En el artículo 20 “Gobernanza “de la NIS2, se recoge uno de los aspectos fundamentales de la directiva europea, y es el papel protagonista que se otorga al órgano de dirección de las entidades, puesto que establece obligaciones explícitas para ellos.

La norma recoge entre otras obligaciones, la exigencia a los administradores de la aprobación de políticas de gestión del riesgo de seguridad cibernética y su supervisión. Es decir, tienen que velar porque la implementación de esas políticas de gestión del riesgo sea efectiva.

Otro aspecto relevante, es que los miembros de gestión de las entidades esenciales e importantes han de formarse obligatoriamente de manera periódica en ciberseguridad, con el fin de que adquieran los conocimientos y aptitudes suficientes para permitirles identificar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.

IMPORTANTE

La NIS2 refuerza la gobernanza exigiendo a la alta dirección supervisar riesgos, garantizar la formación y asumir responsabilidad directa en ciberseguridad

La entrada Alta dirección bajo NIS2: responsabilidad y oportunidad se publicó primero en Adaptación RGPD.

Este tipo de ataques son cada vez más sofisticados y difíciles de detectar, representando un grave riesgo para las empresas. La filtración de datos confidenciales, el daño reputacional y las posibles sanciones son algunas de sus consecuencias.

¿Cómo protegerse del spoofing? Entre otras medidas:

• Verificar remitentes antes de responder a correos o llamadas desconocidas.
• Evitar proporcionar datos sensibles a través de correos o mensajes no verificados.
• No hacer clic en enlaces sospechosos ni descargar archivos de remitentes dudosos.
• Implementar herramientas de seguridad, como cifrado de correos.
• Asegurar conexiones web con certificados SSL y revisar la URL.
• Actualizar regularmente sistemas y aplicaciones.
• Usar contraseñas seguras y activar la autenticación en dos pasos.

IMPORTANTE

Los principales tipos de spoofing son:

suplantación Web; suplantación correo electrónico (phishing); suplantación SMS (smishing); suplantación telefónica (vishing); suplantación de IP

La entrada Cómo podemos protegernos ante un ataque de Spoofing? se publicó primero en Adaptación RGPD.

Estos son las fases del ciberataque:

1. Reconocimiento: Los atacantes identifican los sitios más visitados por la empresa objetivo.
2. Infección: Infectan esos sitios con código malicioso.
3. Compromiso: Los empleados/as descargan el malware al visitar el sitio infectado, permitiendo el acceso no autorizado.
4. Exfiltración: Los atacantes espían y acceden a información confidencial desde los dispositivos comprometidos.

Este tipo de ataques funciona porque los usuarios tienen un exceso de confianza y son menos cautelosos en la navegación de sitios conocidos, y además, se aprovecha la explotación de vulnerabilidades de día cero desconocidas por los fabricantes. Los atacantes emplean un enfoque discreto y selectivo, en lugar de lanzar campañas masivas de malware que podrían activar sistemas de detección y alertar a las defensas de seguridad.

IMPORTANTE

Las medidas clave de protección: auditar los sitios corporativos regularmente, actualizar software y navegadores, restringir scripts automáticos y revisar las listas blancas de los sitios permitidos en las políticas corporativas.

La entrada ¿En qué consiste el ciberataque denominado Watering Hole? se publicó primero en Adaptación RGPD.

En un entorno cada vez más digitalizado cualquier empresa puede ser un potencial objetivo de sufrir un ciberataque. Es por ello que se hace necesario contar con una buena gestión del riesgo que proteja los datos personales de los que somos responsables.

La mayoría de los incidentes de seguridad no se corresponde con ciberataques sofisticados. En muchos casos, se podría haber minimizado con un análisis de riesgos y aplicando medidas de seguridad básica.

En este documento de la AEPD se indican cuáles son el Top 5 de las medidas técnicas de seguridad:

1ª Usar contraseñas seguras y actualizadas regularmente. Es importante implementar un segundo factor de autenticación.

2ª Crear una política clara de cómo realizar las copias de seguridad.

3ª Mantener software y sistemas operativos al día con parches de seguridad y rastrear actualizaciones periódicas.

4ª Restringir accesos mediante políticas estrictas y usar VPNS o proxies inversos.

