Cómo protegerse del fallo de las redes WiFi tras romper el protocolo WPA2: Los expertos en seguridad informática insisten en la necesidad de instalar los parches de seguridad que los fabricantes de tecnología manden en los próximos días. (conozca más)

  Que quede claro: cambiar tu clave del router WiFi de tu casa no sirve para nada en este caso. Nos referimos al descubrimiento de una grave vulnerabilidad que afecta al protocolo WPA2, el más extendido y en seguro en las redes inalámbricas de todo el mundo. Los expertos en seguridad informática han insistido en que la principal medida de contención ante posibles intromisiones es instalar los parches de actualización ya preparados por algunas empresas de tecnología.Pero, ¿existe alguna medida de contención? Por el momento poco se puede hacer. Los expertos aconsejan navegar por direcciones web bajo el protocolo de cifrado Https que soportan determinadas páginas web, actualizar en la medida de lo posible los parches de seguridad lanzados por las empresas de tecnología (Microsoft o Apple ya han anunciado actualizaciones) y evitar cambiar el sistema WPA2 por otro más inseguro como los anteriores WEP. «El problema es que muchos puntos de acceso no podrán ser parcheados sobre la marcha con lo que usar wifi puede ser inseguro en la mayor parte de los escenarios», añade a ABC Deepak Daswani, experto en seguridad informática.

¿E.s mi equipo o móvil vulnerable?

La trascendencia de Krack es importante, pero cabe destacar que para sufrir este ataque el ciberatacante debe encontrarse en la red local y estar dentro del alcance de la red WiFi. Microsoft, por su parte, ya ha encontrado una solución para contrarrestar los efectos de un posible ataque. Ya está disponible para Windows 7 y Windows 10. Afortunadamente, no se han desvelado los procedimientos concretos para realizar un ataque, pero el descubrimiento de un fallo en las conexiones inalámbricas ya es de por sí un asunto gordo. En el caso del sistema Android, el fallo afecta al 41% de los dispositivos basados en este sistema operativo para móviles.

Los cibercriminales no son los "sofisticados hackers" de Hollywood.

  Entre los errores que algunas veces comenten los periodistas cuando cubren historias de ciberseguridad está llamarlos ataques "sofisticados" cuando, en muchos casos, son cualquier cosa menos eso. Y eso tiende a irritar a profesionales de la seguridad informática. No existe una definición real de lo que significa un ataque sofisticado, pero un hackeo más o menos elaborado puede implicar obtener inteligencia de una red compleja específica antes de que pueda ser explotada susceptiblemente de forma exitosa. Es verdad que estos ataques ocurren. Sin embargo, los hackers y cibercriminales que con frecuencia acaparan los titulares no han hecho nada especial.De hecho, son unos oportunistas astutos, como cualquier criminal.

Según el jefe de la Oficina Europea de Policía (Europol), el incremento de cibercrímenes es "implacable". La agencia ha identificado unos métodos cada vez más comunes -nada sofisticados- de estos atacantes del siglos XXI. Los hackers y cibercriminales que con frecuencia acaparan los titulares no han hecho nada especial" Esto incluye ataques sobre pagos digitales, ramsonware (que pide un rescate para "liberar" los archivos restringidos del sistema infectado), venta de material ilícito en la web oscura y robar datos personales para realizar fraudes.

La mayoría de las veces, el crimen organizado busca alistar en sus filas los servicios de hackers sin ética y jóvenes conocedores del lenguaje de computación que usan programas desarrollados por otros para infiltrarse en sistemas informáticos. "Para llevárselos al lado oscuro, las bandas criminales le dicen (a los hackers) 'muéstranos qué tan bueno eres'", señala el profesor de la universidad de Surrey Alan Woodward, consejero de la Europol.La forma en que los jóvenes terminan involucrados en este tipo de actividades fue detallada recientemente en un informe de la Agencia Nacional del Crimen (NCA, por sus siglas en inglés) del Reino Unido. La edad promedio de las personas arrestadas por cometer hackeos maliciosos era de 17 años, y los delitos incluyen vandalismo las páginas de internet, robo de datos y entrar a computadoras privadas.

