En un mundo donde la información es el activo más valioso de una empresa, garantizar la seguridad y disponibilidad de los datos es clave para evitar pérdidas económicas y operativas. Sin embargo, muchas empresas aún no implementan medidas adecuadas para proteger su infraestructura IT. ¿Cómo puedes asegurarte de que tu negocio no sea una víctima de fallos, ataques o errores humanos? En este artículo, te contamos las mejores estrategias para fortalecer la protección de tus datos y mantener la continuidad de tu empresa.

Protección y Prevención del Phishing

Introducción

El phishing, una táctica de ciberataque que aprovecha la ingeniería social para engañar a individuos y obtener información confidencial, representa una amenaza cada vez mayor en el panorama digital actual. Como proveedor líder en soluciones tecnológicas, en F10 Informática entendemos la importancia de proteger a nuestros clientes contra este tipo de ataques. A continuación, presentamos un informe detallado con sus diferentes formas, y las medidas que implementamos para prevenirlo y proteger a nuestros clientes.

Definición y Tipos de Phishing

El phishing implica el envío de mensajes fraudulentos que persuaden a las víctimas para que divulguen información personal o financiera sensible. Los tipos más comunes son:

1. Spear Phishing: Ataques altamente dirigidos que se enfocan en individuos específicos.
2. Phishing de Clonación: Creación de sitios web falsos que imitan a empresas legítimas.
3. 419/Estafas Nigerianas: Ofertas fraudulentas de grandes sumas de dinero a cambio de una pequeña inversión inicial.
4. Phishing Telefónico (Vishing): Engaños a través de llamadas telefónicas para obtener información confidencial.
5. Smishing: Phishing realizado a través de mensajes de texto.

Identificación y Prevención

Para identificar y prevenir ataques, es crucial:

• Revisar el remitente: Verificar la autenticidad del remitente del correo electrónico.
• Analizar el contenido: Estar atento a errores gramaticales, solicitudes inusuales o urgentes de información.
• Inspeccionar enlaces y archivos adjuntos: Evitar hacer clic en enlaces sospechosos o abrir archivos adjuntos desconocidos.
• Desconfiar de solicitudes de información sensible: Las instituciones legítimas nunca solicitan información personal o financiera a través de correos electrónicos no solicitados.

Compromiso de F10 Informática

En F10 Informática, nos comprometemos a proteger a nuestros clientes. Implementamos medidas proactivas, que incluyen:

• Educación del Usuario: Capacitación para reconocer y evitar ataques de phishing.
• Soluciones de Seguridad Avanzadas: Utilización de herramientas de filtrado de correo electrónico y software antivirus.
• Verificación de Sitios Web y Comunicaciones: Confirmación de autenticidad mediante conexiones seguras y autenticación de dos factores.
• Actualización de Contraseñas: Recomendación de cambios periódicos y el uso de contraseñas seguras.
• Seguimiento de las Últimas Amenazas: Mantenimiento de alerta sobre las tendencias y técnicas de phishing.

Conclusiones

En resumen, el phishing representa una amenaza seria en el entorno digital actual. En F10 Informática, estamos comprometidos a proteger a nuestros clientes contra este tipo de ataques, mediante la implementación de medidas preventivas y educativas. Nuestro objetivo es brindar un entorno seguro y protegido para sus operaciones en línea.

Para obtener más información sobre cómo podemos proteger su empresa contra el phishing y otras amenazas cibernéticas, no dude en ponerse en contacto con nosotros.

Puedes ver más publicaciones interesantes en el siguiente enlace: https://www.f10informatica.es/blog/blog-noticias-f10/

Utilizar certificados SSL de pago en tu aplicación ERP tiene varios beneficios importantes y desde F10 Informática recomendamos esta práctica.

Para los usuarios los cuales no disponen de un certificado de pago ahora disponemos de certificados Let’s Encrypt

1º Intentaremos explicar los beneficios de un certificado de Pago.

Seguridad de los datos: Los certificados SSL de pago brindan un nivel más alto de seguridad en comparación con los certificados SSL gratuitos. Al utilizar un certificado de pago, estás obteniendo un nivel más riguroso de validación y autenticación, lo que garantiza la confidencialidad e integridad de los datos transmitidos entre tu aplicación ERP y los usuarios.

Confianza del usuario: Al mostrar un certificado SSL de pago en tu aplicación ERP, los usuarios verán el candado verde y la barra de direcciones HTTPS, lo que indica que la conexión está cifrada y segura. Esto genera confianza en tus usuarios, ya que saben que la información que ingresan en tu aplicación estará protegida.

Cumplimiento de normativas: En muchas industrias, como la banca y el comercio electrónico, es obligatorio utilizar certificados SSL de pago para cumplir con las regulaciones y normativas de seguridad. Al utilizar certificados de pago, puedes demostrar que estás tomando las medidas necesarias para proteger la información confidencial de tus usuarios.

