Alt1040. Noticias acerca de Internet, diseño, música, cine, opiniones, weblogs y medios

Es uno de los weblogs de tecnología más seguidos de la blogosfera hispana.

Bitelia. Blog de software, internet y servicios web

Software y aplicaciones para mejorar tu vida, guías de uso, trucos, listas, noticias y todo sobre tecnología.

Xataka. Publicación de noticias sobre gadgets y tecnología.

Últimas tecnologías en electrónica de consumo y novedades tecnológicas en móviles, tablets, informática, etc.

Wwwhatsnew. Aplicaciones, marketing y noticias en la web.

Servicios que os pueden ser útiles para dibujar, gestionar tareas, hacer amigos, encontrar restaurantes...

Fayerwayer. Discusiones y opiniones de lo ultimo en tecnología y gadgets

Con secciones dedicadas a Internet, Software o Redes Sociales es un referente a nivel de tecnología en español.

4 de julio de 2020

Beneficios del uso de la metodología 'Agile'

SEO icon

El desarrollo ágil de software se refiere a métodos de ingeniería del software basados en el desarrollo iterativo e incremental, donde los requisitos y soluciones evolucionan con el tiempo según la necesidad del proyecto.


Así el trabajo es realizado mediante la colaboración de equipos auto-organizados y multifuncionales, inmersos en un proceso compartido de toma de decisiones a corto plazo.

El objetivo de cada iteración es incrementar el valor por medio de "software que funciona" (sin errores).

Los métodos ágiles enfatizan las comunicaciones cara a cara en vez de la documentación.

Otro objetivo es recibir el feedback temprano para la toma de decisiones y la gestión de riesgos.

Más información en el artículo Qué son las metodologías ágiles

Marcos de trabajo Agile


Cada uno de los modelos que se encuentran inscritos en la organización Agile Alliance (www.agilealliance.org) para promocionar y difundir su conocimiento, expone formas concretas de aplicación de principios ágiles en el desarrollo de software:


1- Kanban


Se trata de un método de cambio basado en la visualización que sirve como catalizador a la hora de introducir la filosofía Lean en una organización.

Se basa en la visualización de los procesos de TI, como mecanismo para exponer su flujo, sus problemas y estimular la colaboración en la mejora continua de los procesos.

Kanban

1.1- Prácticas


  • Visualización del flujo del trabajo. A través de tableros.
  • Limitación del WIP (Work in Progress, Trabajo en curso).
  • Gestiona el flujo. Realiza un seguimiento del tiempo que llevan las tareas.
  • Definición de políticas explicitas que todo el mundo pueda ver y seguir. Simples y concretas, que permitan al equipo tomar decisiones rápidas e independientes.
  • Crea mecanismos que permitan obtener feedback en todos los niveles. Dailys.
  • Mejora colaborativamente usando modelos. Retrospectivas, análisis causa raíz.

2- Scrum


Se trata de un conjunto de buenas prácticas para trabajar colaborativamente, en equipo, y obtener el mejor resultado posible de un proyecto.

Basado en el desarrollo incremental de los requisitos del proyecto en bloques temporales cortos y fijos.

Se da prioridad a lo que tiene más valor para el cliente.

Centrado en equipos pequeños (de 3 a 9 personas cada uno).

Kanban


Implicaciones de adoptar una metodología Agile

Antes

  • No se entrega el producto esperado.
  • Conflictos entre equipos funcionales y desarrollo.
  • Documentación difícil de mantener.
  • Estimaciones no realistas en horas y fecha de entrega.
  • Usuarios insatisfechos.
  • Falta de visibilidad global.
  • Un único equipo de desarrollo de 15 personas y un único equipo funcional.

Después

  • Entrega del producto de forma incremental y se toman decisiones en función del feedback.
  • Equipos más alineados e implicados.
  • Documentación necesaria, más comunicación face to face.
  • Estimaciones basadas en la predictibilidad y priorizando el valor.
  • Usuarios más satisfechos.
  • Mayor transparencia y visibilidad.
  • Tres equipos: dos trabajando en Scrum y uno en Kanban. Desarrollo y equipo funcional, trabajando de forma conjunta.

Riesgos y lecciones aprendidas

Riesgos

  • Caer en hacer entregas continúas pero no en entregar valor.
  • Cada Sprint se gestiona como desarrollo en cascada.
  • Cliente, usuarios, stakeholders no se implican en el proceso.
  • Los equipos no son estables.
  • No trabajar el mindset.

Lecciones aprendidas

  • Simplicidad.
  • Flexibilidad ante un entorno de negocio muy cambiante.
  • Enfocar el esfuerzo en lo importante, ¿qué es lo que realmente aporta valor?.
  • Eliminar todo aquello que no aporte valor a los procesos.
  • Calidad y excelencia.
  • Mejora continúa.
  • Fuera silos.




29 de junio de 2020

La importancia de contar con un consultor SEO para triunfar en Internet

SEO icon
Cada vez son más los negocios que deciden contratar a un consultor SEO para escalar posiciones en Google.
Sin duda alguna, la crisis sanitaria del coronavirus ha tenido un gran impacto en la mayoría de las empresas, ya que éstas se han visto obligadas a cambiar los métodos de trabajo para no cesar la actividad comercial.


Ante esta situación, una gran cantidad de negocios han optado por dar el salto definitivo al mundo digital. Y es que en estos últimos meses, las compras online han aumentado más de un 300% en todo el mundo.

Por ello, no resulta extraño que los negocios hayan decidido trasladar su actividad a Internet. Para no tener problemas a la hora de vender productos o servicios en la red, lo más recomendable es contar con un consultor seo, es decir, con la figura de un especialista seo que sepa cómo trabajar una página web para alcanzar las primeras posiciones de búsqueda.

Gracias al trabajo de un especialista en posicionamiento web, los negocios pueden conseguir excelentes resultados de tráfico de visitantes, ya que la página web o tienda online en cuestión aparecerá en las primeras posiciones de Google. Una tarea difícil, puesto que Google cuenta con más de 200 factores de posicionamiento, los cuales se deben cuidar al máximo para escalar posiciones en los resultados de búsqueda.


¿Por qué contratar a un especialista en SEO?


Cuando hablamos de estrategias de marketing online, el SEO ocupa un lugar principal, ya que esta herramienta es fundamental para promocionar a los negocios en Internet. Para que la estrategia de marketing online cumpla con las expectativas deseadas, las empresas necesitan contratar a un especialista en seo. Pero, ¿qué hace un consultor seo exactamente?.

Consultor SEO


Los consultores seo se encargan de optimizar una serie de elementos de las páginas webs, para que éstas puedan aparecer en los primeros puestos de Google. De este modo, las probabilidades de que los usuarios compren productos en la página web se incrementan de forma notable. Y es que las páginas webs que aparecen en las primeras posiciones de Google generan bastante confianza en los usuarios.

Por ello, cualquier persona no está capacitada para trabajar el posicionamiento SEO de una página web, ya que tan solo un experto en seo sabe cómo obtener unos buenos resultados en los motores de búsqueda. Algunas empresas apuestan por contratar a una consultoría posicionamiento web, mientras que otras prefieren a un consultor seo freelance, sin embargo, lo más importante es trabajar con un consultor seo profesional.

Principales beneficios del posicionamiento SEO


Como ya se ha comentado anteriormente, el posicionamiento SEO es una herramienta de marketing online que se utiliza para aumentar la visibilidad de los negocios en la gran red de redes. Es decir, gracias al trabajo de un asesor seo, las empresas pueden alcanzar a más clientes potenciales, lo que se traduce en un importante incremento de las ventas a final de mes.

Con el apoyo de una consultoria seo, cualquier negocio -pequeña, mediana o gran empresa- puede localizar a su público objetivo con mayor rapidez, de manera que es mucho más sencillo desarrollar una estrategia de marketing adaptada a los gustos concretos de los clientes. Por esta razón, las empresas que quieren triunfar en Internet necesitan la ayuda de un profesional seo..

Además, algunas técnicas de posicionamiento SEO mejoran la velocidad de carga de las páginas webs, puesto que se encargan de optimizar todos los códigos internos -los archivos de la web son más ligeros-. Pero los beneficios del SEO van mucho más allá, ya que otras técnicas utilizadas por los consultores seo y sem proporcionan un mayor nivel de accesibilidad a través de navegadores como Safari, Opera o Firefox.

¿Qué es y para qué sirve el posicionamiento SEM?