  Controlar los emails tiene sus requisitos de legalidad.     La Gran Sala del Tribunal Europeo de Derechos Humanos  ha dado este martes su amparo a un trabajador cuya empresa leyó sus mensajes privados en su cuenta de correo electrónico del trabajo sin avisarle previamente. No obstante, el tribunal alega que la condena se basa en que el empleado en cuestión no era consciente de la supervisión de la gestión de sus cuentas de trabajo dentro del horario laboral. La sentencia hace referencia al caso de un ciudadano rumano que fue despedido de su trabajo diez años atrás por utlizar una cuenta del trabajo para enviar correos personales a sus familiares. La sentencia europea, contra la que no cabe recurso, dictamina que los tribunales rumanos no verificaron si el demandante había sido advertido previamente por su empresa de  la posibilidad de que sus comunicaciones fueran vigiladas ni del alcance de esa supervisión. El fallo concluye, por 11 votos contra seis, que las autoridades rumanas «no han alcanzado un justo equilibrio entre los intereses en juego» y «no han protegido correctamente» el derecho del demandante al respeto de su vida privada y su correspondencia. Este derecho a la intimidad de la vida privada y familiar y de la correspondencia está protegido por el artículo 8 del Convenio Europeo de Derechos Humanos. Los integrantes de la sala concluyen que las autoridades rumanas no evaluaron las razones que argumentaban la implementación de las medidas de vigilancia y si se podían haber llevado a cabo «medidas menos intrusivas» para la privacidad. «La Corte ha considerado, siguiendo las normas internacionales y europeas, que la advertencia de un empleador tenía que darse antes de que se iniciara la vigilancia, especialmente cuando se trata de acceder a los contenidos de las comunicaciones de los empleados», reza el fallo.

Comunicaciones «con fines personales»

El demandante, Bogdan Mihai Barbulescu, de 36 años, trabajó entre 2004 y 2007 en una empresa privada como ingeniero de ventas y sus superiores le pidieron abrir una cuenta de Yahoo Messenger como parte de su trabajo diario. Posteriormente, se le informó de que sus comunicaciones «habían sido vigiladas del 5 al 13 de julio» y de que habían comprobado que «había utilizado internet con fines personales». Entre las comunicaciones espiadas, había mensajes con su hermano y su novia «acerca de cuestiones personales como su salud o su vida sexual». Unos días después, la empresa le despidió «por infringir el reglamento interior que prohibía el uso de sus recursos con fines personales». Los jueces han considerado ahora que los tribunales rumanos no protegieron la correspondencia privada de Bogdan Barbulescu porque  su compañía no le había dado aviso previo de que se estaban vigilando sus comunicaciones. Rumanía deberá abonar al demandante 1.365 euros en un plazo de tres meses por gastos judiciales y honorarios del trabajo.

“I've told the truth, I didn't come to fool you” Leonard Cohen   Primer desayuno de trabajo sobre Compliance y Prueba digital del 14 de Abril próximo: escuchar, en presente. El cupo de asistentes  se agotó en 48 horas,  a pesar que duplicamos el espacio disponible. Quedamos comprometido con todos los que se registraron luego de completarse el cupo a realizar otro Desayuno, en la segunda parte del año. Pero no deberíamos extrañarnos: en la actividad comercial argentina, el 93% de la documentación es digital. Y toda debe ordenarse según protocolos que registren las nociones y lineamientos de un compliance eficiente. Y si hay un juicio, hay que saber como preservar las pruebas digitales, para que el Juez las considere. El mito que estos temas sólo están al alcance de la grandes ligas, no tiene sustento. Todos tenemos que organizar nuestros procedimientos internos. Y también  buscar y preservar los documentos digitales con los que defenderemos a nuestros clientes. Los concurrentes así lo ratificaron: asistieron, contadores, funcionarios de empresas de la más variada envergadura, gente dedicada a sistemas y hasta  a Organizaciones sin fines de  lucro. Todos quieren conocer, para optimizar ganancias. En este época, no es poco… Concerte una entrevista. Saber donde está parado es la primera etapa de la solución.    