En resumen, utilizar certificados SSL de pago en tu aplicación ERP proporciona un mayor nivel de seguridad, aumenta la confianza del usuario y cumple con las normativas de seguridad requeridas por la industria.

¡Aquí están las fuentes que respaldan esta información:

https://www.globalsign.com/es/blog/understanding-why-ssltls-certificates-are-essential-securing-mobile-applications

2º Si tu información no es importante, obtén un certificado para tu aplicación.

Lo más importante es utilizar un certificado SSL, ya sea gratuito o de pago, en tu aplicación ERP. Ambas opciones brindan un nivel de seguridad adicional al cifrar la comunicación entre tu aplicación y los usuarios.

Aunque los certificados SSL gratuitos suelen ofrecer una validación de dominio más básica en comparación con los certificados de pago, siguen siendo efectivos para proteger la información transmitida. Al utilizar un certificado SSL gratuito, aún estarás brindando confidencialidad y autenticidad a los datos que se transmiten dentro de tu aplicación ERP.

Algunas formas en las que puedo ayudarte con respecto a usar certificados SSL en tu aplicación ERP son:

Explorar opciones de proveedores de certificados SSL gratuitos y brindarte información sobre su implementación y configuración.

Revisar la configuración de tu aplicación ERP y asegurarme de que el certificado SSL esté correctamente instalado y configurado.

Proporcionar asesoramiento sobre cómo mantener tu certificado SSL actualizado y renovado para garantizar una protección continua.

Recuerda que aunque los certificados SSL gratuitos son una opción válida, los certificados de pago pueden ofrecer un nivel adicional de validación y confianza para tu aplicación ERP.

La comúnmente conocida Ley antifraude trae una nueva obligación para las empresas y los autónomos, con el objetivo de no permitir la producción y tenencia de programas y sistemas informáticos que permitan la manipulación de los datos contables y de gestión, y como ocurre con el resto de obligaciones tributarias, viene aparejada con la correspondiente infracción y sus sanciones, que pueden llegar hasta los 150.000 euros para las empresas comercializadoras de este tipo de software y a los 50.000 euros para quienes los usen. 

ARTÍCULO 201 BIS. LEY 11/2021, DE 9 DE JULIO.

Publicada en el Boletín Oficial del Estado el 10 de julio, la Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego, entra en vigor de forma progresiva desde el 11 de julio de 2021. 

Las empresas tienen tres meses, hasta el 11 de octubre de 2021, cuando serán de aplicación los apartados cuatro y veintiuno del artículo decimotercero, que modifican la Ley 58/2003, de 17 de diciembre, General Tributaria (LGT), para asegurar que el software que fabrican y utilizan los clientes no dispone, por ejemplo, de capacidades de doble contabilidad, no reflejar la anotación de transacciones realizadas, permitir que ciertas transacciones “especiales” se registren ilegalmente asi como otras cuestiones que nosotros auditamos. 

Según nos solicita el artículo 29 de la LGT: 

j) La obligación, por parte de los productores, comercializadores y usuarios, de que los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos. Reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándar para su legibilidad. 

Las sanciones también quedan descritas artículo 201 bis de la LGT: 

Artículo 201 bis. Infracción tributaria por fabricación, producción, comercialización y tenencia de sistemas informáticos que no cumplan las especificaciones exigidas por la normativa aplicable. 

Constituye infracción tributaria la fabricación, producción y comercialización de sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión por parte de las personas o entidades que desarrollen actividades económicas, cuando concurra cualquiera de las siguientes circunstancias: 

a) permitan llevar contabilidades distintas en los términos del artículo 200.1.d) de esta Ley; 

b) permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas; 

c) permitan registrar transacciones distintas a las anotaciones realizadas; 

d) permitan alterar transacciones ya registradas incumpliendo la normativa aplicable; 

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley; 

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados. 

Constituye infracción tributaria la tenencia de los sistemas o programas informáticos o electrónicos que no se ajusten a lo establecido en el artículo 29.2.j) de esta Ley, cuando los mismos no estén debidamente certificados teniendo que estarlo por disposición reglamentaria o cuando se hayan alterado o modificado los dispositivos certificados. 

Las infracciones previstas en este artículo serán graves. 

La infracción señalada en el apartado 1 anterior se sancionará con multa pecuniaria fija de 150.000 euros, por cada ejercicio económico en el que se hayan producido ventas y por cada tipo distinto de sistema o programa informático o electrónico que sea objeto de la infracción. No obstante, las infracciones de la letra f) del apartado 1 de este artículo se sancionarán con multa pecuniaria fija de 1.000 euros por cada sistema o programa comercializado en el que se produzca la falta del certificado. 