El posicionamiento SEO se ha convertido en una de las herramientas de marketing online más conocidas del momento, sin embargo, los expertos en la materia aconsejan combinar esta herramienta con el posicionamiento SEM. Otra herramienta digital que permite mejorar el posicionamiento de las webs mediante enlaces de pago, por lo que más de un consultor seo y sem la define como una técnica publicitaria.

Con esta herramienta de marketing online, el especialista en seo y sem sitúa a las páginas webs en los primeros puestos del buscador, los cuales están destinados a los enlaces de pago. Estas posiciones de búsqueda tan solo se pueden alcanzar con el apoyo de una consultoria seo y sem, puesto que las técnicas de posicionamiento SEO no son suficientes.

Todo depende de las necesidades de visibilidad de cada negocio, ya que algunos nichos de mercado tienen menos competencia que otros. Si la competencia es muy grande y la página web acaba de iniciar su andadura en Internet, lo más adecuado es diseñar una estrategia que combine ambos tipos de posicionamiento. Eso sí, para que la estrategia tenga éxito es fundamental contratar a un experto en seo y sem.



9 de junio de 2020

Smart Assistants. Metodologías para crear chatbots eficientes

Technology
Los chatbots son usuarios virtuales que simulan una conversación con un humano.
Existe una corriente de pensamiento que cree que no hay diferencia entre un Asistente Personal Virtual y un Chatbot y que cualquiera de los dos podría ser un término genérico para el asistente conversacional. Sin embargo...

  • Los asistentes personales virtuales (VPA) nacen como una nueva aplicación autónoma en el móvil y se alojan en dispositivos inteligentes que ya se conocen como Home Speakers o Home Devices, como Google Home, Amazon Echo o HomePod de Apple.

  • Los chatbots o asistentes conversacionales se desarrollan en páginas webs, apps de mensajería, redes sociales o aplicaciones, y su modo de interacción principal es a través de mensajes, ya sean de voz o texto.

Los VPAs más famosos:

  • Alexa: asistente virtual de Amazon, utilizado en los altavoces Amazon Echo
  • Siri: disponible en todos los dispositivos de Apple
  • Cortana: el asistente de Windows
  • Google Assistant: su voz no era tan humana como en los otros, pero tiene un amplio abanico de funcionalidades. Se puede descargar para iOS, Android y usarlo desde Chrome. Entiende cualquier idioma común, y es capar de interpretar preguntas complicadas. Su dispositivo es Google Home.
  • Bixby: asistente virtual de Samsung


Artifial Intelligence


Metodología para crear un chatbot eficiente


1.- Creación de la personalidad

La construcción de un chatbot comienza por su personalidad. Se definirán cuestiones como tono, expresividad, género o tipo de lenguaje y de voz (si aplicara).

¿Tendrá un avatar o imagen que lo represente?

Se deberá imaginar cómo serán las interacciones con los usuarios y cómo se comportará en una conversación, lenguaje usado, términos mas comunes y otros tópicos que darán forma a su personalidad.

2.- Elaboración del contenido y diseño de la experiencia conversacional

El contenido es determinante para que el asistente conversacional o chatbot responda de forma correcta.

Se definirán cuestiones como reglas, lógicas, semántica y frases de entrenamiento.

Es importante crear un amplio set de preguntas y respuestas para dotar al chatbot de una buena base de conocimiento.

3.- Diseño de la experiencia UX/UI

Una buena interfaz y diseño captará la atención del usuario y le invitará a usar el chatbot.

Se definirán aspectos como el diseño y look and feel de la interfaz, que dependerá del canal en el que esté desplegado el chatbot.

Uso de emojis e iconos, menús, botones, carruseles de imágenes, tipo de texto, tarjetas e iconos de satisfacción o resolución.

4.- Plataforma tecnológica e integraciones

En la mayoría de los casos viene impuesta por el cliente, Google, Microsoft, Amazon, Oracle...

Condicionará el desarrollo y los lenguajes de programación usados en el chatbot.

Si requiere de integraciones, ¿a qué datos y sistemas deberá acceder?.

Además, estas soluciones pueden ser desplegadas en sitios web, redes sociales, aplicaciones de mensajería como Skype, Slack, Circuit, etc.

5.- Supervisión y monitorización

Para identificar el comportamiento y la calidad de la atención del chatbot.

Es posible definir métricas que ayuden a medir el rendimiento, como tasa de error, tiempo en la resolución de consultas o porcentaje de uso del chatbot frente a otros canales.

6.- Retroalimentación y entrenamiento supervisado

Consiste en la optimización de la solución para mejorar el modelo, disminuir la tasa de error y aumentar la precisión de las respuestas.

Además de la implementación de mejoras en el desarrollo y contenidos del chatbot.


Relación con otras tecnologías


  • Un chatbot conectado a IoT podrá detonar campañas de marketing, acelerar procesos de compra, guiar al usuario en un itinerario con geolocalización.
  • Integrados con MicroStrategy, para consultas de análisis de datos y cuadros de mando para la toma de decisiones.
  • Mediante el uso de RPA (Robotic Process Automation), pueden automatizar la interacción con el usuario en un proceso completo de negocio.
  • Un chatbot puede dar soporte vía voz a cualquier guía visual inmersiva o procedimiento de mantenimiento que se proyecte en realidad aumentada.
  • Agilizar y simplificar la búsqueda en grandes repositorios documentales o en bases de datos de contenidos.
  • Visión por computador, el usuario puede enviar una imagen a la conversación con el asistente y que este le responda con información sobre lo que es.
  • El análisis de sentimiento podrá identificar el tono emocional en las interacciones con el usuario.

¿En qué canales puedo desplegar un asistente conversacional?


  • Atención y soporte al cliente/visitante del sitio web, portales eCommerce, aplicaciones web, intranets corporativas...
  • Control, por medio de la voz, de las características del automóvil y acceso a servicios conectados, como navegador, climatización, luces, música y radio...
  • Integración con canales y plataformas de redes sociales (social bots) y mensajería instantánea: Facebook Messenger, Slack, Telegram, WeChat, Snapchat, Twitter, Skype, Line, Twilio, WhatsApp...
  • Uso para conversaciones vía SMS, como sistemas de notificaciones (envíos outbound) y para flujos pequeños con respuestas cerradas.
  • Integración en emails para conseguir mensajes dinámicos, en campañas de marketing interactivo y para recopilar información del feedback de los usuarios.
  • Integración con apps móviles para la interacción vía texto o voz, que complementen las funciones de propia app.
  • Control, por medio de la voz, de funciones en el hogar dentro del ámbito de la domótica u otras, como consulta de información, noticias o el pronóstico meteorológico, integrados con altavoces inteligentes (Amazon Echo, Google Home, Cortana...)
  • Callbots para atender y dar respuesta a las consultas más habituales, y redirigir las llamadas al departamento o agente físico adecuado en el call center para continuar el tratamiento de la consulta.
  • Integración con terminales o dispositivos de realidad aumentada y/o virtual.

Los bots han llegado para quedarse

En 2020 el 85% de las interacciones con clientes se llevarán a cabo sin la necesidad de personas


Gartner Predicts


19 de mayo de 2020

Las 4 tecnologías necesarias para afrontar la crisis del covid-19

Technology
El COVID-19 ha traído consigo una de las mayores pandemias que ha conocido el ser humano a lo largo de su historia. Hay que destacar que este virus ha llegado en pleno siglo XXI, donde la tecnología y la innovación están el auge y la forma de vida de la población mundial ha evolucionado mucho en poco tiempo.

Durante este periodo de confinamiento, hemos visto que para las personas la distancia física dejó de ser un impedimento para ver a sus seres queridos, todo gracias a la existencia de Internet y de las videollamadas. Y como era de esperar, muchas empresas en las que su tipo de actividad lo permitía, el cierre de sus tiendas físicas y el confinamiento, no suponían un impedimento para seguir con su actividad a través de la red, teletrabajando.

Sin embargo, otros negocios que, por su actividad, el teletrabajo no fue una opción directa, han empezado a dar sus primeros pasos en el mundo del comercio online y del Internet, logrando con ello ver, no solo el número de posibilidades que les ofrecía esta herramienta, sino también, una oportunidad para conseguir clientes.


Artifial Intelligence


Debido a todo esto, y al futuro que nos espera de ahora en adelante con la nueva normalidad que ya anunciaba hace unas semanas el Gobierno de España, hoy te traemos las 4 tecnologías que harán que tu negocio prospere y sobreviva durante esta crisis, logrando que esté preparado para el futuro tecnológico que se avecina.


1. Automatización Robótica de Procesos (RPA)


En español, la automatización robótica de procesos, se trata de una tecnología que logra que el trabajo de tus empleados se centre en actividades más concretas y menos repetitivas.

