2022 Será el año del SBOM

Lila Kee, Directora General de América y Jefa de Producto

La firma de código y el escaneo de virus por sí solos se considerarán insuficientes para salvaguardar las redes contra la propagación de malware. Entra en escena la lista de materiales de software (SBOM). El hackeo de SolarWinds puso de manifiesto una de las mayores vulnerabilidades a las que se enfrentan las organizaciones durante el tiempo de determinar el impacto del ransomware y también otros tipos de malware inyectados a través de lo que a menudo parece un software legítimo. La adopción de la herramienta SBOM aumentará a medida que las organizaciones busquen equiparse con herramientas rápidas y eficaces para poner en cuarentena sólo las áreas comprometidas de una determinada red. El sector eléctrico mayorista, entre otros participantes en infraestructuras críticas, liderará el camino a medida que CISA comience a proporcionar políticas de ciberseguridad de referencia en torno a la gestión del software de terceros. Al saber exactamente qué software y qué versión de software se está ejecutando en qué lugar de una red, las organizaciones podrán prevenir y responder de una manera mucho más rápida y ágil, reduciendo el impacto operativo entre otras consecuencias negativas.

Recursos Relacionados:

• Lee nuestro blog, "La red no fue atacada en el hackeo de Colonial Pipeline, pero estuvo cerca."
• Lee el artículo de Power Grid International, "¿Qué es un SBOM y por qué las empresas de servicios públicos lo necesitan para combatir los ataques de ransomware?"

Los Cibercriminales Seguirán Abusando De La Pandemia De COVID-19

Arvid Vermote, CISO

La pandemia de COVID-19 ha hecho que todo el mundo trabaje desde casa y ha provocado una serie de ataques dirigidos a la pandemia y también a las nuevas formas de trabajar. Desde marzo de 2020, hemos asistido a una serie de ataques de diversa índole, desde el phishing hasta la venta de certificados falsos de vacunación contra la COVID-19.

Es muy probable que estos ataques continúen en 2022, pero también debemos esperar ver un cambio creciente hacia partes maliciosas centradas en intentar romper los certificados digitales COVID-19 y sus mecanismos de validación para producir y vender certificados falsos de COVID-19.

Recursos Relacionados:

• Descarga el informe de la encuesta PKI 2021
•  

Los Estándares De Criptografía Poscuántica (PQC) Comenzarán a Construirse

Silvia Bertolotti, consultora de soluciones para EMEA

La investigación y los debates sobre la computación cuántica, especialmente la postcuántica, han aumentado considerablemente en los últimos años. Uno de los aspectos de seguridad más interesantes que hay que tener en cuenta es que los ordenadores cuánticos -cuando estén ampliamente disponibles- podrán romper muchos de los actuales sistemas de criptografía de clave pública. Esto podría representar una grave amenaza para la ciberseguridad que afectaría a varios sistemas de comunicación y datos digitales actualmente en uso.

Según Nature, los ordenadores cuánticos más rápidos de la actualidad no tienen más de 100 qubits, y están plagados de errores aleatorios. En 2019, Google demostró que su ordenador cuántico de 54 qubits podría resolver en minutos un problema que a una máquina clásica le llevaría 10.000 años.

La criptografía poscuántica (PQC) tiene como objetivo desarrollar sistemas criptográficos que puedan ser seguros tanto en ordenadores clásicos como cuánticos. La velocidad a la que se resolverán los problemas aumentará, pero para ello hay que establecer nuevas normas de criptografía.

El Instituto Nacional de Estándares y Tecnología (NIST) se ha centrado en hacer precisamente eso desde 2016, cuando lanzó una convocatoria de propuestas sobre PQC para iniciar el proceso de estandarización. El concurso, centrado en algoritmos de cifrado de clave pública y de firma digital, se encuentra ahora en la fase final de revisión con siete finalistas restantes. Cuando se anuncien los algoritmos ganadores, el NIST tiene previsto utilizarlos para establecer uno o más algoritmos criptográficos de clave pública resistentes al quantum y crear normas PQC antes de 2025. A partir de entonces, las empresas podrán empezar a implementar tecnologías basadas en el nuevo algoritmo, dando paso a toda una nueva era de productos de seguridad.