5ª Cifrar dispositivos portátiles, memorias y copias externas para evitar filtraciones en caso de robo o pérdida.

IMPORTANTE

Se deben aplicar medidas técnicas de seguridad para evitar incidentes de confidencialidad, integridad y disponibilidad.

La entrada Adopción de medidas de seguridad orientadas a la protección de datos personales (I) se publicó primero en Adaptación RGPD.

Recomendaciones para Prevenir Ataques de Ransomware

1. No Interactuar con Correos Sospechosos: Si recibes un mensaje de un remitente desconocido o no solicitado, elimínalo sin abrirlo.
2. Analizar los Enlaces Antes de Hacer Clic: Verifica la autenticidad de los enlaces, incluso si provienen de personas conocidas. Asegúrate de que los servicios muestren la URL completa antes de visitarlos.
3. Precaución con los Archivos Adjuntos: No abras archivos adjuntos sin confirmar su legitimidad, aunque el remitente sea de confianza.
4. Mantener los Sistemas Actualizados: Instala las actualizaciones del sistema operativo y de las herramientas de seguridad desde fuentes oficiales. El software antimalware debe estar siempre activo.
5. Implementar Contraseñas Seguras: Utiliza contraseñas fuertes para las cuentas de usuario y evita otorgar permisos excesivos.
6. Controlar las Aplicaciones Instaladas: Limita la instalación de software a las aplicaciones necesarias y asegúrate de que provengan de fuentes oficiales.

Importancia de la Prevención

Protegerse del ransomware requiere prudencia y buenas prácticas de seguridad. Mantenerse alerta y aplicar estas medidas reduce significativamente el riesgo. La prevención es siempre más eficaz que enfrentar las consecuencias de un ataque.

Mantente seguro y protegido en el entorno digital siguiendo estas recomendaciones.

La entrada Prevención contra el ransomware: recomendaciones para evitar ser víctima de un ciberataque. se publicó primero en Adaptación RGPD.

Lo primero de todo, debemos saber que no difieren mucho de los timos presenciales, el ciber criminal emplea un proceso similar al del estafador en persona; primero realiza un reconocimiento, luego establece contacto, genera confianza, y finalmente manipula a su víctima para alcanzar su propósito y alejarse de la situación sin despertar sospechas.

Los atacantes usan técnicas manipulación aprovechándose de las siguientes situaciones:

• Respeto a la autoridad: el atacante se hace pasar por un organismo público o un miembro de las Fuerzas y Cuerpos de Seguridad del Estado.
• Disposición a colaborar o ayudar en los entornos laborales y comerciales.
• El miedo a perder oportunidades, como es el caso de solicitudes de pago para acceder a trabajos, premios o recompensas.
• Del ego de los individuos, mediante mensajes que notifican falsos premios o logros, instando a realizar acciones que de otro modo no se aceptarían.
• Creación de situaciones de urgencia que aprovechen la falta de experiencia, pereza o ingenuidad de las personas.

IMPORTANTE
Tras ganarse la confianza de la víctima, el atacante la manipula para obtener datos sensibles, como credenciales o información privada, para inducirla a realizar acciones como instalar software o enviar correos.

La entrada Prevención ransomware: pasos para reconocer un ataque de ingeniería social se publicó primero en Adaptación RGPD.

El uso de inteligencia artificial en el análisis de neurodatos puede proporcionar insights profundos sobre los pensamientos, emociones y condiciones de salud de una persona, así como predecir comportamientos futuros. A diferencia de los datos genéticos, la neurotecnología tiene la capacidad única de no solo registrar datos en tiempo real sino también de inducir estímulos que pueden modificar la actividad cerebral y, consecuentemente, el comportamiento a corto y largo plazo.

En conclusión, los neurodatos son considerados datos personales bajo la definición amplia del Reglamento General de Protección de Datos (RGPD), y en ciertos contextos, pueden ser vistos como datos especialmente delicados. La emergencia de esta tecnología presenta oportunidades fascinantes y desafíos significativos en relación con la privacidad y los derechos individuales.

La entrada Neurodatos y neurotecnología: privacidad y protección de datos personales (II) se publicó primero en Adaptación RGPD.