Hablamos de tareas como rellenar formularios o consultar el correo que, como todos sabemos, muchas veces son tareas reiterativas y que si ponderamos su complejidad con el tiempo empleado por los trabajadores para realizarlas, vemos que indudablemente generan pérdidas.

Por ello como solución a esta cuestión, surge el RPA. Al automatizar todo este tipo de procesos y tareas mediante un software, tus empleados podrán dedicar su tiempo a realizar actividades de análisis y en prestar una atención aún más personalizada a tus clientes, disponiendo de toda la información al momento.


2. eLearning


El uso de esta tecnología ya venía aumentando en los últimos años, mucho antes de que llegara a nuestras vidas el COVID-19.

Sin embargo, el confinamiento derivado de este virus ha hecho que se popularice aún más, bien sea porque las personas confinadas en sus casas y sin nada que hacer han buscado una salida a través de la red para ampliar sus conocimientos, o simplemente porque miles de estudiantes en España han tenido que finalizar el curso escolar desde sus casas.

En cuanto a la aplicación de esta tecnología en los negocios, también ha tenido su popularidad, ya que cada vez son más las empresas que se deciden a crear sus cursos personalizados, a través de la red, para formar a sus empleados, y que así conozcan a la perfección todos sus productos o servicios.


3. Gestión de las Relaciones con el Cliente (CRM)


Una de las tecnologías más comunes en el ámbito empresarial es el CRM, un software con el que puedes mejorar las relaciones con tus clientes, ordenando y utilizando toda la información disponible sobre ellos, para ofrecerles un servicio de atención al cliente más personalizado y adaptado a las necesidades de cada uno, logrando así fidelizarlo.

Esta tecnología es clave de cara al futuro ya que actualmente y más aún con la existencia del Internet, los usuarios están saturados de publicidad y a cada rato les están ofreciendo todo tipo de productos y servicios. Ante este panorama, la única forma de llamar la atención de nuestros actuales y futuros clientes es ofrecerles un producto personalizado y que realmente lo diferencien al de la competencia.


4. eCommerce


Como hemos podido ver durante estos últimos meses, si el comercio en un establecimiento físico desaparece, no está todo perdido. Durante este confinamiento, el comercio online se ha disparado como la espuma y muchos usuarios que desconfiaban de las compras a través de este medio, han optado en esta ocasión por darle una oportunidad y adquirir productos o servicios vía online.

Si quieres que tu negocio sobreviva a esta crisis y que en un futuro prospere, es imprescindible crear una página web que te permita promocionar los productos y servicios de tu empresa, a la vez que puedas venderlos.

De esta manera, los usuarios no necesitarán desplazarse obligatoriamente a tu tienda física, algo que durante esta pandemia ha permitido la supervivencia de muchos negocios.



Como puedes ver, las ventajas que todas estas tecnologías pueden aportar al desarrollo de la actividad de tu empresa son muchas, no solo haciendo más eficientes algunos procesos y tareas y ahorrando costes, sino mejorando la calidad de la atención al cliente y la visibilidad de tu negocio.

Viendo la situación actual, la única forma de que tu empresa sobreviva a esta crisis y se pueda adaptar al futuro tan incierto y cambiante, es aplicando la tecnología en tu negocio, ya que en el siglo en el que vivimos y teniendo en cuenta la rápida evolución del estilo de vida del ser humano en estos últimos años, el futuro de las empresas está en Internet y en la tecnología.

¿Te animas a adaptar tu empresa al futuro digital?




* Artículo de Miguel Fernández Cejas *



Miguel Fernández Cejas


CEO de Itop Consulting



BIO

Socio fundador de varias empresas tecnológicas relacionadas con la consultoría de gestión, el turismo, las redes sociales o la formación.

Actualmente está centrado en la dirección de Itop (www.itop.es), consultora especializada en la implantación de soluciones tecnológicas para empresas (ERP, CRM, BA, ECM, IoT, Marketing Digital, RPA y Apps), formación online (cursos de SAP Business One) y su producto estrella Curie Platform.

Completó su formación en Ingeniería Informática con varios cursos de postgrado en Big Data, inteligencia artificial, dirección de empresas y calidad.

LinkedIn: fernandezcejas
Twitter: @fernandezcejas


22 de abril de 2020

Los Rotulos Electronicos y su impacto en publicidad y Marketing

Rótulo
La publicidad y la mercadotecnia siempre han ido de la mano en todos los sectores. Desde hace unos años, la tecnología se ha sumado a esta combinación para conseguir llegar más lejos y ofrecer mejores resultados con cada campaña y cada iniciativa.


De hecho, también desde hace unos años, formatos como los rótulos electrónicos han comenzado a frecuentar la publicidad de los negocios para conseguir un mayor impacto y visibilidad para la marca.

Un formato que bebe de cada innovación tecnológica, que llega en materia de iluminación y contenidos audiovisuales y que ha dejado más que claro que es ya todo un imprescindible en cualquier campo publicitario. Su influencia es ya indiscutible, aunque vamos a ahondar un poco más en su fórmula para entender el porqué de su potencial y de sus bondades.


Antes de seguir, ¿qué son los rótulos electrónicos?


Los rótulos electrónicos son unos formatos destinados a representar o emitir contenido visual. Los hay de diferentes tipos, pudiendo estar construidos en base a la tecnología LED para mostrar imágenes más detalladas y complejas, incluso imágenes en movimiento; o también con una tecnología más básica para mostrar información sencilla y directa.

Rótulo


Una forma de comunicación por la que cada vez apuestan más negocios. De hecho, rara es la persona que no ha visto al menos una vez un rótulo de este tipo al menos una vez en su vida. Y es que firmas como ledvolution han diseñado propuestas en este sentido que están muy presentes en ciudades, en comercios o en negocios de cualquier tipo.
¿Alguna vez has visto un letrero digital en una gasolinera indicando precios? Enhorabuena, ya has visto un rótulo electrónico.

¿Tan importantes son en publicidad y marketing?


Desde que llegaron hace ya años, los rótulos electrónicos son uno de los pilares principales de la publicidad y el marketing para empresas. La versatilidad de este formato es la base sobre la que se sustenta su popularidad y presencia en tantos lugares y negocios distintos. Y es que, a través de un rótulo de este tipo se pueden presentar y emitir muchos mensajes diferentes.

Desde cifras directas y claras hasta complejos anuncios con los que conseguir captar miradas. Los creativos tienen muchísima libertad en este sentido, encontrando opciones disponibles muy difíciles de igualar en estos formatos. De hecho, cada nuevo avance tecnológico que se hace en esta dirección no hace más que ofrecer más y más posibilidades para experimentar con nuevas formas de publicidad.

Con esto, lo que se consigue es que las marcas tengan más facilidades para captar miradas y ganar en visibilidad. Y es que no hay nada más llamativo que un rótulo electrónico con un buen planteamiento y una propuesta original. Ya no solo por el contenido que alberga, sino también por la superficie en la que se proyecta y por todo lo que le rodea. Da muchas herramientas a la hora de hacer publicidad original, y también es fácilmente aprovechable en muchos contextos diferentes.

Ventajas de este formato


La adaptabilidad es una de las grandes bazas de este formato. No importan ni la superficie, ni el tamaño ni el contenido que se quiera presentar al mundo, porque siempre se va a encontrar una forma adecuada con rótulos electrónicos a medida. Muchas empresas se han especializado en su diseño y desarrollo para poder ofrecer soluciones a medida para cada caso, y eso está permitiendo a la publicidad explorar horizontes antes prácticamente imposibles.

Además de eso, aunque se trate de una solución bastante innovadora, es también realmente económica. Dado que su tecnología se está normalizando con rapidez, ni la empresa ni los responsables de publicidad tienen que asumir costes elevados para poder diseñar campañas que usen estos dispositivos. De hecho, puede llegar a sorprender lo económicos que pueden ser algunos modelos a pesar de las grandes calidades que les dan forma.

Por su naturaleza y posibilidades, además, son un formato que lleva siempre consigo un gran impacto en el consumidor. El uso de luces y colores siempre llama la atención de las personas, y eso es precisamente lo que estos rótulos hacen constantemente por el mero mecanismo por el que se rigen. Usarlos es una garantía de captar y atraer miradas, por lo que solo hay que aprovecharlo para lanzar un mensaje con gancho e impacto para terminar de conseguir el resultado deseado.