Los sectores en los que veremos si se pueden adoptar rápidamente con las tecnologías postcuánticas son los sectores de TI, servicios financieros y de automóviles.

En TI, el PQC seguirá utilizándose para la verificación de software o la clasificación de datos no estructurados.

En el sector financiero, cabe esperar que la computación cuántica se utilice para prever y predecir las tendencias del mercado o para elaborar estrategias de negociación por parte de empresas como Goldman Sachs y Citigroup.

También veremos más asociaciones como la de Volkswagen con Google para desarrollar programas de gestión del tráfico.

Recursos Relacionados:

• Lee el artículo de Forbes "Don't Get Fooled by Post-Quantum Snake Oil: Aún faltan años para ser "a prueba de cuánticos".
• Descarga el libro electrónico "Planificar para lo desconocido: Por qué los líderes de TI deben centrarse en cimentar su infraestructura de ciberseguridad ahora, no más adelante"

El eIDAS y Los Certificados Cualificados Tendrán Una Mayor Adopción En 2022

Mohit Kumar, Director Asociado de Gestión de Productos

A medida que el mundo que nos rodea se vuelve más digital, más procesos se racionalizan y dejarán de ser en papel. Por ello, la confianza y la integridad de los documentos serán aún más importantes. Como resultado, veremos una mayor adopción de sellos y firmas digitales. Además, los certificados de nivel cualificado eIDAS se adoptarán cada vez más en la Unión Europea (UE), junto con los avances en los sistemas eIDAS. Esto llevará a una creación más rápida de los certificados cualificados y a su aplicación a través de los proveedores de servicios de firma remota. eIDAS también servirá de referencia para muchos más países de regiones no pertenecientes a la UE. Como resultado, veremos a estos países reconsiderar sus marcos actuales sobre la forma electrónica de las firmas y los registros, empujándolos a estar en línea con las prácticas globales lideradas por eIDAS, lo que conducirá a la apertura amplia a las normas globales y la aceptación mutua de las listas de confianza.

Recursos Relacionados:

• Lee el libro electrónico "Guía para el eIDAS: implicaciones para las firmas electrónicas y recomendaciones para cumplir con la normativa (disponible en inglés)"
•  

2022 Será El Año En Que El eIDAS Despegue Por Fin

Andreas Brix, director de programa, EMEA

Aunque la normativa eIDAS (identificación electrónica, autenticación y servicios de confianza) se estableció en 2014, su adopción fue bastante lenta.

Al marco construido en torno le faltaron los actores del mercado para proporcionar la tecnología para la adopción a gran escala, lo que dejó a las empresas sin suficientes opciones para implementarla realmente.

A lo largo de los años, hemos visto llegar al mercado muchas soluciones innovadoras que han impulsado la competencia y han aumentado la automatización al tiempo que han reducido los costos. Los servicios de firma alojados han sido necesarios para proporcionar una solución de alto rendimiento, escalable y basada en API. La implementación de estos servicios para los proveedores de archivos digitales, sistemas de gestión de documentos (DMS) y gestión de relaciones con los clientes (CRM) para satisfacer las necesidades de sus clientes en materia de archivo y facturación electrónicos se ha convertido en algo esencial.

GlobalSign vio esta necesidad y respondió con el Servicio de Firma Digital y ofreció con este servicio una solución basada en la nube que elimina la carga del hardware y añade la flexibilidad de firmar con la identidad de la empresa añadiendo los nombres de los empleados o departamentos.

Con la llegada de COVID-19 a Europa a principios de 2020 y su impacto en todos los aspectos de nuestras vidas, se aceleró no sólo a las empresas, sino a industrias enteras, para digitalizar sus procesos y flujos de trabajo. Por fin ha llegado el momento de eIDAS, teniendo en cuenta todos los cambios radicales que se han producido debido a la pandemia.