Es importante tener conocimiento de los tipos de virus que existen, como se comportan y lo que es crucial, cómo protegernos de ellos.

Spyware: es un tipo de software que se instala en nuestros activos digitales sin que nos demos cuenta. Su objetivo es espiar nuestra actividad en línea, recopilar información sobre nuestros hábitos de navegación e incluso obtener datos personales como contraseñas o información bancaria.

Un ejemplo de este virus es el keyloggers que registra y guarda todas las pulsaciones de teclas que realizamos en el teclado, de esta forma puede capturar información sensible como contraseñas, números de tarjetas de crédito.

¿Cómo podemos protegernos? Además de tener instalado y actualizado un buen antivirus, tendríamos que utilizar un gestor de contraseñas que puedan autocompletar los campos de contraseñas sin necesidad de pulsar teclas. Otra medida que resulta altamente efectiva es incluir en los dispositivos digitales la autenticación de dos factores.

IMPORTANTE

Las actualizaciones contienen parches de seguridad que salvaguardan contra amenazas recientes y ayudan a mantener nuestros dispositivos protegidos.

La entrada ¿Cómo protegernos de los principales virus informáticos? se publicó primero en Adaptación RGPD.

La Directiva Europea NIS2 representa un paso significativo hacia la mejora de la ciberseguridad en la Unión Europea. Esta nueva normativa, que sustituye a la Directiva NIS1, amplía su alcance y establece requisitos más estrictos para garantizar la seguridad de las redes y sistemas de información en sectores críticos. Esta directiva es una revisión y expansión de la Directiva NIS (Network and Information Systems) original, con el objetivo de proporcionar un nivel alto y común de seguridad cibernética en toda la UE.

Entrada en Vigor y Aplicación en España
La Directiva NIS2 entró en vigor el 16 de enero de 2023, marcando el inicio de un período transitorio hasta el 17 de octubre de 2024, fecha límite para que los Estados miembros, incluida España, transpongan la directiva a su legislación nacional.

Características y Requisitos de Cumplimiento

La NIS2 introduce requisitos y obligaciones más estrictos para las organizaciones en cuatro áreas principales: gestión de riesgos, responsabilidad corporativa, obligaciones de informes y continuidad del negocio.

1. Gestión de Riesgos: Las organizaciones deben adoptar medidas para minimizar los riesgos cibernéticos, incluyendo la gestión de incidentes, la seguridad de la cadena de suministro, la seguridad de la red, el control de acceso mejorado y la encriptación.

2. Responsabilidad Corporativa: Se exige a la dirección corporativa supervisar, aprobar y recibir formación sobre las medidas de ciberseguridad de la entidad y abordar los riesgos cibernéticos. Las infracciones pueden resultar en sanciones para la gestión, incluyendo responsabilidad y una posible prohibición temporal de desempeñar roles de gestión.

Responsabilidad de los Órganos de Dirección
Los directivos tienen la responsabilidad de aprobar y supervisar la implementación de las medidas de ciberseguridad, lo que subraya el papel de la gobernanza corporativa en la protección contra los ciberriesgos.

3. Obligaciones de Informes: Las entidades esenciales e importantes deben tener procesos para la notificación rápida de incidentes de seguridad con un impacto significativo en su prestación de servicios o en los destinatarios. NIS2 establece plazos de notificación específicos, como una “alerta temprana” de 24 horas.

4. Continuidad del Negocio: Las organizaciones deben planificar cómo pretenden garantizar la continuidad del negocio en caso de incidentes cibernéticos importantes. Este plan debe incluir consideraciones sobre la recuperación del sistema, procedimientos de emergencia y la creación de un equipo de respuesta a crisis.

Importancia de la Seguridad en la Cadena de Suministro
La seguridad en la cadena de suministro es crucial, ya que un solo eslabón vulnerable puede comprometer toda la red. La NIS2 pone énfasis en la evaluación y gestión de riesgos en la cadena de suministro, reconociendo la interdependencia de las entidades y la necesidad de proteger los servicios esenciales.

Además, la NIS2 exige que las entidades esenciales e importantes implementen medidas de seguridad básicas para abordar formas específicas de ciberamenazas probables.