Sin duda, los rótulos electrónicos han llegado para quedarse. Aunque ya tienen cierto rodaje, sobre todo en el campo de la publicidad, siempre se encuentran nuevas maneras de usarlos y nuevas opciones para poder sacarles partido al máximo. A esto hay que sumar también su constante evolución gracias al ritmo al que avanza la tecnología.

En definitiva, un formato ideal para publicidad y marketing que cada vez podemos encontrar con más frecuencia, pero que nunca pierde su facilidad para impresionar al público.



9 de abril de 2020

8 consejos sobre ciberseguridad durante el periodo de teletrabajo

Homework
La crisis actual del COVID-19 ha causado un incremento exponencial en el número de personas que trabajan desde casa para proteger la salud colectiva. Lo que conlleva un incremento en el riesgo en términos de Ciberseguridad.

Esto está causado fundamentalmente por dos factores:

  • La redistribución de los lugares de trabajo a espacios fuera de la oficina y el incremento en el uso de plataformas virtuales de colaboración ha ampliado sustancialmente la superficie de exposición y ataque. Esto puede amenazar la infraestructura digital de la que ahora dependemos más que nunca para dar continuidad al negocio. Puede incluso amenazar la infraestructura crítica y el suministro de servicios críticos si no se gestiona de forma proactiva.

  • La crisis del COVID-19 proporciona a los atacantes nuevas oportunidades de realizar ataques específicos, como pueden ser ataques mediante correos de phishing o de fraude dirigido. Estas tácticas tienen como objetivo aprovecharse de los ciudadanos que están lógicamente preocupados por su salud y protección en un momento en el que pueden ser especialmente vulnerables.


Homework

(Designed by Freepik) - www.freepik.com

En definitiva, el primer paso empieza en nosotros mismos: mantente alerta para permanecer a salvo y seguro.
Para ello, sigue estos 8 consejos sobre ciberseguridad durante el periodo de teletrabajo:

1. Lleva a casa únicamente los dispositivos e información que sea absolutamente imprescindible


La mejor manera de proteger la información o los dispositivos frente a pérdida es en primer lugar, no sacarlos de su entorno corporativo habitual. De esta forma, se evita el riesgo de pérdida en el trayecto o en casa.

Asegúrate por tanto de que solo llevas a casa los dispositivos e información que realmente necesitas.

2. Protege tu red doméstica y utiliza conexiones seguras


Dado que vas a estar usando tu red privada doméstica, debes protegerla de forma adecuada con un cifrado WiFi robusto y una contraseña única y compleja, así como manteniendo las correspondientes actualizaciones.

Trabaja siempre a través de una conexión segura, estableciendo si es necesario una conexión VPN (URA), especialmente si estás transmitiendo información sensible o estás accediendo a la red corporativa interna.

3. Mantén actualizado el software de todos tus dispositivos


Cuando trabajas desde casa, tus dispositivos personales y los dispositivos corporativos están usando la misma red doméstica. El tráfico de datos pasa a través del mismo router al que están conectados otros dispositivos domésticos inteligentes que, en el peor de los casos, podrían no tener una protección actualizada.

Todo ello puede ser un punto de entrada para los intrusos, por lo que se recomienda que permitas que todos los dispositivos conectados a tu red doméstica, tanto corporativos como personales, se actualicen automáticamente.

4. Apaga la función de control por voz en dispositivos domésticos inteligentes, y cubre la webcam cuando no la estés usando


Los asistentes de voz escuchan lo que se dice en la habitación y lo envían al proveedor correspondiente. La posibilidad de que esas grabaciones terminen cayendo en malas manos no debe descartarse.

Por tanto, ese tipo de dispositivos no deberían estar presentes en habitaciones en las que se discutan asuntos importantes o confidenciales o al menos deberían estar apagados.

Y asegúrate de cubrir la webcam de tu PC cuando no la estas usando, así como de tener cuidado de lo que se comparte cuando está activa.

5. No mezcles el uso personal y corporativo de los dispositivos


Haz una clara distinción entre dispositivos e información dedicados a negocio y los del ámbito personal.

No transfieras datos del ámbito de trabajo a los dispositivos personales. Esto evitará cualquier fuga accidental de información.

Como efecto secundario, ayuda también a la separación psicológica entre el tiempo "de trabajo" y el tiempo "personal".

6. Cierra la sesión cuando dejes de usar los dispositivos y guárdalos de forma segura


Incluso cuando estés haciendo un breve descanso, bloquea la pantalla de tu PC y del móvil, tal y como harías en la oficina, para que no queden accesibles durante tu ausencia.

Y, por supuesto, es necesario seguir protegiendo en todo momento los dispositivos frente a un acceso no autorizado o incluso robo también mientras están en casa, fuera de la oficina.

7. Identifica proactivamente a todos los participantes en las reuniones en línea


Las herramientas de videoconferencia son un excelente sustituto de las reuniones presenciales. Al mismo tiempo, sin embargo, puede ser más difícil verificar si todos los que aparecen conectados han sido realmente invitados.

Puede ser relativamente sencillo que personas no autorizadas que hubieran obtenido el número de teléfono y código de conferencia se conecten a reuniones con un alto número de participantes.

Por este motivo es recomendable que cualquiera conectado a un conferencia se identifique brevemente, así como comprobar si hay algún asistente no identificado, especialmente si se discuten asuntos sensibles o al mostrar la pantalla en modo de presentación.

8. Se extremadamente cauto con correos sospechosos o ficheros adjuntos, especialmente si no conoces al emisor


Especialmente en el entorno doméstico y durante el teletrabajo, es necesario mantenerse alerta frente a correos maliciosos.

Se han realizado estudios que muestran que la probabilidad de caer víctima de este tipo de ataques maliciosos es más alta cuando se trabaja desde casa.

Adicionalmente, no caigas en la trampa de precipitarte al recibir emails que requieren alguna acción extraña urgente o con noticias no contrastadas sobre la actual crisis del COVID-19. Dedica un tiempo prudencial a revisar en detalle estos emails antes de hacer clic en cualquier enlace o abrir cualquier adjunto.



23 de marzo de 2020

Cuatro ideas de negocio exitosas con impresión 3d

3D Print
La impresión 3D es un proceso para convertir gráficos tridimensionales en objetos físicos. Gracias a este sistema es posible crear maquetas, alimentos, prótesis y todo aquello que pueda imprimirse en tres dimensiones. Sin lugar a dudas, la impresora 3d es uno de los inventos más revolucionarios del siglo XXI.

3D Printer


El desarrollo de esta tecnología ha propiciado el crecimiento de diversos negocios, que han aplicado la impresión 3D para fabricar diversos artículos y han encontrado una gran respuesta del mercado. A continuación presentamos cuatro ideas de negocio exitosas con impresión 3D.


Recreus


Ignacio García es un ingeniero de Elda (Alicante) que descubrió un filamento de impresión con propiedades flexibles, un proyecto en el que trabajaba varios meses para imprimir piezas para sus modelos de aeromodelismo, una de sus aficiones.

Para promocionar su descubrimiento, en 2012 fabricó zapatillas impresas en un equipo doméstico.

Ello se publicó en blogs especializados y medios de comunicación de todo el mundo.

En 2015 nace Recreus con el objetivo de dar cobertura a los pedidos que recibía. Las facturaciones alcanzaban los 500.000 euros.


LGM Estudio


Luis Gómez fundó LGM Estudio para crear diseños de forma independiente.

La compañía se ha especializado en soluciones de microtransporte electrónico.

De este modo, atiende encargos de producciones muy cortas, como aquellos provenientes de Suecia para triciclos con remolque para la venta en la calle de comida.

De acuerdo con el propio fundador, el objetivo final es imprimir todo el vehículo y montar las piezas, pero se trata de un procedimiento muy costoso.

Gómez compró una impresora valorada en 4.000 euros y, tras una breve capacitación, inició su aventura. Hoy en día se centra en elaborar diseños de prototipos personalizados para el vehículo.


UNYQ


Manuel Boza es un ingeniero especializado en robótica que decidió estudiar dicha carrera debido a que sufrió la amputación de una pierna a los 16 años.

Como consecuencia, buscó desarrollar mecanismos que faciliten su integración a la sociedad y ayudar a otras personas.

Así nació Unyq, que se dedica a fabricar cubiertas únicas para todo tipo de prótesis de brazos y piernas.

Boza trabajó en Össur, una de las empresas más reconocidas en prótesis avanzadas. No obstante, según Manuel Boza, no se habían fijado en el detalle de las prótesis personalizadas, algo que muchas personas querían mostrar.

Por ello, y con el desarrollo de la tecnología 3D, puso a andar su proyecto de manera viable y económica.