Si observamos los retos de la transformación digital, podemos ver que la mayoría de ellos están relacionados con añadir confianza y autenticidad a un flujo de trabajo formalmente analógico. Es necesario documentar bien las pistas de auditoría, identificar a los firmantes de los contratos u órdenes de trabajo y asegurar todos los "datos en tránsito" adicionales.

Vemos el efecto sobre todo en los proyectos actuales de proveedores de servicios y clientes relacionados con la gestión de documentos. Los clientes exigen cada vez más, como mínimo, Sellos Electrónicos Avanzados, buscando proporcionar confianza y también integridad a sus comunicaciones salientes para evitar el fraude y la suplantación de identidad, a la vez que cumplen con la normativa de Facturación Electrónica y Archivo Electrónico en el marco del eIDAS.

Con todo esto en mente, mi predicción para 2022 es que veremos estos fundamentos como estándares establecidos para las transacciones y procesos digitales, al tiempo que estableceremos las Firmas Electrónicas Avanzadas como el estándar mínimo aplicado para los documentos digitales.

Recursos Relacionados:

• Ve el webcast a demanda, "Normativa y soluciones eIDAS" (disponible en inglés)

Qué le espera al mercado de las PYME en 2022

Grace Armano, Directora de Cuentas, América del Norte

Es inevitable que, al hablar de predicciones, la pandemia haya influido en la forma en que abordamos el progreso y la tecnología hoy en día y haya acelerado el progreso futuro. Vivimos en un mundo dinámico, que cambia continuamente y muy rápidamente. El movimiento de transformación digital ha aportado la capacidad de comunicarse fácilmente con cualquier otra persona, y de acceder a innumerables formas de información y conocimiento sin ninguna preocupación. Además, como resultado de los importantes avances en inteligencia artificial (IA), las tecnologías digitales actuales son cada vez más inteligentes y personalizadas. La interacción de casi todas las experiencias humanas está mediada por un sofisticado armazón conectado a los grandes datos. Esta es mi opinión sobre lo que veo que ocurrirá en el mercado de las PYMES el próximo año:

• Formas de trabajar - El teletrabajo ha llegado para quedarse y la forma de funcionar en el mundo actual ha cambiado drásticamente. Y lo que es más importante, el impacto de estos modelos de "trabajo desde cualquier lugar" es mucho más que el cambio de ubicación. La pandemia nos ha demostrado que mantener una sólida protección de la privacidad y medidas de ciberseguridad para los trabajadores remotos es un reto aún mayor y más importante que nunca. Tecnologías como S/MIME para el correo electrónico seguro, SSL para la seguridad de los sitios web y la autenticación serán necesarias para proteger a las PYMES de los ciberataques.
   
• Colaboración en la era post-pandémica - Colaboración en la era post-pandémica - Al tener que responder a lo que podría ser el cambio social más rápido de los tiempos modernos, las empresas de todo el mundo habilitaron fuerzas de trabajo remotas casi de la noche a la mañana. Los propietarios de pequeñas empresas necesitan hacer negocios de forma más rápida y segura, y la firma digital agiliza su capacidad de presentar documentación desde cualquier lugar, ya sea que un ingeniero envíe su dibujo o un director envíe una propuesta desde su oficina en casa: la firma digital actúa como una forma de "tarjeta de identificación digital" y puede verificar la identidad del firmante y también garantizar que el contenido de un documento no ha sido manipulado, tanto a nivel nacional en los EE.UU. como ahora disponible a nivel internacional debido a una regulación inteligente llamada eIDAS. La firma digital es, sin duda, un cambio de juego para las PYMES.
   
• AI - El reto para las PYMES ha sido adoptar las comodidades de la IA (inteligencia artificial) en las operaciones diarias. Las PYMES tienen que seguir haciéndolo y evolucionando una estrategia de autenticación fuerte que ayudará a asegurar todos los aspectos de su modelo de negocio.
   
