de e-commerce.

Según el estudio, un 37% de los consumidores tienen previsto realizar sus compras tanto en establecimientos físicos como en tiendas on-line. Sólo un 26% de los encuestados manifestó su intención de realizar la totalidad de sus compras on-line.

Con respecto a la seguridad, sólo un 13% de los consumidores on-line mostró alguna preocupación por la seguridad de sus datos personales al realizar compras por Internet, aunque 8 de cada 10 reconocen que sus datos personales son recopilados de un modo u otro en el proceso, como ocurre al usar tarjetas de fidelización. La principal preocupación para el consumidor, según han manifestado el 60% de los encuestados, está en el plazo de entrega de los productos que compran.

De estos datos se deduce que parece haber una falta significativa de concienciación con relación a los riesgos que supone para los datos personales y financieros la realización de compras por Internet, especialmente en el periodo de temporada alta. Por ejemplo, la posibilidad de un fraude por suplantación de identidad sólo preocupa a un 13% de los encuestados.

Curiosamente, aunque la preocupación por el uso y la seguridad de los datos personales no preocupa a la mayoría de los consumidores, más de un tercio de los consumidores (35%) expresó falta de confianza en cómo las tiendas on-line custodian dichos datos. Esta falta de confianza es lo que lleva a algunos consumidores a tomar precauciones de seguridad por ellos mismos, a la hora de realizar sus compras.

Así, casi la mitad (47%) de los encuestados se aseguran de que están usando una red Wi-Fi protegida antes de iniciar el proceso de compra, y un 29% tiene la precaución de encriptar la contraseña. Un 18% no toma ningún tipo de medida para proteger sus datos.

“A partir de estos hallazgos, queda claro que se requiere más educación sobre los riesgos que enfrentan los consumidores al comprar en línea, especialmente durante las vacaciones, y los pasos que pueden tomar para proteger mejor sus propios datos e identidad del robo y fraude. Cuando los minoristas, los procesadores de pagos y los bancos utilizan la seguridad de DNS para proteger sus redes, también protegen los datos de los clientes que circulan en estos sistemas con mayor frecuencia durante la temporada alta de compras”, señaló Ivan Sanchez, Director de Ventas de Latinoamérica de Infoblox.

Las Predicciones de Nutanix para 2022

La nube híbrida multicloud, la automatización de seguridad y la inteligencia artificial serán las principales tendencias tecnológicas de 2022 

Diciembre de 2021 — El CEO de Nutanix, Rajiv Ramaswami, ha presentado sus predicciones sobre las principales tendencias tecnológicas que marcarán el mercado en 2022. Entre ellas, destacan el crecimiento de los modelos de nube híbrida multicloud, la automatización de la seguridad, la inteligencia artificial o el papel de la tecnología para retener y atraer al mejor talento.  

• Estrategias híbridas multicloud. Una de las principales preocupaciones de las empresas a medida que busquen trabajar con nubes públicas, tendrá que ver con el “bloqueo” de la nube. Esto impulsará la adopción de estrategias híbridas multicloud que les permitan hacer un mejor uso de las ventajas de cada tipo de nube, teniendo más libertad de elección para operar con sus aplicaciones y datos.  

• Tecnología y recursos humanos. La tecnología será un elemento clave para todos los aspectos de recursos humanos: ayudará a mejorar el compromiso de los empleados, el fomento de la cultura de la empresa, el bienestar de los trabajadores, los modelos de trabajo flexible y, por supuesto, la productividad. Las empresas que aprendan a utilizar bien la tecnología en este campo tendrán una gran ventaja competitiva, ya que serán capaces de retener y atraer el mejor talento. 

• Automatización de la seguridad. La transformación hiperdigital que experimentan las empresas no se detendrá, sino que se acelerará y requerirá contar con soluciones más ágiles y completas para proteger a los empleados que trabajan en remoto, sus aplicaciones y sus datos. Esto hará necesario aplicar un enfoque holístico a la gestión de los riesgos de seguridad, consiguiendo una comprensión más profunda de cómo el malware/phishing afectará a las empresas y trabajando con un modelo de “juegos de guerra” para entender, localizar y neutralizar las posibles amenazas que puedan llegar a la industria o el modelo de negocio específico de cada cliente.  

• Inteligencia Artificial (IA). Debido a los nuevos desarrollos tecnológicos y a la escasez de mano de obra cualificada en varias áreas, creemos que muchas más empresas apostarán por la IA para afrontar sus retos de negocio. Pero la realidad es que la IA no es ni mucho menos una tecnología fácil de implementar, por lo que es muy probable que muchas empresas fracasen en su primera incursión en este campo. Por otro lado, las empresas que sí consigan dar sus primeros pasos con la IA tendrán más probabilidades de éxito si lo hacen partiendo de un objetivo definido y claro, en lugar de intentar abordar desde el inicio grandes problemas.