Triditive


Mariel Díaz Castro emprendió Triditive el 2014 en Gijón, junto a dos socios fundadores.

La compañía ofrece servicios de ingeniería y producción, así como de fabricación aditiva.

Actualmente, trabaja con empresas médicas, educativas, del sector electrónica, mecánica, artesanos, etc. No obstante, la alta demanda ha impedido que acepte pedidos de muchos clientes, debido a su limitada capacidad.




6 de febrero de 2020

El Big Data, la solución clave para transformar las empresas

Technology
Seguramente en más de una ocasión habrás oído hablar del término Big Data, una de las tecnologías más revolucionarias de los últimos años. El Big Data consiste en el proceso de capturar, almacenar, distribuir, gestionar, combinar y analizar grandes cantidades de información, datos muy complejos y variados que existen en una empresa, a través de un conjunto de técnicas, tecnologías avanzadas y medios matemáticos, con el objetivo de mejorar la toma de decisiones en la empresa.

Básicamente se trata de convertir toda esa información recopilada, todos esos datos en conocimiento y ese conocimiento en acción, de tal forma que nos permita analizar lo que está pasando, predecir el futuro y tomar las decisiones más adecuadas para nuestro negocio.


Artifial Intelligence


¿Y cómo interpretamos la información si se encuentra en forma de datos?

Pues gracias a las herramientas y tecnologías que mencionamos antes, una serie de técnicas ETL (extraer, transformar y cargar) que se encargan de extraer los datos de distintas fuentes, depurarlos, prepararlos y luego cargarlos en un almacén de datos. Por medio de los Sistemas de Analítica Avanzada -de los cuales hablaremos más adelante en este artículo- se podrán representar los datos en forma de Cuadros de Mando o gráficos, que servirán de base para presentar informes y realizar el pertinente seguimiento de los indicadores de gestión de la empresa.


¿Quiénes usan el Big Data?


El Big Data puede usarse en cualquier sector e institución, pero es cierto que existen unos principales usuarios de esta tecnología:

  • Gobierno: mediante los sistemas de Big Data y gracias a la recopilación de datos, tanto el Gobierno como las autoridades disponen de una visión más amplia y completa de la actividad criminal por ejemplo, con lo cual pueden ofrecernos un mundo mucho más seguro sin tener que aumentar el presupuesto radicalmente.
  • Sistemas sanitarios: se puede prestar un mejor servicio de sanidad a los pacientes, ya que al recoger y digitalizar sus datos y sus necesidades, es mucho más sencillo atenderlos y proporcionarles diagnósticos eficaces y exhaustivos de manera mucho más rápida e inmediata. Estaríamos hablando, incluso, de salvar millones de vidas. Como ejemplo podríamos poner el proyecto de Big Data e Inteligencia Artificial desarrollado por el Centro Coordinador de Emergencias y Seguridad (CECOES) del Gobierno de Canarias junto con Synergic Partners y la Universidad de Columbia en Nueva York.
  • Empresas del sector turístico: el objetivo de cualquier empresa y más en las que se dedican al turismo es la satisfacción de los clientes. Para las empresas turísticas es muy importante medir su grado de satisfacción y ofrecerles una experiencia única. Por ello, mediante la analítica de Big Data, es posible para estas empresas brindarles la experiencia que están buscando y predecir y evitar aquellos posibles problemas antes de que sucedan.
  • Otras empresas: con el análisis de los datos de los clientes, de sus gustos y hábitos de compra, los comercios tienen la oportunidad de adaptar sus productos o servicios a las necesidades, exigencias y preferencias de estos, ofreciendo servicios de calidad y diferenciadores.

¿Cómo puede ayudarnos?


Bien es cierto que emplear los datos para la futura toma de decisiones no es algo nuevo, en el pasado las empresas analizaban los históricos que tenían, pero no ha sido hasta ahora cuando disponemos de mucha más información, de datos más específicos y detallados de múltiples fuentes, y de herramientas y analíticas descriptivas, predictivas y prescriptivas que nos permitan sacar conclusiones y actuar en consecuencia.

Gracias al Big Data, ya no se trata simplemente de interpretar y de analizar, sino de minimizar los errores, posibles eventos o problemas y la incertidumbre en las empresas, ayudándonos a afrontar los continuos cambios en nuestro negocio.

El Big Data es una de las tecnologías esenciales en la digitalización y transformación de muchas empresas. Debido a su capacidad exhaustiva de análisis de datos, podremos tomar mejores decisiones con información en tiempo real.

Para ser más precisos, el Big Data puede aportarnos los siguientes beneficios:

  • Mejor conocimiento de nuestros clientes.
  • Mayor predicción de las acciones de nuestros clientes en base a las tareas realizadas.
  • Generación de productos, servicios y ofertas a clientes basadas en sus gustos, preferencias y hábitos de compra.
  • Mejora de la satisfacción, experiencia, retención y fidelización de los clientes.
  • Automatización y transformación de los procesos del negocio, de una forma más ágil y eficaz.
  • Minimizar costes, riesgos y tiempo.
  • Identificación y comprensión plena de las causas fundamentales de fallos o errores.
  • Progreso y crecimiento más rápido que el de la competencia.
  • Mejora de la toma de decisiones al utilizar los datos de forma más correcta.

¿Cómo podemos implementarlo en nuestra empresa?


Para hacer un uso adecuado y correcto del Big Data en nuestra empresa, necesitamos contar con las herramientas apropiadas que nos permitan conseguir los resultados deseados.

Estas herramientas son los Sistemas de Analítica Avanzada que ya mencionamos al principio. Son softwares diseñados específicamente para llevar a cabo el uso de la tecnología Big Data y aplicar las técnicas ETL precisas.

Algunos de los más conocidos son Hadoop, Pyhton, Pentaho o MongoDB. Pero si no queremos invertir demasiado, ya sea porque no disponemos de un gran presupuesto o por otro motivo, siempre podemos optar por otras soluciones igual de completas e innovadoras, y realmente asequibles. Este es el caso de, por ejemplo, Curie Platform, la Plataforma de Inteligencia de Cliente que incluye múltiples funcionalidades, entre ellas CRM, Internet de las Cosas, Social Media y, como no, la Analítica Avanzada.

Independientemente de la solución que escojamos para nuestra empresa, debemos tener presente que para el éxito en la puesta en marcha de una solución de Big Data, que nos permita responder a las preguntas clave de gestión, se requiere realizar un proyecto de implantación con la metodología adecuada y con el equipo experto en este ámbito.


* Artículo de Miguel Fernández Cejas *



Miguel Fernández Cejas


CEO de Itop Consulting



BIO

Socio fundador de varias empresas tecnológicas relacionadas con la consultoría de gestión, el turismo, las redes sociales o la formación.

Actualmente está centrado en la dirección de Itop (www.itop.es), consultora especializada en la implantación de soluciones tecnológicas para empresas (ERP, CRM, BA, ECM, IoT, Marketing Digital, RPA y Apps), formación online (cursos de SAP Business One) y su producto estrella Curie Platform.

Completó su formación en Ingeniería Informática con varios cursos de postgrado en Big Data, inteligencia artificial, dirección de empresas y calidad.

LinkedIn: fernandezcejas
Twitter: @fernandezcejas



24 de enero de 2020

El CISO y la ciberseguridad

Chief Information Security Officer
El papel del CISO (Chief Information Security Officer) ha aumentado en escala, alcance e importancia durante la última década, pasando a formar parte de las filas de la dirección ejecutiva de muchas organizaciones.


La creciente complejidad de las redes de IT, la mayor sofisticación de las amenazas y el auge del coste de la ciberdelincuencia se suman a un rol de CISO que puede llevar a un negocio al éxito o al fracaso.

El CISO desempeña una función cada vez más importante en la gestión ejecutiva, con la responsabilidad de proteger los entornos locales, de nube, de tecnología operacional (OT) y de DevOps. Entre sus cometidos se incluye ahora también la seguridad física.

Artifial Intelligence
(Designed by Freepik) - www.freepik.com


1. Introducción


El puesto de Chief Information Security Officer (CISO) existe desde hace tan solo 25 años y hace mucho menos tiempo en la mayoría de las organizaciones.

A pesar de ello, la definición de esta función ha variado continuamente desde el principio. En su mayor parte, esta evolución se ha producido hacia la incorporación de responsabilidades en lugar de sustituir una responsabilidad por otra.

Los CISO ahora deben interactuar a menudo con líderes como el CFO, el CEO e incluso la junta directiva.