• Servicio de atención al cliente – por último, considera que la pandemia ha inspirado a las PYMES a renovar su enfoque en el servicio de atención al cliente. Esto se reduce a que es fundamental que las PYMES sepan cómo comunicarse con sus clientes, sin dejar de ofrecer la excelencia. Pero no hay que perder de vista que la entrega de esa experiencia de primer nivel debe hacerse sin dejar de ser segura. Por eso es importante elegir a los proveedores adecuados para ayudar a tu pequeña o mediana empresa a alcanzar sus objetivos manteniendo una experiencia segura para los clientes.

Recursos Relacionados:

• Lee nuestro blog, "Pequeña empresa, ¿grandes riesgos? 5 riesgos de seguridad para las PYMES a tener en cuenta"

La Amplia Adaptación Empresarial De La Nube y La Confianza Cero Aumentan Los Riesgos De Las Cuentas y Las Autorizaciones

Arvid Vermote, CISO

Como las empresas están abandonando a gran escala el almacenamiento de archivos en las instalaciones, se dará un aumento de los ataques orientados a comprometer las credenciales SSO (Single Sign-On) de los empleados para obtener acceso a todos sus servicios en la nube, incluidos los almacenamientos de archivos personales y departamentales. Muchas de las barreras de seguridad que impedían el acceso del almacenamiento tradicional de archivos en las instalaciones (acceso a la LAN, credenciales de VPN...) no existen en el ámbito de la nube, y las infracciones del último año han puesto de manifiesto la importancia de implementar una AMF (autenticación multi factor) y una supervisión adecuada para el acceso a las cuentas de SSO en la nube. El aumento de la adopción de la nube también conlleva una serie de retos diferentes en cuanto a que los empleados hagan copias de la información confidencial de la empresa en dispositivos no gestionados. Mientras que en los viejos tiempos los datos sólo residían en los portátiles y la infraestructura de la empresa, un entorno en la nube apoyado por un control insuficiente de la autorización y la supervisión puede dar lugar a copias desconocidas/no controladas de los datos que corren el riesgo de filtrarse cuando los (ex) empleados se vuelven maliciosos o un dispositivo que lleva una copia desconocida se ve comprometido.

Recursos Relacionados:

• Consulta nuestras soluciones PKI para empresas
• Ve el webcast a la carta, "Nuevos hallazgos sobre el uso de certificados y firmas digitales en la empresa conectada" (Disponible en inglés)

Las Necesidades De Gestión De Llaves En La UE Aumentarán

Arnaud Vanderroost, Vicepresidente de Ventas para EMEA

La reciente noticia de que las claves privadas de los "certificados digitales Covid de la UE (Unión Europea)" circulan por aplicaciones de mensajería, como Telegram, nos da un amargo anticipo de lo que podemos esperar en 2022.

La demanda de identidades digitales (y, por tanto, de PKI) por parte de los gobiernos y los organismos emisores es cada vez mayor, pero el tiempo, los recursos y las personas cualificadas son limitados para hacer frente a estos requisitos.

Cuando se produce un compromiso de claves tan "dramático", que puede afectar a miles de usuarios, nosotros -como proveedores de identidad- reiteramos la necesidad vital de una agilidad y una rotación de claves adecuadas. Esto constituye la base de cualquier buena práctica de gestión de claves.

La agilidad criptográfica actúa como una medida de seguridad o un mecanismo de respuesta a incidentes cuando se descubre que una primitiva criptográfica de un sistema es vulnerable.

Por otra parte, la rotación de claves ayuda a cumplir las normas del sector y las mejores prácticas criptográficas.

La PKI es "tan fuerte como su eslabón más débil"; así que incluso con las mejores intenciones y la mayor precaución, un paso en falso puede hacer que el castillo de naipes se desmorone. Pero lo importante no es la caída, porque la caída es inevitable hoy en día. Lo importante es saber levantarse y restaurar tu ecosistema/estructura.