En qué consiste la función del Compliance Officer dentro  de una organización? En sus orígenes, el Compliance Officer era aquel profesional que cuidaba que las organizaciones no incurrieran en multas relacionadas con las actividades propias de las mismas. Ese rol evolucionó, consecuencia de la severidad de las sanciones impuestas por los organismos de contralor, y a los escándalos corporativos relacionados principalmente con corrupción y fraude, que derivaron en severas pérdidas económicas (multas millonarias, daños reputacionales, pérdida de valor de las acciones, alejamiento de inversores, pérdida de contratos). Hoy en día, el Compliance Officer es un aliado, un socio estratégico en el negocio, alguien a quien conviene escuchar al momento de tomar decisiones trascendentes para una organización, porque sus recomendaciones, imbuidas de un profundo conocimiento de la organización y del negocio, tienen en cuenta los objetivos establecidos por ésta, y son producto de la evaluación de los riesgos que implica cada decisión estratégica que se toma, evitando así exposiciones indeseadas. Como experta en el tema, qué dificultades ve hoy en las organizaciones en relación al Compliance Officer? Por lo que mencionábamos anteriormente, es claro que el Compliance Officer es una figura sobre la cual recae muchísima responsabilidad, y por ende, debe estar muy bien preparado para asumirlo. Por otra parte, las tareas de capacitación y monitoreo del programa de Compliance implementado, insumen de por sí una enorme carga horaria. Sucede que en algunas organizaciones, la posición de Compliance se adiciona a la figura del Responsable de Legales, por ejemplo, quien a priori ya se encuentra sobrepasado de tareas, y muchas veces debe integrar esta nueva posición sin contar con presupuesto suficiente o una estructura para cubrir estas necesidades de la manera más adecuada, o bien se crea desde cero, con los mismos déficits, elevando entonces el margen de riesgo de incumplimiento en la organización, que es lo que precisamente se desea evitar. C4B Compliance for Business surge así como respuesta a esta necesidad de las organizaciones, permitiéndoles tercerizar todos o algunos aspectos inherentes o vinculados al rol del Compliance Officer. Cuál cree que son las características que debe reunir un buen Compliance Officer ? La figura del Compliance Officer es interesante, porque además de profundos conocimientos técnicos (avales y certificaciones, actualización permanente, experiencia en campo, conocimiento de la industria de que se trate), debe ser sólido en las denominadas soft skills o habilidades blandas: comunicación efectiva, desarrollo de empatía con el entorno, poder de convicción, constancia y liderazgo, todos ellos atributos personales que le permitirán, por ejemplo, realizar tareas formativas como capacitaciones a su personal en materia del Código de Etica o políticas de su organización, como también conducir un proceso de investigación por fraude cometido por algún empleado dentro de la misma. El fraude corporativo parece que ha comenzado a ser moneda corriente dentro de las organizaciones. Por qué considera que se produce? Las organizaciones se componen de seres humanos, y como tales, pueden estar sujetos a tentaciones. Los fraudes internos dentro de una organización son cometidos por empleados (aún aquellos de alta jerarquía) que ven en la falta de controles adecuados una oportunidad, que sienten algún tipo de presión o necesidad sea interna (aprietos financieros, por ejemplo) como externa (mantener el status económico-social de su familia) y que, en definitiva, encuentran internamente un mecanismo de justificación que los lleva a corromperse, a tomar recursos de la organización en su propio beneficio, o a confeccionar informes falsos. Estas situaciones no son privativas de las grandes organizaciones, sino que afectan a todas por igual, incluyendo por supuesto a las PyMes, y recrudecen en tiempos de crisis como los actuales, lamentablemente, como quedó demostrado a través de estudios recientes. Cuál es, a su criterio, la mejor manera de evitar estas situaciones ? El primer paso consiste en que el pequeño, mediano o gran empresario pueda admitir que no está exento de ser víctima de esta situación. Ello le permitirá la apertura necesaria como para establecer mecanismos de protección y control eficaces, tales como planes de administración de riesgos anti-fraude, y si éstos fallan, activar mecanismos de investigación adecuados. En este sentido, la tecnología legal resulta ser una verdadera aliada, ya que permite diseñar y monitorear diferentes protocolos de manejo de información, comunicación y, llegado el caso, investigación, con especial cuidado en la obtención y preservación de pruebas informáticas, para que resulten válidas en una eventual acción judicial. Cómo vislumbra el futuro  de Compliance en Argentina ? Compliance, definitivamente, llegó para quedarse.  Si bien ingresó de la mano de las grandes organizaciones, obligadas mediante normas internacionales, regionales, o locales, muy paulatinamente, está comenzando a ser materia de discusión en la mesa chica de ciertas pequeñas y medianas empresas, por todas las ventajas competitivas que su implementación trae aparejadas. En mi opinión, el número de PyMes que implementen programas de Compliance continuará en franco aumento, cuando desde éstas se observe que sus propios competidores acceden a contratos más beneficiosos, mejores inversores, mayor reputación, y que gracias a este tipo de programas, evitan o mitigan multas que bien podrían atentar contra su propia conservación. Tener implementado entonces un programa de Compliance, sea internamente o a través de firmas especializadas, constituirá, sin lugar a dudas, una ventaja competitiva para toda organización.   Cristina Viviana Devoto Abogada, Diploma de Honor (UBA), Especialista en Asesoramiento Jurídico de Empresas (UBA), Agente de Marcas y Patentes (INPI) y Profesional Certificada CEC | Certificación en Ética y Compliance (AAEC-UCEMA), con Distinción Especial al Mérito Académico. Posee una vasta y reconocida experiencia en la industria farmacéutica. Es Miembro del Comité Ejecutivo de la Asociación Argentina de Etica y Compliance. Actualmente es Socia en C4B Compliance for Business. FIRMA DIGITAL EN ARGENTINA- Usted está convencido. La solución para que nadie impugne sus documentos digitales o transacciones es utilizar firma digital. Por dónde empezar: Identifique cuales son los documentos o transacciones, que usted quiere convertir en “No repudiables”