La ciberseguridad se ha convertido en un elemento cada vez más crítico para el balance final de muchas organizaciones, y los riesgos y costes asociados han aumentado drásticamente en la última década. Por ejemplo, el estudio The Cost Of Cybercrime revela que los delitos cibernéticos costaron a la organización típica 13 millones de dólares en 2018, un 12% más que en 2017 y un 72% más en un período de cinco años.

Los factores que intervienen son:

  • Una superficie de ataque ampliada: las iniciativas de transformación digital (DX) que se están llevando a cabo en la mayoría de las organizaciones han aumentado la complejidad de las redes de IT, y su protección es igualmente complicada. Los datos y las aplicaciones de una empresa ahora se encuentran en múltiples nubes, el tráfico de la red a menudo viaja a través de la Internet pública mediante tecnologías de red definidas por software (SDN) y grandes volúmenes de nuevos datos se originan en dispositivos del Internet de las cosas (IoT) que a menudo carecen de una protección de seguridad adecuada. A medida que estas tecnologías aparecen en línea, los equipos de seguridad habitualmente luchan por protegerlas.

  • Aumento de la complejidad de la seguridad: a medida que las redes se vuelven más complejas, la tarea de protegerlas resulta más difícil. El volumen de datos aumenta a un ritmo alarmante y a menudo es difícil identificar todos los datos confidenciales y críticos para la empresa, por no hablar de su protección. Los requisitos de cumplimiento se han vuelto más complejos y una arquitectura de seguridad con herramientas desagregadas hace que resulten más complicados tanto los informes de cumplimiento como la respuesta frente a las amenazas.

  • Un panorama de amenazas que cambia rápidamente: los ciberdelincuentes utilizan enfoques muy sofisticados y las amenazas desconocidas aumentan en frecuencia y alcance. La velocidad de los ataques también se está acelerando y la filtración de datos corporativos se produce ahora en cuestión de minutos. Las redes ampliamente distribuidas que resultan de la DX implican que los enfoques basados en el perímetro para la seguridad de la red se han quedado obsoletos. Además, los enfoques basados en firmas para la detección de malware pasan por alto el gran número de amenazas de día cero.


Como resultado, los CISO ya no pueden permitirse el lujo de ser simples tecnólogos, sino que deben convertirse en impulsores de la estrategia empresarial.

Deben ir más allá de las comprobaciones de cumplimiento y adoptar un enfoque amplio basado en la estrategia general de gestión de riesgos de una organización. Además, tienen que ampliar el enfoque de soluciones menores para cubrir la superficie de ataque y adoptar una postura integral y proactiva como respuesta a las amenazas.

2. Tendencias de la ciberseguridad según el CISO


El CISO tiene un papel cada vez más importante en la gestión ejecutiva, con un número de responsabilidades cada vez mayor que incluye la seguridad en la nube, la seguridad del IoT, las operaciones de seguridad, la formación en ciberseguridad, las normas y auditorías, y la privacidad de los datos.

Al CISO se le mide por métricas de productividad y de seguridad, y realiza un seguimiento de las tendencias generales de manera interna.

El CISO tiene una gran confianza en la posición frente a amenazas de su organización, pero tiene que hacer frente a procesos manuales y depende de ayuda externa como MSSP (Managed Security Service Provider).

Los CISO todavía sufren un número importante de intrusiones que tienen un impacto tangible en sus negocios.

3. Desafíos clave para los CISO


Los ciberdelincuentes y otros atacantes son los desafíos más importantes para los CISO.

La complejidad es el mayor reto y está originado por una superficie de ataque en expansión.

Los servicios en múltiples nubes, la conectividad móvil, la proliferación de dispositivos de IoT y SDN aumentan la complejidad de la red. Este es el origen de otros desafíos comunes citados, como la creciente necesidad de aprendizaje y desarrollo, y la proliferación de herramientas de seguridad.

Se necesitan más oportunidades de aprendizaje y desarrollo para los equipos de seguridad.

4. Conclusión


Los CISO son cada vez más importantes para el éxito de sus organizaciones. Así, han aumentado su estatus en la organización, además de sus responsabilidades.

Los CISO que siguen sufriendo intrusiones importantes pueden aprender de las siguientes prácticas recomendadas:

  • Aumento de la inversión en ciberseguridad en respuesta a un panorama de amenazas cada vez más complejo.
  • Adopción de un enfoque de gestión de riesgos respecto a la ciberseguridad.
  • Medición del rendimiento de la ciberseguridad frente a las referencias y las organizaciones similares.
  • Implementación de una arquitectura de seguridad integral con visibilidad y protección plenos frente a amenazas conocidas y desconocidas.

Además, a medida que el trabajo de los CISO se vuelve cada vez más complejo, el mejor enfoque que pueden adoptar es simplificar las operaciones a través de la integración y la automatización. Un enfoque estratégico basado en la gestión de riesgos permite a las organizaciones ser más proactivas que reactivas con la ciberseguridad.


3 de enero de 2020

Introducción a la seguridad en plataformas móviles (2ª parte)

Smartphone Security
Cuando se trata de terminales y ecosistemas móviles, existen fronteras que se desdibujan con respecto a las ideas tradicionales que se acostumbran a aplicar en redes de ordenadores y servidores; circunstancia especialmente dada por el hecho de que los terminales móviles poseen una movilidad absoluta, y no están físicamente atados a una oficina o similar.


Por tanto, los principios de seguridad física que normalmente se aplican en un puesto de trabajo y que por extensión recaían en la seguridad de los dispositivos que había dentro de ella, pasa ahora a ser insuficiente.

Generalmente se acepta el hecho de que el activo más importante que un individuo o persona posee en sus dispositivos es su información. Con ella, un atacante puede sacar partido económico o dañarnos de algún otro modo. En el caso de particulares, las venganzas digitales son cada vez más comunes, robando fotos y otras informaciones sensibles y comprometidas para publicarlas on-line.

En el de corporaciones, el espionaje industrial tradicional se agudiza con las nuevas herramientas digitales, y las brechas de información relativa a las tarjetas de crédito de los clientes se convierten en un riesgo muy serio que hay que evitar.

Como podemos suponer, las repercusiones en el mundo "real" a partir de un compromiso "digital" son inevitables ante supuestos como estos.

También podemos observar el caso inverso, donde un compromiso que empieza siendo "físico", como el robo o extravío (aunque sea temporal) de terminales, puede servir de vector de entrada para un robo de datos digitales por parte de un actor malicioso.

En el caso de que dichos datos o el terminal estén cifrados y dicho cifrado esté protegido usando mecanismos como el PIN y las claves personales, las probabilidades se minimizan.

Passcodes


Pocas cosas son tan críticas hoy en día como que la información que los usuarios guardan en sus dispositivos móviles (datos personales, contraseñas, datos bancarios, certificados digitales, etc.) se vea comprometida.

En caso de pérdida o robo de un smartphone o tablet, es importante poder garantizar que la información almacenada en él acabe en manos de otra persona.

Y una de las primeras barreras para evitarlo es la activación del bloqueo de pantalla del dispositivo utilizando un passcode.

A día de hoy, las principales plataformas móviles implementan tres tipos diferentes de passcodes:

PIN

Se trata del típico código personal de cuatro dígitos numéricos también utilizado para desbloquear las tarjetas SIM o permitir el pago mediante una tarjeta de crédito.

Son muy fáciles de recordar, pero sin embargo, en el caso de los dispositivos móviles, el PIN debería estar en desuso, ya que se trata de un número de cuatro dígitos (0000-9999) muy vulnerable a ataques por fuerza bruta.

Si el dispositivo cae en manos de una persona con ciertos conocimientos de informática no tendrá problema en hackearlo.

Contraseña

Otro tipo de passcode es la contraseña (password); más segura que el PIN, pero al ser de longitud variable y seleccionada por el usuario puede tener debilidades similares.

Se trata de un passcode alfanumérico que también puede contener caracteres especiales. Para garantiza un nivel de protección óptimo, toda contraseña debería tener una longitud mínima de entre 8 y 10 caracteres, contener letras mayúsculas y minúsculas, números y algún carácter especial.

Por este motivo muchas plataformas, aplicaciones, servicios, etc., exigen que las contraseñas que eligen los usuarios cumplan ciertos patrones (longitud y tipo de caracteres).

Patrón de deslizamiento

El tercer tipo de passcode es relativamente moderno, ya que apareció con el uso de las pantallas táctiles capacitivas, aunque no es tan seguro como una buena contraseña.

Se trata de definir un patrón de deslizamiento sobre la pantalla del dispositivo con el fin de unir algunos (mínimo cuatro) de los nueve puntos que se muestran (3x3).