No te arriesgues, subcontrata tu PKI a quienes construyen su experiencia en torno a ella; o termina con certificados falsificados en nombre de Adolf Hitler, Mickey Mouse o Bob Esponja.

Recursos Relacionados:

• Descubre cómo el Auto Enrollment Gateway puede ayudarte a gestionar las claves de cifrado en toda tu organización

Los Entornos De Trabajo Híbridos Expondrán a Muchas Empresas a Violaciones y Ciberataques

Patrick Nohe, director senior de marketing de productos

En el transcurso de los dos últimos años, muchas organizaciones se han visto obligadas a apresurarse en una transformación digital sólo para mantener las luces encendidas y las puertas abiertas, por así decirlo. Este no suele ser un proceso que se emprenda bajo presión, y mucho menos en un plazo tan acelerado. Ahora que empezamos a regresar gradualmente a la oficina, equilibrando los acuerdos de teletrabajo y presencialidad, la tendencia que estamos viendo es un número preocupantemente alto de empresas que han creado inadvertidamente entornos de trabajo híbridos vulnerables. Y aunque la tendencia natural puede ser centrarse en garantizar que la transición de vuelta a la oficina se realice de forma segura y sin problemas, es importante seguir tomando medidas para garantizar que el lugar de trabajo digital de tu empresa también sea seguro. En 2022 se producirá un aumento de los ataques y las infracciones que aprovechan estos nuevos vectores de ataque. Con un número cada vez mayor de conexiones desde dispositivos y máquinas, tanto dentro de la red como fuera de ella, nunca ha sido tan importante asegurar el acceso, gestionar las identidades y comprender los riesgos asociados a nuestros nuevos y extraños acuerdos de trabajo pandémicos y (esperemos que con el tiempo) post-pandémicos. Ahora bien, si hubiera alguien, un socio de confianza, al que se pudiera pedir ayuda. . .

Recursos Relacionados:

• Ve el webcast, "El trabajo a distancia en la vida real y los retos de seguridad, resueltos" (disponible en inglés)
• Lee nuestro blog, "El reto del lugar de trabajo híbrido"
•  

La Biometría y Las Identificaciones Digitales En África Pueden Generar Nuevos Problemas En Torno a La Privacidad De Los Datos y La Vigilancia

Arnaud Vanderroost, Vicepresidente de Ventas para EMEA

El continente africano ha adoptado plenamente la tecnología biométrica y se ha convertido en un semillero tecnológico para los países desarrollados en busca de oportunidades sobre este tema.

Gracias a las grandes inversiones de organizaciones como el Banco Mundial, varios países de África Occidental y Central han podido impulsar su crecimiento digital a un mayor ritmo e invertir en algunas de las desigualdades socioeconómicas de la región.

Paralelamente, grandes naciones como China y Brasil han buscado sus oportunidades para realizar inversiones tempranas en una región donde está a punto de producirse una verdadera revolución.

Para los gobiernos africanos, el atractivo de la identificación biométrica se explica por sí mismo: más control, más impuestos, más ingresos, más desarrollo. Es casi una obviedad para ellos.

Para las empresas, también puede suponer una gestión de la identidad más sólida y una protección más segura de la red.

Incluso para los ciudadanos, esta digitalización puede suponer más riqueza y más acceso a diversos servicios si la biometría se integra en sólidos programas de prestación de servicios.

Por lo tanto, es una situación en la que todos ganan.

Pero este ecosistema de gestión de identidades construido de forma holística parece enfrentarse a los mismos retos que nosotros en el hemisferio norte.

Los planes de implementación que se adelantan a la legislación y el logro de la completa inclusión entre su población y la retención del talento en el sector público son algunos de los retos a los que se enfrentan estos gobiernos recién digitalizados.

