Etiqueta: ciberdelincuentes

Categorías
Columnas

Malas noticias para los ciberdelincuentes: La tokenización ha llegado

Mastercard LAC - Walter Pimienta - Vicepresidente Senior de Soluciones Digitales
Por Walter Pimienta, vicepresidente senior de soluciones digitales de Mastercard LAC.

Miami, EE.UU. 23 enero, 2020. En el mundo de los pagos, hay una tecnología que ha hecho que la información de las tarjetas de los consumidores no valga nada para los ladrones – se llama tokenización. Con el aumento de los pagos digitales y la Internet de las cosas, los ciberdelincuentes han recurrido a formas creativas de infiltrarse en los sistemas digitales y robar datos. Sin embargo, la tokenización está creciendo, dejando a los ciberdelincuentes con poco espacio para vagar.

Permítanme ilustrar cómo funciona la tokenización a través de la historia de Juan.

Juan disfruta de la comodidad de poder almacenar la información de su tarjeta con su comerciante digital favorito. Esto le proporciona una gran experiencia como consumidor, ya que le evita tener que volver a introducir sus credenciales cada vez que realiza una compra. Entre bastidores, la tecnología de tokenización protege la información de su tarjeta reemplazando el número original de 16 dígitos de su tarjeta por un número alternativo único, o “token”, que está asociado a ese comerciante digital en particular y que no puede ser utilizado en ningún otro lugar. En el caso de una violación de datos, los datos de la tarjeta tokenizada son completamente inútiles para el ciberdelincuente.

Esa es la belleza de la tokenización. Los consumidores como Juan obtienen lo mejor de ambos mundos: una experiencia de pago segura y sin trabas, y la tranquilidad de saber que los datos de su tarjeta no corren el riesgo de ser pirateados.

Además, la tecnología de tokenización aporta otra característica esencial para la nueva economía digital, que depende en gran medida de las transacciones recurrentes: la continuidad de los pagos. En pocas palabras, si su tarjeta ha caducado o necesita ser reemplazada, el token puede evitar que se produzcan interrupciones en el servicio (piense en su membresía al gimnasio, servicio de streaming favorito, suscripción a la revista o cualquier otro pago recurrente en línea) actualizando automáticamente las credenciales de su nueva tarjeta en el sistema del comerciante, evitando así las brechas en el servicio.

El registro seguro de datos en línea combinado con una fuerte continuidad de pagos es crucial para los grandes comerciantes como las compañías de transporte compartido y de streaming de películas, así como para los medianos y pequeños comerciantes que buscan ser competitivos en el mercado en línea. Al almacenar la información de la tarjeta de sus clientes, los comerciantes pueden proporcionar una mejor experiencia de usuario, una mayor rapidez en el proceso de pago y pueden aumentar las ventas en tres o cuatro veces. Mantener esta información almacenada segura contra los delitos cibernéticos y las violaciones de datos y siempre actualizada, previniendo las pérdidas de transacciones, es una parte vital de nuestro negocio.

Entonces, ¿cuál es el costo de las brechas de datos?

Según el Estudio del Costo de la Brecha de Datos 2018 del Ponemon Institute, el costo total promedio de una brecha de datos para una empresa puede ascender a US$ 3,86 millones. Las brechas de datos no sólo pueden tener un impacto en las ventas futuras de un negocio, sino que también pueden representar costos significativos en términos de litigios, daños a las bases de datos de la empresa y reputación. De hecho, el impacto en la confianza del consumidor es sustancial. Un reciente estudio de Mastercard* muestra que el 93% de los consumidores latinoamericanos se preocupan por su información almacenada en línea, mientras que el 77% considera que los hacks e infracciones de datos son “normales”.

La buena noticia es que muchos más consumidores ya se están beneficiando de la facilidad y seguridad de la tokenización, un héroe silencioso con muchos más aliados por venir.

En América Latina, docenas de emisores y comerciantes están adoptando la tokenización: desde gigantes de la economía global hasta minoristas locales y regionales. Y se convertirá en la norma, en cuestión de meses. La tokenización es para el mundo digital lo que una tarjeta EMV Chip ha sido para el mundo físico en los últimos años: El estándar global para transacciones seguras y convenientes.