Entidades Afectadas

La NIS2 afecta a una gama más amplia de entidades que su predecesora, incluyendo sectores críticos como energía, transporte, banca, infraestructuras del mercado financiero, salud, suministro de agua potable, distribución digital y espacio. Además, ahora también cubre a los proveedores de servicios digitales, como los mercados en línea, motores de búsqueda y servicios de computación en la nube.

Impacto en Entidades Privadas y Pequeñas Empresas
La NIS2 afecta a entidades privadas medianas y grandes que operan en sectores críticos. Sin embargo, las pequeñas empresas también podrían verse afectadas si los Estados miembros determinan que desempeñan un papel clave para la sociedad o la economía.

Obligaciones de las Entidades Afectadas
Las entidades cubiertas por la NIS2 deben adoptar medidas de gobernanza y gestión de riesgos de ciberseguridad, notificar incidentes significativos y asegurar la formación en ciberseguridad de sus directivos y empleados.

Aplicabilidad a Empresas Multinacionales y Servicios en la Nube
La NIS2 se aplica a nivel corporativo y debe implementarse en cada centro de trabajo dentro de la UE. Para los servicios de computación en la nube distribuidos en varios Estados, incluidos los no pertenecientes a la UE, la directiva establece requisitos específicos para garantizar la seguridad de los datos y los servicios.

Efectos en los Procesos de Ciberseguridad
Las entidades previamente sujetas a la NIS1 deberán revisar y actualizar sus procesos de ciberseguridad para cumplir con los requisitos más exigentes de la NIS2. Aquellas no afectadas por la NIS1 tendrán que evaluar su situación actual y tomar medidas para alinearse con la nueva directiva.

Implementación y Cumplimiento

La directiva entró en vigor en enero de 2023 y debe ser transpuesta por los estados miembros antes del 17 de octubre de 2024. Para ayudar a las entidades a cumplir con las medidas técnicas, operativas y organizativas de la NIS2, el Centro Criptológico Nacional ha establecido un servicio de consulta.

La NIS2 es un paso crucial para fortalecer la resiliencia de Europa contra las amenazas cibernéticas actuales y futuras. Al elevar los requisitos de ciberseguridad y ampliar el alcance de las entidades cubiertas, la directiva busca proteger las infraestructuras críticas y los servicios digitales, asegurando así la seguridad y el bienestar de los ciudadanos y empresas de la UE.

Supervisión y Sanciones
La supervisión se adaptará al tipo de entidad, siendo más rigurosa para las entidades esenciales. Las sanciones por incumplimiento pueden ser significativas, reflejando la importancia de cumplir con las medidas de seguridad establecidas.

En resumen, la Directiva NIS2 es un marco legal robusto que busca fortalecer la resiliencia de la UE frente a los ciberataques y garantizar la continuidad de los servicios críticos. Su implementación exitosa dependerá de la colaboración entre los Estados miembros, las entidades afectadas y los proveedores de servicios de ciberseguridad.

La entrada La Directiva Europea NIS2: Un Nuevo Horizonte en Ciberseguridad se publicó primero en Adaptación RGPD.

Estos son algunos de los principales incidentes de ciberseguridad:

• Infecciones por código malicioso: sobre todo a través de correo electrónico, páginas web comprometidas, SMS o redes sociales.
• Intrusión y vulnerabilidades: Explotación de vulnerabilidades conocidas, compromiso de cuentas y aplicaciones y suplantación de identidad.
• Ataques DoS y fallos de disponibilidad: Denegación de servicio afectando recursos como redes, servidores y equipos.
• Compromiso de la información: cuando se produce un acceso no autorizado o se ha producido una modificación por cifrado de
• Fraude y phishing: a través de la suplantación de entidades legítimas para beneficio económico.
• Escaneo de redes (scanning) para investigar sobre tecnologías y sistemas utilizadas por la empresa.
• Análisis de paquetes (sniffing) analizar el tráfico de red permitiendo un monitoreo de redes en tiempo real.

IMPORTANTE 

La inversión en ciberseguridad resulta crucial para la prevención y minimización de los riesgos ocasionados por los incidentes de ciberseguridad.

La entrada ¿Cuáles son los principales incidentes de ciberseguridad? (II) se publicó primero en Adaptación RGPD.