Y ni siquiera estoy mencionando las preocupaciones sobre la privacidad de los datos en torno al nivel de protección de los datos sensibles y personales; o la vigilancia digital ilegal de algunos gobiernos africanos sobre sus ciudadanos, a pesar de que los derechos de privacidad están bien protegidos sobre el papel.

¿Estamos cometiendo de nuevo los mismos errores? ¿O la gestión de la identidad está sujeta a fallos y a un mal uso por diseño?

Recursos Relacionados:

• Lee nuestro blog, "7 beneficios que ofrece la biometría a la seguridad”

Las Empresas Se Verán Obligadas a Contar Con El Enigma De Las Cookies, y Es Posible Que Veamos Un "Brexit Plus" En El Reino Unido

Richard Hancock, responsable técnico de protección de datos y especialista en seguridad

El mundo cambió drásticamente en 2020 y continuó a lo largo de 2021, pero la pandemia fue sólo uno de los acontecimientos que tuvieron lugar. La protección de datos fue testigo de algunas de las mayores sanciones económicas impuestas hasta la fecha en casos como el de Google y Amazon, que ocuparon los primeros puestos con esa multa de casi mil millones de dólares impuesta a este último.

Entonces, ¿qué nos espera el próximo año?

Hay dos temas candentes en la industria y que saldrán a la luz.

En primer lugar, el tema de las cookies. Estos pequeños archivos aparentemente inofensivos en el ordenador se presentan como la forma de hacer que la web sea más rápida, pero eso tiene un costo: su privacidad. El ciudadano de a pie es ahora mucho más consciente de su privacidad y de cómo las empresas utilizan las cookies para rastrear todos sus movimientos. Las supercookies, que hacen uso de las cachés de almacenamiento local, no hacen más que agravar el problema. En el próximo año, los proveedores de navegadores se verán obligados a abordar este problema. Google y Mozilla ya se han comprometido, pero no son los únicos. El impulso público no hará más que crecer y, con empresas como Meta saliendo con frecuencia en los titulares por violaciones de la privacidad de los datos, incluso el visitante ocasional de la web estará informado y tendrá la capacidad de actuar.

Todos hemos sido bombardeados con muros de cookies y banners cuando entramos en sitios web y esto me lleva al segundo tema candente que se avecina en 2022. El Gobierno del Reino Unido, junto con los organismos reguladores, ha decidido que estas intrusiones no favorecen una experiencia web positiva, por lo que está hablando de desviarse del marco del GDPR de la UE para "ir libre". Aunque los detalles son escasos por el momento, una cosa es segura: el Reino Unido no puede desviarse demasiado si quiere mantener las relaciones y las vías de tráfico de datos abiertas para que las empresas sigan operando de forma eficiente. Por supuesto, todo esto nace de la falta de gestión correcta de las cookies por parte de los editores de sitios web. ¿Debería cambiarse la ley y poner en riesgo nuestras capacidades globales de datos, o simplemente deberíamos educar a los profesionales de la privacidad, a los desarrolladores web y a otras partes interesadas para que hagan las cosas mejor? En 2022, el Reino Unido podría aplicar un "Brexit Plus" y quién sabe a dónde nos llevará esto.

Recursos Relacionados:

• Lee el artículo de la revista CPO, "GDPR - Three Years In"

Las Normas De Seguridad Cambiarán En Todos Los Sectores

Rosa Miramontes, Directora de Cuentas, España

• Esto es lo que veo que ocurrirá en 2022:
• - Se requerirán certificados más cortos en muchas industrias
• - El gobierno adoptará una mejor seguridad
• - El trabajo a distancia para  más empresas - más servicios de teletrabajo - pero también más ataques individuales a los empleados
• - Firma de documentos con biometría

Recursos Relacionados:

Lee nuestro blog, "La validez máxima de los certificados SSL/TLS es ahora de un año"

Lee el artículo de Forbes, "Si el ransomware es una amenaza del nivel del 11 de septiembre, es hora de responder en consecuencia"