Hoy en día, más de la mitad del volumen de transacciones de Mastercard en América Latina y el Caribe ya está listo para ser tokenizado, lo que ayuda a que los pagos digitales sean sencillos, transparentes y seguros para los consumidores de la región. Esta noticia viene de la mano de nuestros nuevos acuerdos firmados con actores clave como Adyen, Braspag y ProCredit Ecuador, entre otros, quienes ahora integrarán las soluciones de tokenización de Mastercard para tokenizar las credenciales de pago archivadas con miles de comercios minoristas en Brasil, México, Puerto Rico, Ecuador, Chile, y, potencialmente, en cualquier otro país de nuestra región.

Es una gran noticia para los consumidores, los comerciantes y la industria financiera, pero no para los estafadores. Tendrán que buscar un nuevo trabajo.


*Fuente: 2018 Encuesta de Mastercard de consumidores en Brasil, México y Colombia.

Categorías
Seguridad

Ciberseguridad es lo más importante

A10 - AIR - Ciberseguridad

 

Por Ronald Sens, Director EMEA de A10 Networks.

 

EE.UU. 21 noviembre, 2018. A medida que aumenta el número de dispositivos y sistemas conectados, también aumenta el número de amenazas contra las que tenemos que defendernos. En la Cumbre 2018 de Gartner Security & Risk Management celebrada en junio, muchos profesionales de la industria de la seguridad visitaron nuestro stand, y escuchamos sus preocupaciones sobre el estado actual del mundo de la ciberseguridad. Hubo algunas cuestiones que aparecieron más que otras y a continuación las he resumido.

Se habló mucho de las criptomonedas, así como de los temores en torno al Reglamento General de Protección de Datos (GDPR) y de todas las soluciones necesarias para mantenerse dentro del cumplimiento. Por último, los asistente deseaban saber qué papel desempeña la seguridad en la transformación digital de una empresa y, en particular, se debatió también la “amenaza interna”. Después de considerar y analizar estas preguntas, pensamos que sería una buena idea compartir nuestras conclusiones más ampliamente.

Así es que, aquí les presentamos lo que pensamos sobre las tres preguntas más frecuentes que escuchamos:

1. Las criptomonedas son ahora más populares y más valiosas

Las criptomonedas se han convertido en un negocio importante a lo largo de 2018. A fines del año pasado predijimos que las criptomonedas se convertirían en un foco mayor para los cibercriminales en 2018, y este ha sido ciertamente el caso. En febrero, BitConnect, una plataforma de préstamos e intercambio de criptomonedas, anunció que cerraría, y esto se debió en parte a que una serie de ataques DDoS (Distributed Denial of Service) paralizaban su sitio web. BitConnect no está sola. Otras grandes bolsas, incluyendo Bitfinex y Bittrex, vieron sus servicios afectados por ataques DDoS a fines del año pasado.

Y esos ataques siguieron a un ataque masivo durante el lanzamiento de Bitcoin Gold, que hizo que el sitio estuviera inaccesible, y a la caída de la bolsa Poloniex, que paralizó sus operaciones. La razón principal detrás del aumento en los ataques DDoS contra las empresas de criptomonedas es simple: las criptomonedas ahora son más populares y más valiosas.

Los atacantes quieren interrumpir la operación de los sitios de alto tráfico y negar a los usuarios el acceso a los servicios y a su dinero. Y como las operaciones se realizan en tiempo real, cualquier momento de inactividad puede ser catastrófico. Esto, junto con la descentralización de las criptomonedas, que no están vinculadas ni respaldadas por un gobierno, las convierten en un objetivo atractivo para los atacantes.

¿Que ganan los atacantes? Una respuesta podría ser, hacer subir el precio de las criptomonedas; al haber menor oferta, obviamente suben los precios de las que sí están disponibles, por lo que los primeros sospechosos serían aquellos que se benefician por las subidas de precios. En otras palabras, la competencia.

Para combatir las amenazas, las empresas deben aprovechar las últimas y más avanzadas soluciones de seguridad para hacer frente a los atacantes DDoS, y eso se duplica en el caso de los intercambios de criptomonedas, que actualmente son los objetivos principales. Es imperativo que las empresas aprovechen las soluciones de defensa DDoS que puedan detectar, mitigar e informar sobre ataques DDoS multivectoriales de cualquier tamaño y escala. Y sus soluciones de defensa DDoS deberían tener incorporada la inteligencia de los bots y agentes conocidos para defender las redes contra las amenazas actuales.