• Identifique quiénes serán los usuarios que envíen los documentos digitales o generen acciones.

• Identifiquen quienes recibirán estos documentos

  Del uso de la tecnología de firma digital en su aplicación concreta nos ocupamos nosotros. Consúltenos. Lo podemos guiar en definir los beneficios que esta tecnología proporcionará  a su negocio.  

Usted está convencido. La solución para que nadie impugne sus documentos digitales o transacciones es utilizar firma digital. Por dónde empezar:

• Identifique cuales son los documentos o transacciones, que usted quiere convertir en “No repudiables”
• Idenfique quienes serán los usuarios que envíen los documentos digitales o genereran acciones.
• Identifiquen quienes recibirán estos documentos

Del uso de la tecnología de firma digital en su aplicación concreta nos ocupamos nosotros. Consúltenos. Lo podemos guiar en definir los beneficios que esta tecnología proporcionará  a su negocio.

1. Son tiempos de cambio para Ud.

Año Nuevo vida nueva? Vivimos en una sociedad en proceso de cambio donde valores como transparencia e integridad están pasando a conformar la verdadera esencia de la cultura organizacional. Y ello motivado no solo en el juicio moral de hacer lo correcto, sino en la clara convicción de que el cumplimiento, la integridad y la reputación, lejos de ser un costo, constituyen una verdadera ventaja competitiva para la organización. Hay muchos ejemplos también de empresas que al cometer actos ilegales han debido enfrentar no sólo los costos de la investigación, sanciones millonarias, y baja abrupta en la cotización de sus acciones,  sino también una menor rentabilidad respecto de aquellas que no han sido sancionadas, y un daño reputacional de muy difícil reparación. Hoy en día, el público consumidor ha comenzado a elegir productos de empresas que respetan estos valores. Lo mismo ocurre con los empleados más talentosos y también con los inversores, que eligen no colocar su capital en empresas que no cuenten con programas de compliance implementados. En esta escenario, y con el compromiso de sus tres socias, nace C4B Compliance for Business, con el claro objetivo de crear valor en las organizaciones promoviendo negocios con integridad, brindando soluciones ajustadas a las necesidades específicas de cada una. En un contexto normativo y regulatorio cada vez más complejo y exigente, donde los avances tecnológicos y la utilización masiva de las redes sociales garantizan que ya nada quede ‘dentro de las cuatro paredes’, las organizaciones  se ven expuestas a numerosos y diversos riesgos, sin tener generalmente conciencia de ellos.  

2. Dra. Manusovich, Ud. es una referencia en el mercado por su conocimientos en Compliance. Cuál es su opinión sobre el complemento de su actividad con la tecnología legal, que posibilita pruebas digitales, donde antes había incertidumbre ?