La infracción señalada en el apartado 2 anterior, se sancionará con multa pecuniaria fija de 50.000 euros por cada ejercicio, cuando se trate de la infracción por la tenencia de sistemas o programas informáticos o electrónicos que no estén debidamente certificados, teniendo que estarlo por disposición reglamentaria, o se hayan alterado o modificado los dispositivos certificados. 

Los fabricantes y comercializadores se arriesgan a una multa de 150.000 euros por cada ejercicio y programa vendido que no se ajuste a las especificaciones 

F10 informática después de cumplir los prerrequisitos se ha puesto en contacto con una de las empresas lideres del sector para certificar el software Sed, y continuar siendo una empresa líder en el sector de la distribución y alimentación de Bebidas.

Recuperación en la nube alta disponibilidad backup

En F10 trabajamos cada día para dar un mejor servicio a nuestros clientes, prueba de ellos es el sistema de recuperación de desastres que ya tenemos disponible para nuestros clientes, aquí os vamos a dejar una breve explicación sobre el funcionamiento del sistema que F10 propone a sus clientes y como este mejora los tiempos de recuperación de desastres sobre el sistema convencional.

Os explicaremos que incorpora el sistema de copias de seguridad ofrecido por F10 informática a sus clientes.

• Copia de seguridad en la nube, en el cloud de Acronis totalmente securizado.
• Copia de seguridad encriptada en Sha256
• Plataforma intuitiva para saber el estado de las copias y las diferentes actividades.
• Autenticación de doble factor.
• Recuperación en la nube de nuestros servicios en menos de 15 minutos.

Cada cliente tiene unas necesidades diferentes , es por ello que los planes ofrecidos para cada cliente son personalizados, desde f10 informática realizamos un análisis de las necesidades de la empresa para así poder ofrecer el servicio adecuado a cada cliente.

Ejemplo de planificación alta disponibilidad.

Las copias son encriptadas por lo que solo el cliente puede des-encriptar dicha información con su palabra maestra manteniendo así sus datos totalmente protegidos.

El sistema es personalizadle tanto a nivel de encriptación ya comentado con anterioridad como a nivel retención. Todo cliente debe de contar con un plan de respaldo y, si es necesario, de continuidad del negocio que garantice el RTO (Máximo tiempo de inactividad del sistema) y el RPO (Máximo tiempo de pérdida de datos) definidos en este plan. En base a dicho análisis tambien debería de tener un plan de acción en caso de desastres , para ello después de nuestro estudio procederemos a dejar parametrizado nuestro sistema para una rápida recuperación en caso de desastre.

El sistema puede ser totalmente creado en Cloud con diferentes configuraciones:

Vpn sitio a sitio, punto a sitio o dual. Esto es importante ya que dependiendo del escenario nos podremos encontrar con que solo ha sido dañado nuestro servidor y todos nuestros empleados acceden desde las oficinas, o en casos más graves podríamos no disponer de oficina de trabajo y todos los empleados podrían estar trabajando desde diferentes puntos.

En caso de incidencia grave solo tendremos que encender la máquina Vpn y encender nuestros servidores en la nube con un tiempo estimado de 15 minutos, toda nuestra empresa estará trabajando.

Quedamos a su disposición para aclarar cualquier duda que pueda surgir o para apoyar cualquier trabajo que se nos solicite. Puede contactar con nuestro equipo de sistemas, con su contacto habitual en F10 Informática o enviarnos un correo electrónico a Soporte F10

Se ha hecho pública una vulnerabilidad -zero dar- que afecta a la seguridad del software Apache Log4j identificada como CVE-2021-44228 y con una valoración de criticidad 10 to 10.

No siendo una aplicación muy conocida por nuestros clientes es importante indica que es usada por millones de empresas desarrolladas de software ya que es una aplicación de código abierto muy utilizada para monitorizar actividades de aplicaciones Java.

Os dejamos el enlace de Incibe donde se puede obtener una informacióncompleta sobre el estado de la vulnerabilidad y las noticias destacadas sobre el mismo , podéis manteneros informados en este enlace de incide.

Desde F10 informática nos mantenemos atentos y estamos revisando la utilización de dicho software y las dependencias de librerías de terceros.

• Oracle Database: La empresa ha notificado que no se requiere ninguna actualización de forma oficial.
• Movilidad Sed: No se ve afectado por esta vulnerabilidad
• Servicios conectividad Sed: No se ve afectado por esta vulnerabilidad.

Os mantendremos informados ya que nuestro equipo de programación está analizando el sistema para encontrar posibles usos no controlados.

Aprovechamos este documento para recordar a todos nuestros clientes un listado de buenas prácticas que toda empresa debería tener para que estos incidentes nos afecten lo menos posible.

