Informática & Derecho WikiBlog

El costo final de un ataque de ransomware es siete veces mayor que la cantidad que se paga por el rescate

En España, en el Q1 de 2022, un ataque de ransomware ha afectado a una de cada 54 empresas, lo que supone un aumento del 27% respecto al pasado año (1 de cada 55 compañías en el primer trimestre de 2021)

Check Point Research ha analizado conjuntos de datos para explorar los dos lados de una amenaza de ransomware: las víctimas y los ciberdelincuentes

Check Point Research (CPR), muestra nuevos datos sobre el impacto de los ataques de ransomware tras el análisis de las filtraciones del grupo Conti y diferentes conjuntos de datos relacionados con las víctimas. Hay que tener presente que el pago de un rescate no es más que un pequeño componente del coste real de un ataque de este tipo, ya que se estima que el precio total es 7 veces mayor.

Qué errores comunes pueden colar ransomware en los sistemas

Continuar leyendo
  2284 Hits

El Tribunal Supremo se pronuncia por primera vez sobre el delito de apropiación indebida de un dominio de internet (España)

La Sala de lo Penal ha dictado una sentencia en la que se pronuncia por primera vez sobre el delito de apropiación indebida de un dominio de internet y absuelve a cuatro miembros de una asociación religiosa que fueron condenados a pagar una multa de 720 euros cada uno tras ser acusados de haberse apropiado del nombre de dominio de ésta.

Los cuatro acusados pertenecían a la asociación religiosa Alfa Educación para una Salud Integral, creada en 2010, cuya finalidad era divulgar el contenido de la iglesia adventista a través de los medios de comunicación. Para ello crearon una página web, con el dominio de internet www.alfatelevisión.org, y abrieron cuentas bancarias y de Paypal, a donde los seguidores podían realizar donaciones. Además, registraron la marca Alfa Televisión.

Continuar leyendo
  2241 Hits

Ransomware: medidas preventivas (INCIBE)

             Publicado el 21/09/2021, por INCIBE

 

Ransomware: medidas preventivas (I)

Un ransomware o malware de rescate, es un tipo de programa malicioso cuya finalidad es inutilizar los equipos infectados mediante el cifrado de sus archivos locales o aquellos almacenados en unidades de red conectadas a ellos, para obtener principalmente beneficios económicos, exigiendo a las víctimas el pago de un rescate a cambio de descifrar la información. Con ello, se impide un correcto funcionamiento del equipo, provocando la denegación de servicio, tanto a nivel de sistema como de información, ya que el sistema queda inutilizado y la información inaccesible.

En otras situaciones, el atacante puede actuar de acuerdo a motivaciones no económicas, como pueden ser el hacktivismo o los ataques cibernéticos estimulados por reivindicaciones políticas o sociales.

Desde 1989, primer momento en el que se tiene constancia del uso de un ransomware, este malware ha evolucionado adaptándose a cualquier plataforma actual como Windows, Mac o Android; dando lugar a diversas familias como Petya, WannaCry, Maze o Ryuk; y llegando a ser distribuido en el mercado negro mediante plataformas de Ransomware-as-a-Service (RaaS).

Para minimizar las posibilidades de infección o mitigar las consecuencias de un ataque por ransomware, se recomiendan tomar ciertas medidas preventivas que se explicarán a continuación, agrupándolas por bloques, como objetivo de este artículo de blog.

Hardening del sistema operativo

Continuar leyendo
  3385 Hits

ISO 8402: términos básicos y fundamentales relacionados con los conceptos de la calidad, aplicables a todos los campos

Es un complemento de la serie de normas ISO 9000. En ella se definen términos relacionados con la calidad. Clarifica y normaliza los términos relativos a la calidad que sean aplicables al campo de la gestión de la calidad. La necesidad de utilizar una terminología normalizada para evitar malentendidos o confusiones, obligó al desarrollo de una norma auxiliar que precisara términos y conceptos.

La norma ISO 8402 define los términos básicos y fundamentales relacionados con los conceptos de la calidad, aplicables a todos los campos.

Continuar leyendo
  2482 Hits

¿Cómo crear un informe de pentesting?