  Existe una sinergia evidente entre Compliance y tecnología legal desde dos enfoques distintos. Por un lado, de forma proactiva, mediante evaluaciones de riesgo periódicas y diseñando protocolos de información, comunicación e investigación tendientes a mitigar los riesgos a los que podrían estar expuestas las organizaciones   Por otro lado, de forma reactiva, y ante la sospecha de una conducta disvaliosa, mediante la ejecución de un  protocolo de investigación que proporcione las pautas forenses para la debida identificación, análisis y preservación de las pruebas digitales. De nada serviría a una organización contar con pruebas fehacientes respecto de una conducta fraudulenta, cuando las mismas han sido obtenidas en forma ilegal, o violentando la cadena de custodia, o prescindiendo del acta notarial en caso de la prueba digital. En cualquiera de estos supuestos, la prueba, si bien reunirá la calidad de relevante y fehaciente, será inválida e inadmisible y por ende, no podrá hacerse valer en una eventual acción judicial.  

3. Compliance se basa en el acatamiento de las buenas prácticas. Las integraría con un protocolo, en caso de pérdida de información de la empresa?

  Claramente. Al igual que las organizaciones suelen contar con protocolos de calidad, producción y/o validación de su equipamiento, también deberían contar con un protocolo  que les indique las medidas técnicas que deberán adoptarse en caso de pérdida de información.  No es novedad el valor que tiene la información para cualquier negocio, y el tiempo dinero y esfuerzo que emplea cualquier organización en el desarrollo de sus datos estratégicos. Dado que hoy en día  la pérdida de esta información es percibida por las organizaciones como uno de los mayores riesgos, incluso mayor a la pérdida de activos físicos, parece razonable establecer los recaudos técnicos para que la información y los documentos sean preservados manteniendo su integridad, autenticidad, fiabilidad, legibilidad y funcionalidad.

4. Cómo ve Compliance en cinco años? 

  Los programas de compliance están formando parte de la estrategia de negocio de las organizaciones locales de envergadura. En una reciente encuesta realizada por el IAE Business School, entre 98 CEOs de empresas grandes de Argentina, el 91% consideró que el área de Compliance es muy importante o importante para competir en la industria. Esta realidad, que ha visto su génesis en las grandes empresas multinacionales, responde a una necesidad de mercado impulsada por estándares internacionales, y normativa regulatoria de aplicación extraterritorial (FCPA, UKBA, Ley anticorrupción Brasil, por citar los ejemplos más relevantes). No obstante ello, el gran desafío que se presenta hoy día y a futuro,  son las  PyME, que constituyen un alto porcentaje del entramado empresarial argentino y donde todavía no se ha tomado conciencia respecto de la relevancia e incidencia del tema. Los viejos paradigmas: ‘lo hacemos porque no hay otra’; ‘todos los hacen’, están llegando a su fin, frente a la alternativa de crecimiento que representa para cualquier PyME continuar el vínculo como agente, distribuidor, proveedor o representante de una empresa extranjera. Sólo una organización respetuosa de las reglas y con reputación de cumplidora será homologable para una multinacional que exigirá, como requisito para mantener el vínculo comercial, la acreditación e implementación de un programa de compliance que la resguarde y minimice cualquier situación de riesgo frente a, por ejemplo, la normativa anticorrupción aplicable. Esto representará una verdadera ventaja competitiva frente a cualquier otra PyME, pues sólo aquella PyME cumplidora será elegible por otras multinacionales. De hecho, ya existen hay iniciativas que tienden a compartir por industrias listados de empresas proveedoras o distribuidoras que califiquen dentro de los estándares de compliance requeridos para una homologación.   El gran desafío que nos proponemos entonces, desde C4B Compliance for Business, es acompañar el desarrollo de las organizaciones, cualquiera sea su tamaño, entendiendo que Compliance, lejos de representar un costo o un problema a afrontar es, por todo lo que mencionamos anteriormente, una clara oportunidad de crecimiento. Patricia Manusovich Abogada, Diploma de Honor (UBA), Especialista en Tributación, CEC | Certificación en Ética y Compliance (AAEC-UCEMA), Diplomada en Relaciones Públicas e Institucionales (UB). Miembro del Consejo Ejecutivo de la Asociación Argentina de Etica y Compliance,  Club del Compliance Officer, Foro Argentino de Mujeres Ejecutivas, y Asociación Argentina de Estudios Fiscales. Posee una amplia y reconocida trayectoria en temas vinculados al ámbito corporativo, con foco en temas de Gobernanza, Etica y Compliance. Actualmente es Founding Partner de C4B Compliance for Business