A nivel de código cada uno de los puntos está numerado de izquierda a derecha y de arriba abajo (0-8), así que el patrón es codificado indicando los puntos por los que se pasa el dedo.

Un patrón puede pasar sobre uno de los nueve puntos más de una vez, pero únicamente se considerará el primer paso.

Expiración e historial de reutilización


Una medida de seguridad que a veces adoptan las plataformas móviles y hacen habitualmente muchos servicios que autentican a los usuario mediante passcodes, es la de dotar a los passcodes seleccionados por los usuarios con un tiempo de vida útil.

De esta forma, pasado dicho tiempo, el usuario está obligado a cambiar su passcode.

Esta medida puede proporcionar muchas ventajas, ya que evita que los usuarios utilicen una misma contraseña para la mayoría de sus cuentas, dispositivos, etc.; y como consecuencia, en caso de expolio de los passcodes de la base de datos de otro servicio, un atacante no obtiene acceso a tu dispositivo, a otra aplicación o servicio, etc.

Siguiendo esta misma línea, en ocasiones también se añade una medida de seguridad más, obligando a los usuarios a no poder repetir un passcode ya utilizado anteriormente a la hora de realizar un cambio. En este caso el sistema operativo, la aplicación, etc., guarda un registro con los últimos n passcodes utilizados por el usuario y antes de realizar un cambio consulta si se trata de un passcode reutilizado.

Obviamente, desde el punto de vista del usuario, estas medidas le estarán complicando un poco la vida, pero hay que pensar que se introducen por su seguridad.

Intentos máximos de uso


Con la intención de evitar que un atacante adivine un passcode a base de realizar n intentos de autenticación (ataque por fuerza bruta), las plataformas móviles suelen limitar el número de intentos fallidos que se pueden realizar.

De esta forma, alcanzado ese número máximo de intentos sin éxito, el dispositivo normalmente quedará bloqueado; aunque hoy en día también hay casos en los que se puede configurar un autoborrado total de la memoria del dispositivo como una medida de seguridad avanzada.

Ataques


El ataque más simple, y que a priori puede parecer inverosímil, se basa en estudiar las marcas físicas que hay sobre la pantalla del dispositivo a atacar.

Se llama Smudge Attack, y se suele llevar a cabo realizando una fotografía de la pantalla del dispositivo y jugando con los colores, brillos, y el negativo de la misma. Aunque no lo parezca, se pueden obtener muy buenos resultados. Por desgracia, aparte de las manchas que los usuarios dejan en las pantallas de sus dispositivos, también son muchos los bugs conocidos que tienen las plataformas móviles y que permiten que un atacante pueda saltarse la verificación del passcode.

No todos los bugs permiten el mismo nivel de acceso, y prácticamente ninguno acceso total; pero así mismo, algunos permiten acceder a los contactos del usuario, otros al historial de llamadas, a las fotos guardadas en memoria o a la aplicación de llamada. Por lo que una vez más, vemos que conviene mantener nuestros dispositivos actualizados y protegidos de la mayoría de estos bugs.

Muchas versiones de las plataformas móviles han sido y son vulnerables a ataques por fuerza bruta por culpa de otras vulnerabilidades.
Algunos dispositivos de Apple permiten realizar un ataque por fuerza bruta mediante el uso de un teclado físico conectado al dispositivo (o un software que lo emula).

Después de varios intentos fallidos el sistema operativo iOS deshabilita el teclado virtual del dispositivo, pero no así el teclado físico conectado a él.

Tener habilitada la opción de borrado tras 10 intentos fallidos podría dificultar el ataque. Sin embargo, la vulnerabilidad CVE-2014-4451 hace que esta medida de seguridad sea inútil.

El siguiente vídeo muestra cómo un atacante puede desbloquear un iPhone en unos 30 segundos utilizando la herramienta IP BOX basada en las vulnerabilidades que acabamos de comentar: https://www.youtube.com/watch?v=meEyYFlSahk

Alternativa biométrica


Una de las alternativas más seguras a los passcodes, y que ya empezamos a ver con frecuencia en el mercado, es el uso de la biometría; reconocimiento facial, de la huella dactilar, del iris, de la voz, etc. Aunque por ahora, lo más utilizado en dispositivos móviles para identificar de forma inequívoca al usuario son los sensores de huella dactilar.

Los dos pioneros en este campo fueron el Touch ID de Apple y el Finger Scanner de Samsung, en este orden. Dos lectores capacitivos que proporcionan un alto nivel de seguridad y usabilidad.

Al ser capacitivos no pueden ser engañados mediante el uso de fotografías, y además son capaces de distinguir las huellas dactilares incluso teniendo el dedo sucio, pintado o con manchas (siempre hasta cierto punto, claro está).

Los datos biométricos del usuario se deben guardar en zonas de memoria seguras. Obviamente, lo ideal sería guardar cierta información relacionada con el dato biométrico, permitiendo autenticar al usuario, pero garantizando que no se pueda realizar la operación inversa y obtener la huella a partir del dato almacenado.

En el caso del Touch ID, Apple no guarda la imagen de la huella dactilar, sino que guarda una representación matemática de la misma. Además, estos datos se guardan en el enclave seguro (Secure Enclave) dentro del chip A7 y posteriores, los cuales únicamente son consultados por el propio chip y no por el sistema operativo (iOS) o las aplicaciones.

En el caso del Finger Scanner, Samsung también guarda un patrón parcial de la huella, de forma que se pueda reconocer una huella de forma inequívoca.

Esta información se guarda en el entorno de ejecución de confianza [Trusted Execution Environment (TEE)] y en ningún caso sale de él. El TEE es el mecanismo de seguridad basado enhardware que utiliza la plataforma Android.

El hecho de desbloquear un smartphone o tablet utilizando tu huella dactilar permite que el dispositivo te identifique automáticamente como persona, ya que un rasgo biométrico es único de cada usuario y un passcode lo puedes compartir con más personas.

Por tanto, a partir de este momento se abre un amplio abanico de posibilidades a la hora de proporcionar seguridad a ciertas operaciones, o mejorar la usabilidad del sistema.

En el caso de Samsung, la primera utilidad que se le dio al sistema de escaneo de huella dactilar, aparte de la de desbloquear los dispositivos, fue la de autenticar al usuario en su cuenta de Samsung.

A partir de ese momento, otros muchos servicios siguieron el ejemplo, lo cual proporciona seguridad y usabilidad:

LastPass (gestor de contraseñas online)

Es un caso concreto de uso del Finger Scanner para autenticar al usuario en una aplicación/servicio de terceros.

FingerSecurity

Es la primera aplicación que permite utilizar el Finger Scanner para proteger las aplicaciones instaladas que tú elijas.

Paypal

El caso de uso estrella es la posibilidad de pagar tus compras con PayPal solo pasando tu huella dactilar por el lector de tu dispositivo.


Smartphone
Background vector created by starline - www.freepik.com



Información extraída del Máster en "Ciberseguridad" desarrollado por Deloitte




28 de diciembre de 2019

Introducción a la seguridad en plataformas móviles

Smartphone Security
Cada plataforma móvil necesita un análisis independiente de sus características, no solo a nivel de arquitectura de dispositivo y de software; los ecosistemas de aplicaciones a los que están conectados los terminales, así como las políticas por las que se rigen, desempeñan un papel fundamental en el nivel de seguridad y privacidad final del usuario.


Por lo que respecta a las amenazas y problemas de seguridad, básicamente hay cinco elementos clave que conviene entender. Estos sirven como modelo básico sobre el cual se articulan la mayor parte de tareas y objetivos relacionados con la gestión de la seguridad y las amenazas a la misma.

1- Prevención


La primera tarea que tiene un gestor de la seguridad (entendiéndose por gestor cualquier profesional que tenga diferentes posiciones dentro del sector de seguridad de un organigrama de empresa, no solo a los operadores y técnicos, sino a los directivos/ejecutivos) y una de las que más tiempo y energía consume es la prevención.

Probabilidades de amenaza

La prevención de amenazas implica cualquier tarea o proceso que se deba hacer periódicamente y cuya realización tenga como consecuencia un descenso de las probabilidades de amenaza.

Las probabilidades de amenaza intentan proporcionar referencias cuantitativas (es decir, lo más concretas y medibles posible), para medir las probabilidades de que determinadas amenazas impacten contra nosotros o nuestra empresa.