Es una pregunta muy habitual entre profesionales que están empezando a trabajar en pentesting y aunque hay plantillas que se pueden encontrar fácilmente en internet y algunas herramientas los generan automáticamente, como profesional sigo ciertas normas a la hora de elaborar los documentos que debo entregar a los clientes tras finalizar los trabajos. En este post y en el siguiente hablaré sobre este tipo de detalles que es posible que te sean útiles.

 

0. Nociones básicas

La elaboración de informes es una de las cuestiones más importantes en cualquier auditoría y en ellos se debe reflejar de forma clara y concisa los descubrimientos y conclusiones a las que has llegado. Cualquier informe normalmente debe incluir como mínimo lo siguiente:

Continuar leyendo
  3201 Hits

La autoridad de control en Argentina sancionó al Ministerio de Salud de la Provincia de San Juan por la vulneración de una de sus bases de datos

El 28 de julio de 2020 la Dirección Nacional de Ciberseguridad (DNC) recibió una alerta sobre la vulneración del sistema sanitario público de la Provincia de San Juan denominado Andes Salud. La DNC más tarde confirmó que personal de la empresa Security Discovery le informó sobre una posible exposición de información sobre datos de pacientes infectados con COVID-19 registrados en la base de datos del Ministerio.

Así, la AAIP requirió al Ministerio que se expidiera sobre determinados aspectos referidos con la responsabilidad, las medidas de seguridad adoptadas y los hechos ocurridos.

Sobre las medidas de seguridad, el Ministerio detalló que antes del incidente el entorno de desarrollo era sólo accesible desde la red local. Sin embargo, a partir del mes de abril de 2020, la base se publicó en Internet para facilitar el trabajo remoto y, por lo tanto, quedó desprotegida desde entonces.

Por último, el Ministerio sostuvo que al momento del incidente la cantidad de registros de ciudadanos de la Provincia de San Juan que se encontraban en la base de datos eran 115.282 personas. Asimismo, detalló los datos personales que integran la base de datos del Sistema Andes Salud: nombre completo, número de DNI, número de CUIL, género, fecha de nacimiento, foto, número de teléfono y correo electrónico. Según informó el Ministerio, la base no contendría datos de pacientes infectados con COVID-19.

Continuar leyendo
  3118 Hits

Beneficios Fiscales de la Ley de Economía del Conocimiento

Procedimiento para acceder al régimen de promoción

Se estableció el procedimiento para que las empresas accedan a beneficios fiscales previstos en la Ley de Economía del Conocimiento. La normativa habilitó además el registro donde deben inscribirse los distintos contribuyentes para adherir al régimen de promoción como también los mecanismos de coordinación con la Subsecretaría de Economía del Conocimiento del Ministerio de Desarrollo Productivo.

La Ley de Economía del Conocimiento, sancionada en octubre de 2020, apunta a promover nuevas tecnologías, generar valor agregado, fomentar el empleo de calidad, facilitar el desarrollo de pymes y aumentar las exportaciones de las empresas que se dediquen a servicios basados en el conocimiento.

El régimen prevé la emisión de un bono de crédito fiscal intransferible por un monto equivalente de hasta el 70%  o el 80% -según el caso- de las contribuciones patronales pagadas que podrá ser utilizado para pagar el Impuesto al Valor Agregado (IVA) y otros impuestos nacionales durante los 24 meses posteriores a su emisión, prorrogables por 12 meses más.

Para acceder a los beneficios, los interesados deben inscribirse en el Registro Nacional de Beneficiarios del Régimen de Promoción de la Economía del Conocimiento (“Registro EDC”).

Continuar leyendo
  2870 Hits

Investigadores de Toshiba crearon una red cuántica que aseguran que es imposible de hackear

 

 

 

 

 

 

Toshiba (uno de los pesos pesados en el mundo de la tecnología) dio a conocer esta semana que ha transmitido con éxito información cuántica a través de fibra óptica de 600 km de longitud.

 

Los investigadores de la compañía establecieron un nuevo récord de distancia y anunciaron un nuevo futuro para las redes cuánticas gigantes que podrían enviar información de forma segura entre ciudades e incluso países. Estos científicos han demostrado que pueden transmitir bits cuánticos a través de cientos de kilómetros de fibra óptica sin codificar los frágiles datos cuánticos codificados en las partículas.