2. Incertidumbres en torno a la ley GDPR

Todavía hay mucha incertidumbre en torno a la ley GDPR y hay mucho en juego para las empresas que interpreten la regulación de forma incorrecta. Apenas unos meses después de su entrada en vigor (mayo 2018), seguimos oyendo preguntas como: “Si un usuario nos envía un correo electrónico con su solicitud de ejercer el derecho a ser olvidado, ¿también tenemos que borrar la solicitud? y “Si no podemos conservar los registros de los usuarios, ¿cómo podemos demostrar que hemos `olvidado’ a alguien que pidió que lo olvidáramos? Muchas de las preguntas que se nos hicieron debieron haber sido dirigidas a abogados expertos.

Los profesionales de la seguridad deben dejar los detalles esenciales en manos de los abogados y focalizarse en su actual clasificación de datos y en compartir sus prácticas. La ley GDPR surgió después de numerosas brechas de datos y deficientes prácticas de seguridad, lo que creó una reacción violenta contra muchas industrias. Esto es lo que GDPR está tratando de evitar, de modo que ponga tanto énfasis en la seguridad de los datos como en la defensa de la infraestructura de su empresa. Si mantiene sus datos seguros, no habrá problemas con GDPR.

3. El papel de la seguridad en la transformación digital

A medida que más empresas ven como el canal online se hace cada vez más importante para sus ventas, el papel de las TI (Tecnologías de la Información) en la defensa contra los ciberataques es más importante que nunca. Y el desafío aumenta cuando los departamentos de TI se ven obligados a enfrentar la falta de voluntad de los empleados para tomar medidas de precaución contra los ataques.

Según la investigación de AIR de este año, en la que participaron más de 2.000 profesionales de negocios y de TI de empresas de diversos sectores de todo el mundo, los principales retos a los que se enfrentan los responsables de la toma de decisiones de TI ante el aumento y la complejidad de los ciberataques son las actitudes, a veces descuidadas, de los empleados que, sin darse cuenta, introducen nuevas amenazas en sus empresas.

El informe reveló que los empleados a menudo, sin saberlo, debilitan la ciberseguridad con el uso de aplicaciones no autorizadas: uno de cada tres (37%) de los empleados encuestados dice que no está familiarizado con lo que es un ataque DDoS, o incluso es consciente de cómo podría convertirse en víctima sin saberlo. Estos datos son aún más preocupantes cuando casi la mitad (48%) de los líderes de TI dicen que están de acuerdo en que a sus empleados no les importe seguir las prácticas de seguridad, según los resultados de la encuesta. Con una comprensión a menudo deficiente de las políticas de seguridad corporativa, este comportamiento aumenta los riesgos que conlleva una creciente dependencia de fuerzas de trabajo dispares y dependientes de las aplicaciones, especialmente cuando un tercio (30%) de los empleados encuestados utilizan a sabiendas aplicaciones que sus empresas prohíben.

Con el continuo crecimiento de la Transformación Digital en todos los sectores, hay buenas noticias: aunque casi una cuarta parte de los responsables de la toma de decisiones de TI piensan que no habrá ninguna mejora en el comportamiento de seguridad en su empresa, el 75% piensa con optimismo que la habrá en el futuro.

¿Qué traerá el futuro en el corto plazo?

A estas alturas, parece más apropiado mirar hacia adelante que hacia atrás. En A10 trabajamos muy de cerca con nuestros clientes ayudándoles a defender la organización contra las amenazas más sofisticadas. No cabe duda de que veremos más ataques a través de la IoT. Veremos más ataques dañinos cuando los hackers como Carbanak/FIN7 asignen equipos estructurados para atacar objetivos específicos. Y estamos seguros de que veremos más ataques DDoS a medida que el hacking continúe siendo un producto básico como servicio, disponible para cualquiera que pueda encontrar direcciones en Google a la web oscura.

En resumen, los ciberdelincuentes siempre están buscando nuevas formas de penetrar en la organización, por lo que el trabajo de un profesional de la seguridad nunca se terminará. Para obtener más información sobre las muchas maneras en que A10 puede ayudarle a resolver sus problemas cibernéticos, lo invitamos a visitar nuestro sitio web.