• Mantener nuestro software actualizado, evitar software sin soporte o no legal.
• Aplicar seguridad perimetral , kaspersky cloud y seguridad perimetral Fortinet o Zyxel Firewall.
• Disponer de un plan de detección de vulnerabilidades. Herramienta Kaspersky Cloud.
• Disponer de un plan de copias de seguridad y las medidas ante posibles encriptaciones.

Es importante recomendar a los clientes la opción de tener una copia de seguridad reciente Off-line como una buena practica a nivel de seguridad y un plan de acción ante la posibilidad de un ciberataque. Tiempos de acción, tiempos de parada y ejecución.

Para cualquier duda o aclaración puedes ponerte en conectado con nuestro soporte en f10@f10informatica.com.

Mantener tu sistema seguro

Los sistemas de gestión empresarial son la base del funcionamiento de cualquier empresa en la actualidad. Sin ellos la empresa no se entiende del mismo modo, puesto que no es factible procesar el volumen de operaciones que se requieren de forma manual y por supuesto, la dirección de la empresa necesita contar con la información que proporcionan los sistemas para poder tomar las mejores decisiones en tiempo real.

Por esta razón, resulta clave que la empresa habilite las medidas de seguridad necesarias que aseguren la continuidad del sistema. Entre estas medidas cabe destacar cinco:

1. Prevenir el acceso a la información a personas no autorizadas

Los sistemas deben contar con los medios adecuados para prevenir el acceso a las personas no autorizadas a cada una de las opciones y a los diferentes niveles de información. Para ello, los sistemas deben estar bien diseñados a nivel técnico y, además, deberá existir una política adecuada de gestión de las claves de acceso y también de los sistemas que controlen los posibles accesos por parte de personas ajenas a la empresa.

Se trata de un aspecto regulado a nivel legal por la Ley de Protección de Datos, que establece unos requisitos mínimos en función del nivel de clasificación de los datos personales gestionados por el sistema.

2. Seguridad general en los sistemas y redes de la empresa

En última instancia, los sistemas de gestión empresarial se encuentran ubicados en la infraestructura de sistemas y en la red corporativa de la empresa. Es por tanto necesario que exista un adecuado nivel de seguridad a nivel general, para prevenir accesos externos, robos de información, entrada de virus, etc.

3. Realizar copias de seguridad con una periodicidad adecuada al nivel máximo de pérdida de datos asumible por la empresa

En la mayor parte de las empresas, la copia se hace de forma diaria, lo que podría conllevar la pérdida de un día completo de datos. En algunos casos, esta pérdida no es asumible y por tanto se deben realizar copias “en tiempo real”, lo que requiere contar con los recursos tecnológicos adecuados. Cabe señalar que hay empresas que no realizan la copia de una forma regular, lo que supone asumir importantes riesgos y en ocasiones incluso incumplir la legislación vigente.

4. Asegurar la disponibilidad de las copias de seguridad

Hacer una copia de seguridad de los sistemas de gestión es una condición necesaria para la continuidad de la empresa, pero no es una condición suficiente. Muchas empresas hacen una copia de seguridad, pero no comprueban que dicha copia está bien hecha y por tanto que sería recuperable en caso de necesidad. En ocasiones los medios físicos empleados no son los adecuados o son medios que se degradan fácilmente.

Otra de las razones que pueden ocasionar problemas de seguridad es el no extraer la copia de seguridad fuera de la empresa. Los posibles riesgos de pérdida de datos pueden proceder de errores en los medios de almacenamiento (discos duros), corrupción de los datos (por virus u otras causas) o también incidentes de mayor alcance como pueden ser incendios, inundaciones, robos, etc.

En caso de un incidente como un incendio, de nada sirve tener una copia de seguridad, si dicha copia también está en el mismo lugar en el que se produce el incendio.

Con el aumento del ancho de banda de las redes de comunicación, cada vez son más las empresas recurren al envío de copias de seguridad a otras ubicaciones diferentes al centro de trabajo de la empresa. En algunas ocasiones estos servicios se contratan con centros de proceso de datos, que aseguran un alto nivel de disponibilidad de sus sistemas.

5. Disponer de sistemas para la recuperación de los datos en caso de caída de los sistemas principales

Independientemente de que exista copia de seguridad, para que el sistema de gestión pueda funcionar, es necesario que esté también disponible la infraestructura necesaria para el funcionamiento de dicho sistema (ordenadores, bases de datos, comunicaciones, etc.).

Para incrementar el nivel de disponibilidad, las empresas tienen la opción de adquirir sistemas con niveles de redundancia, de modo que se minimice la probabilidad de fallo. Asimismo, las empresas pueden contar con infraestructuras de back up para poder utilizarlas en caso de fallo de la infraestructura principal. Al igual que se comentaba en el caso de las copias de seguridad, estas infraestructuras de back up conviene que estén ubicadas en un lugar diferente de la infraestructura principal, para evitar que los posibles incidentes afecten tanto a la infraestructura principal como a la de reserva.