Continuar leyendo
  2737 Hits

España, a la cabeza mundial en Ciberseguridad

España, a la cabeza mundial en Ciberseguridad
01 de julio 2021

España logra el 4º puesto a nivel mundial en el Índice Global de Ciberseguridad 2020, elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidades, y se sitúa sólo por detrás de EEUU, Reino Unido, Arabia Saudí y Estonia, e igualada con Corea del Sur y Singapur.

 

En esta valoración internacional, España ha obtenido un total de 98.52 puntos sobre 100, con la puntuación máxima en los pilares legalidad, desarrollo de capacidades y cooperación. A nivel de la Unión Europea España, se sitúa en segundo lugar, sólo superada por Estonia (99.48 puntos), lo que demuestra el compromiso de nuestro país con la ciberseguridad.

 

 
Continuar leyendo
  2625 Hits

RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS PRIVADAS - Ley 27401 - Objeto y alcance.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de

Ley:


ARTÍCULO 1°.- Objeto y alcance. La presente ley establece el régimen de responsabilidad penal aplicable a las personas jurídicas privadas, ya sean de capital nacional o extranjero, con o sin participación estatal, por los siguientes delitos:

a) Cohecho y tráfico de influencias, nacional y transnacional, previstos por los artículos 258 y 258 bis del Código Penal;

b) Negociaciones incompatibles con el ejercicio de funciones públicas, previstas por el artículo 265 del Código Penal;

c) Concusión, prevista por el artículo 268 del Código Penal;

d) Enriquecimiento ilícito de funcionarios y empleados, previsto por los artículos 268 (1) y (2) del Código Penal;

e) Balances e informes falsos agravados, previsto por el artículo 300 bis del Código Penal.

ARTÍCULO 2°.- Responsabilidad de las personas jurídicas. Las personas jurídicas son responsables por los delitos previstos en el artículo precedente que hubieren sido realizados, directa o indirectamente, con su intervención o en su nombre, interés o beneficio.

También son responsables si quien hubiere actuado en beneficio o interés de la persona jurídica fuere un tercero que careciese de atribuciones para obrar en representación de ella, siempre que la persona jurídica hubiese ratificado la gestión, aunque fuere de manera tácita.

La persona jurídica quedará exenta de responsabilidad sólo si la persona humana que cometió el delito hubiere actuado en su exclusivo beneficio y sin generar provecho alguno para aquella.

Continuar leyendo
  2217 Hits

Guía Práctica contra la Ingeniería Social del LISA Institute

Es muy probable que hayas oído hablar de la Ingeniería Social alguna vez, pero realmente ¿sabes qué es la Ingeniería Social o en qué consiste? ¿Conoces sus riesgos? ¿Qué ataques pueden llevar a cabo los "ingenieros sociales"? ¿Sabrías cómo prevenirlos o evitarlos?

La Ingeniería Social tiene un papel imprescindible en una gran cantidad de ataques y ciberataques, más allá de lo grande, pequeño o sofisticado que sea el acto delictivo. Pero, ¿en qué se basa? Cuando hablamos de Ingeniería Social, en realidad, estamos hablando de persuasión, de manipulación psicológica y de falta de precaución de la víctima.

A continuación te hemos preparado una Guía Práctica sobre la Ingeniería Social para que conozcas los principales aspectos de este fenómeno y puedas proteger tanto a los de tu entorno como a ti:

  • ¿Qué es la Ingeniería Social?
  • Tipos de ataques de Ingeniería Social
  • 6 principios de la Ingeniería Social
  • 10 consejos para evitar ser víctima de un ataque de Ingeniería Social
  • 5 aspectos que quizá no sabías de la Ingeniería Social

 

Continuar leyendo
  3038 Hits

Servicio postal encuentra paquetes perdidos con tecnología de IA de NVIDIA

Anteriormente, entre ocho y diez personas necesitaban varios días para localizar y recuperar los paquetes perdidos dentro de las instalaciones de USPS. Ahora lo hacen una o dos personas en un par de horas utilizando la IA.