Aplicando el caso tradicional del antivirus, que es una herramienta de seguridad por todos conocida, el hecho de que tengamos un antivirus instalado disminuye considerablemente las probabilidades de que alguna de las amenazas de malware que ya son conocidas por los laboratorios de malware pueda impactar contra nuestros sistemas.

Además, cada vez que estamos actualizando el antivirus con nuevas definiciones de malware, estamos manteniendo esas probabilidades lo más bajas posible, ya que constantemente aparecen nuevas amenazas y el hecho de permanecer estáticos implicaría en realidad una pérdida de protección y un aumento de las probabilidades de que nos impacte una amenaza.

Vectores

La prevención también pasa por aplicar y forzar el cumplimiento de determinadas políticas o directivas de uso y de configuración de los sistemas, de manera que los usuarios no pueden abrir la puerta (abrir nuevos vectores) a determinadas amenazas o no puedan provocar problemas de seguridad de forma intencionada o no intencionada.

Por "vectores" entendemos todos y cada uno de los elementos que están expuestos a amenazas y que aumentan las probabilidades de que pueda tener éxito un ataque o hacerse efectiva una amenaza.

Un posible vector puede ser un elemento hardware, software, configuraciones, o incluso el propio usuario y su nivel de concienciación sobre seguridad.

El hecho de tener un empleado descontento dentro de nuestra propia red, y este utilice sus privilegios y derechos de acceso a sistemas para causar daños, también podría reconocerse como vector.

En el caso de que nuestro sitio web en Internet fuera manipulado por terceros (lo que se conoce como "defacement") y se hubiera utilizado una vulnerabilidad en el panel de control de nuestro servidor que permitiese entrar y modificar nuestros archivos sin pedir la contraseña, diríamos que el vector de asalto ha sido una vulnerabilidad no parcheada.

Para que los sistemas informáticos (y nuestros terminales móviles) sean útiles y puedan darnos servicio, es necesario que tengan programas, servicios, datos personales, etc., pero cada uno de ellos supone una superficie de contacto con posibles amenazas o vulnerabilidades, las cuales pueden hacer uso de dicha superficie de contacto para iniciar o progresar correctamente un ataque de malware, realizar un robo de datos mediante un asalto con un "exploit", etc.

Un ejemplo habitual de vector de entrada es el hecho de no aplicar políticas de restricción a los usuarios a la hora de que instalen software en sus terminales móviles.

Esto aumenta las probabilidades de ataque, y cualquiera de estas apps, si ocultara funciones maliciosas, serviría como vector de entrada para que la amenaza se hiciera efectiva.

Aplicar técnicas de liberaciones de restricciones a los terminales, tales como "jailbreak" a terminales iOS o "rooting" a terminales Android, aumenta las probabilidades porque aumenta los posibles vectores de entrada, ya que existe malware específico para terminales en esas condiciones.

Por ejemplo, en el caso particular de iOS, muchas veces durante el proceso de jailbreak se instala un servicio SSH que queda abierto con usuario y contraseña conocidos, creando así un nuevo vector con alto riesgo de ser explotado por un atacante externo.

Además, dado que los terminales tienen menos restricciones cuando se les practica jailbreak, se podrían producir más daños o robar más datos.

En el caso de los terminales móviles de entornos corporativos, cabe la posibilidad de utilizar soluciones de gestión remota centralizada, de manera que ciertos parámetros de configuración, políticas y límites se pueden gestionar por parte de los administradores de sistemas o administradores de seguridad de las empresas, para mejorar la prevención de amenazas y sobre todo evitar el robo de datos en el caso de que un terminal sea sustraído.

También se pueden reconocer como vectores válidos determinadas circunstancias o situaciones tales como la ingeniería social o el phishing, que intenta engañar a los usuarios para conseguir información privada directamente, o bien contraseñas que permitan el acceso a datos y sistemas privados.

En el caso del phishing, un atacante consigue llevar al usuario a una web que simula ser de una entidad legítima, tal como un banco, etc., que luego utilizarían para robar nuestro dinero de la cuenta. En tal caso hablaríamos de que el vector del ataque que ha permitido dicho robo ha sido un intento de phishing que ha tenido éxito a la hora de engañar al usuario.

2- Detección


La detección de amenazas es el siguiente paso lógico en las tareas de un gestor de seguridad.

No se puede asumir que la simple prevención de amenazas va a mantenerlas alejadas. Conviene asumir que en todo momento los mecanismos de prevención no han sido suficientes y algún tipo de ataque o contacto con una amenaza podría estar teniendo lugar. De hecho en muchos vectores, que no podemos controlar por completo, es importante tener mecanismos de detección.

En el caso particular de las plataformas móviles, es norma habitual de sus fabricantes tener mecanismos antimalware y revisiones manuales de las aplicaciones de terceros que están disponibles en sus mercados de aplicaciones, comúnmente llamados "markets" o "stores".

También existen mecanismos de denuncia por parte de los usuarios que crean haber experimentado problemas de seguridad/privacidad para llamar la atención a los dueños de las plataformas respecto a una determinada aplicación, a fin de que sea revisada de forma más detallada si es necesario.

3- Mitigación


Si nuestros procedimientos rutinarios y/o herramientas detectan una amenaza, o el análisis de la información que estas nos proporciona así lo sugiere, entra en juego el conjunto de técnicas, herramientas, o incluso el diseño arquitectónico que se haya realizado con el fin de mitigar una amenaza.

Normalmente también se incluyen en este apartado las técnicas que permiten recuperar datos perdidos o sistemas dañados tras la amenaza, aunque no se aplican inmediatamente sino cuando esta ha sido erradicada.

Algunos mecanismos para mitigar las consecuencias de una amenaza pueden ser tan simples como tener una correcta política de backups que se realizan periódicamente y que se guardan en lugar seguro.

Cambiar las contraseñas al identificar una amenaza también podría considerarse un mecanismo de mitigación. En algunos tipos de amenazas, tales como el robo de contraseñas mediante phishing, resulta imprescindible realizar este tipo de tareas.

En el caso de redes de ordenadores en entornos corporativos, la arquitectura de seguridad juega un papel importante, ya que, si los diferentes ordenadores de una red están convenientemente aislados entre sí, una amenaza que impacta contra uno de ellos tiene menos posibilidades de expandirse e incrementar los daños.

En el caso de terminales móviles, un mecanismo de seguridad que está constantemente en funcionamiento y que está pensado como contingencia es el llamado sandboxing, una tecnología que mantiene separados y supervisados los diferentes procesos que se ejecutan en el terminal, y que trata de impedir y limitar cualquier operación potencialmente maliciosa que intente realizar un software, partiendo de la premisa de que ya se ha instalado en nuestros sistemas y que, de momento, no podemos hacer otra cosa hasta que se haga posible su eliminación.

4- Eliminación


La eliminación de amenazas es el paso lógico y el objetivo primordial de un gestor de seguridad en el momento en que esta ha sido detectada.

La eliminación comprendería acciones como dar la orden a un antivirus de intentar extraer elmalware de nuestro sistema, el cierre de un servicio o desinstalación de un software que tiene vulnerabilidades para las que no se conoce una solución todavía.

5- Anticipación


Si bien este último punto no siempre se contempla en las políticas y en las estrategias de seguridad de la información de una empresa u organización, resulta cada vez más interesante y necesario prestar atención a este punto porque, ya sea por activa o por pasiva, está presente en las herramientas y soluciones de seguridad.

Existen empresas y organizaciones dedicadas a la investigación y desarrollo de nuevas tecnologías para la lucha contra las amenazas de seguridad digital, y para la investigación activa de nuevas amenazas, a fin de que puedan ser identificadas, analizadas, comprendidas y mitigadas lo antes posible.

La mayoría son laboratorios antivirus y empresas de seguridad, pero también existen instituciones y centros tecnológicos dedicados a la investigación pura.

El conocimiento generado por estas organizaciones es el que permite posteriormente a las empresas disponer de más y mejores medios para luchar contra estas amenazas, bien sea adquiriendo soluciones de software o hardware específicas que están basadas en este conocimiento, definiciones nuevas y constantes en sus sistemas antivirus, etc.

En grandes corporaciones como las bancarias es frecuente encontrar a sus propios grupos de investigadores de seguridad dedicados exclusivamente a encontrar las amenazas de malware, phishing, etc., que potencialmente puedan causar daños al negocio bancario antes de que estas puedan afectarles, o por lo menos minimizando el tiempo de respuesta y evitando que impacten sobre grandes cantidades de usuarios.




Smartphone
Mockup photo created by freepik - www.freepik.com



Información extraída del Máster en "Ciberseguridad" desarrollado por Deloitte