 

En una de sus últimas innovaciones tecnológicas, el Servicio Postal de los Estados Unidos (USPS), obtuvo la ayuda de IA de Nvidia para solucionar un problema que ha complicado los procesos existentes durante mucho tiempo: cómo rastrear mejor los paquetes que se pierden dentro del sistema de USPS para poder encontrarlos en horas en lugar de en varios días.

USPS, en asociación con los consultores tecnológicos Accenture y Nvidia, diseñó un sistema para resolver el problema de los paquetes perdidos.

Para ello, se estableció un sistema de IA en el borde distribuido ECIP sobre plataformas NVIDIA EGX, cada una de las cuales ejecuta cuatro GPU NVIDIA V100 Tensor Core en servidores HPE Apollo 6500. Cada servidor edge procesa 20 terabytes de imágenes al día procedentes de más de 1.000 máquinas de procesamiento de correo, según NVIDIA. Los sistemas están gestionados por el software de código abierto Triton Inference Server de NVIDIA, que actúa como un “cartero digital”, entregando modelos de IA a cada uno de los sistemas de procesamiento de correo ubicados en los 195 centros de procesamiento de correo operados por el USPS.

Continuar leyendo
  2338 Hits

Las 10 Claves del Éxito (en la ciberseguridad doméstica)

Cada día que pasa son más las corporaciones, pymes o administraciones públicas que sufren un ciberataque en su red de datos, en el mejor de los casos la empresa se queda sin poder operar durante unas horas o días, en el peor, los datos nunca van a poder ser recuperados y la empresa desaparecerá. ACTUALIZACIÓN: Comencé a escribir este artículo el domingo 18 de abril, hoy es sábado 24 de abril, durante esta semana en España se han producido al menos cinco ciberataques graves contra empresas privadas y administraciones públicas, prácticamente un ataque por día. De ahí la importancia de aplicar políticas de ciberseguridad en nuestras redes, será caro hacerlo (que tampoco lo es tanto), pero mas caro es no hacerlo.

En este artículo no os voy a contar como protegeros de un WannaCry, NotPetya, Ryuk, Cobalt Strike, Mirai y del resto de animales del zoológico ciber o quizás sí, tampoco os voy a decir que instaléis un antivirus, me imagino que ya lo habéis hecho. Es cierto que podemos englobar los ciberataques actuales en dos grandes bloques, las APT (Amenazas Persistentes Avanzadas), es decir, un ataque en el que se su objetivo se centra en una única empresa o corporación y hasta que no lo consiga, no parará, por suerte no son los más comunes. El segundo tipo de ciberataque son los del tipo indiscriminado, es decir, un grupo de cibercriminales lanza su ataque de forma global a miles de usuarios sabiendo que un pequeño porcentaje de ellos se convertirá en víctimas, estos si son los más habituales hoy en día.

Continuar leyendo
  3602 Hits

Un banco no debe responder por transferencias que el cliente desconoce haber realizado si los factores de seguridad -clave alfanumérica y los números de la tarjeta de coordenadas- fueron ingresados en forma regular. Cipriano Ricardo José y otro c/ Banco Credicoop Limitado s/ ordinario.

Partes: Cipriano Ricardo José y otro c/ Banco Credicoop Limitado s/ ordinario

Tribunal: Cámara Nacional de Apelaciones en lo Comercial

Sala/Juzgado: F

Fecha: 28-dic-2020

Cita: MJ-JU-M-130378-AR | MJJ130378 | MJJ130378

El banco no es responsable por transferencias que el actor considera realizadas por terceros desde su cuenta a través de la banca online, porque, habiendo sido concretadas mediante el sistema de doble validación aplicado exitosamente en el primer intento, el banco no estaba compelido a desplegar accionar alguno al respecto.

Sumario:

1.-Una decisión judicial adolece del vicio de arbitrariedad cuando omite el examen de alguna cuestión oportunamente propuesta y cuya valoración resulta inexcusable para las circunstancias probadas en la causa y para la posterior aplicación del derecho vigente, cuando se prescinde del claro e imperioso mandato de la Ley, siempre que afecte de manera sustancial el derecho del impugnante y, lo silenciado sea conducente para la adecuada solución de la causa, o cuando se falla sobre la base de una mera aserción dogmática.

2.-La tacha de arbitrariedad requiere la invocación y demostración de vicios graves en el pronunciamiento, razonamientos ilógicos, o contradictorios, o aparentes y apartamiento palmario de las circunstancias del proceso.

Continuar leyendo
  2255 Hits

ISO 27042. Directrices para que la evidencia digital sea considerada apta para ser prueba judicial.

ISO 27042

Directrices para el procedimiento de la actuación pericial en el escenario de la identificación y análisis de la evidencia digital, hasta que esta es considerada apta para ser prueba judicial.

Tipología de dispositivos

Los dispositivos y entornos que vamos a ver en esta norma suelen ser:

  • Equipos y medios de almacenamiento y dispositivos periféricos.
  • Sistemas críticos (alta exigencia de disponibilidad).
  • Ordenadores y dispositivos conectados en red.
  • Dispositivos móviles.

Sistema de circuito cerrado de televisión digital.

Continuar leyendo
  2400 Hits

LOPDGDD: la nueva Ley Orgánica de Protección de Datos en España (2018)

A solo unos meses de haber acogido el Reglamento General de Protección de Datos - RGPD, el Congreso ha decidido aprobar una nueva ley que adapte el ordenamiento español a dicho reglamento. Conocida ahora con las siglas LOPDGDD, esta normativa incluye algunas novedades en cuanto a los principios de la protección de datos, el tratamiento de los mismos, entre otros. Si aún no conoces esta nueva ley, te invitamos a seguir leyendo el presente artículo.

 

¿Qué es la ley de protección de datos llamada LOPDGDD?

La Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales de 2018, es un anteproyecto de ley que fue presentado ante el Consejo de Ministros el 24 de junio de 2017 y el cual fue aprobado por el Congreso el pasado 18 de octubre. Sus siglas son un complemento de su antecesora, la LOPD, y “reflejan los nuevos derechos” consignados en esta nueva normatividad.

Continuar leyendo
  2385 Hits

Consejos del Info-Lab para evitar una estafa electrónica

Estos son los consejos del Info-Lab para evitar una estafa electrónica, compartilos, seguramente ayudaras a alguien a no ser estafado en la web:

 

Continuar leyendo
  3410 Hits

El “doxing” una forma de venganza a través de la violación de la privacidad

  • El doxing es una forma de acoso que consiste en amenazar a una persona mediante la revelación de datos personales.
  • Un 26 % de las mujeres en España que han sufrido abusos en internet reconocen haber sido víctimas de doxing.
Doxing-violacion-privacidad

El ‘doxing’, una práctica en alza que sufren activistas feminsitas

 

El doxxing o doxing, es el término procedente de la abreviación de documentos en inglés (dox). Es una práctica que consiste en revelar en internet datos o documentos personales o directamente la identidad completa de una persona, generalmente mujeres, sin su consentimiento: dirección, correo electrónico, números de teléfono, nombres de sus hijos/as… con la finalidad de incitar al acoso en la vida real de la víctima, para causarle angustia, pánico o alarma.

El término doxing suele venir acompañado de una connotación negativa, porque puede ser un medio para la venganza a través de la violación de la privacidad.

Según un informe de Amnistía Internacional, una de cada cinco mujeres en España afirmaba haber experimentado abusos o acoso en las redes al menos en una ocasión, y un 26 % de estas mujeres que habían sido acosadas, como mínimo una vez habían sufrido doxing.

Continuar leyendo
  3258 Hits

Los 5 errores más comunes que cometen los abogados en los juicios

El abogado David Federick, que ejerce la abogacía en Washington D.C., Estados Unidos, ha realizado una clasificación de los errores más comunes que los abogados cometen en los juicios y la ha dividido en cinco partes, según consta en su libro «The Art of Oral Advocacy» (El arte de la defensa oral).

Errores que son extrapolares a los que cometen los abogados españoles.

Son estos:

ERRORES DE ESTILO AL HABLAR

Entre los que se incluyen leer textos al tribunal, hablar con demasiada retórica o pasión, o hablar demasiado alto.

 
 

ERRORES SUSTANTIVOS

Entre los que se incluyen evitar dar respuestas a preguntas directas, expresarse con metáforas mal construidas, y argumentar sobre temas que van más allá de lo que se trata en el juicio.

Continuar leyendo
  2460 Hits

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: