1

Gestión de riesgos en la identidad digital

La probabilidad de que ocurra un contratiempo o de que alguien o algo sufra algún tipo de perjuicio o daño es algo inevitable. Esta ineludible posibilidad se denomina «riesgo». Una vez comprendemos que el riesgo 0 es imposible, nuestra labor es tratar de reducir la probabilidad de que el contratiempo ocurra, disminuir sus efectos y saber qué hacer en caso de que pase. Y es de esto de lo que voy a hablar en este tercer post, dentro de la secuencia que estoy realizando sobre la identidad digital.

Primero de todo, mencionar que se debe actuar sobre 3 elementos diferentes a la hora de gestionar una buena reputación online y son los siguientes: el contenido online que yo genero, el contenido que se genera sobre nosotros por parte de terceros y el contenido que se genera en el marco de las relaciones con los demás.

Otra cosa que debemos tener en cuenta es que la identidad es contextual. Esto significa que puede generar un impacto negativo si se emplea en un contexto erróneo. Es por ello que mantener las identidades analógica y digital separadas entre sí es positivo [1].
Captura

Es el momento de volver a mencionar conceptos previamente citados en la introducción realizada en el primer post sobre Identidad Digital, pero esta vez explicando a fondo dichos riesgos.

  1. Suplantación de identidad digital. Esto ocurre cuando una persona se hace pasar por otra con el fin de obtener un beneficio [2]. Una posible aplicación de este hecho delictivo podría ser que alguien se hiciera pasar por la organización COMIDA y que bombardeara a clientes habituales de esta empresa por email o RRSS. Estos emails o mensajes pedirán al cliente que done una cantidad simbólica a un número de cuenta determinado para colaborar con un comedor social. De esta forma, la entidad COMIDA se vería afectada a pesar de posiblemente no ser consciente del suceso.
  2. Utilización de derechos de propiedad industrial por terceros no autorizados. Los derechos de propiedad industrial tienen una doble dimensión; permitir a su propietario su utilización e impedir a terceros usarlo. Si se infringe esto por un tercero, la entidad propietaria se convierte en víctima y deben denunciar a las autoridades. Esto puede ser cometido debido a la falsa sensación de que en Internet “todo vale” o por terceros malintencionados para divulgar elementos del negocio como patentes o secretos industriales.
  3. Amenazas a la reputación online. Esta amenaza se refiere a las acciones que pueden crear una opinión negativa en el target sobre una determinada organización o persona. Esto puede ser producido por diferentes entes:
      1. Por la empresa o persona en sí.
      2. Por terceros que publican información del sujeto.
      3. Por los internautas con los que nos relacionamos.

    Estos tres puntos son los que he mencionado anteriormente que se debe actuar para lograr una buena reputación online, pero que también pueden hacernos lograr justo lo opuesto.

  4. Registro abusivo del nombre de dominio. Hoy en día, la mayoría de las empresas cuenta con una página web. Esta página suele tener como nombre el de la marca en sí o el de sus productos. De esta forma, los usuarios pueden identificar de forma rápida la organización detrás de la página web. El problema está en que no existe ningún control a la hora de registrar el nombre del dominio. Por lo tanto, terceros pueden registrar de manera malintencionada nombres de dominio que coincidan con entidades reconocidas para confundir a los internautas. Esto se conoce como cybersquatting en el caso de que se extorsiona a la entidad target para vender el dominio por un valor mayor al real. Si el objetivo es que los usuarios entren por escribir mal el dominio (como por ejemplo, “facebok” en lugar de “facebook”) se denomina typosquatting. Este último ataque se realiza como base de phising.
  5. Fuga de información. La imagen de una organización puede verse comprometida debido a una fuga de contenido sensible. El objetivo principal de esta práctica por parte del atacante suele ser extorsionar a la entidad. El origen de esta dañina fuga puede ser interno (insider threats) o externo (mediante malware o técnicas como la mencionada y popular phising) [3].

Estos son los principales riesgos que tiene la identidad digital hoy en día. Como spoiler de mi próximo post, la imagen que se muestra a continuación da una breve explicación de las pautas de prevención y reacción que se deben de llevar a cabo para hacer frente a los riesgos.

 


[1] «Identidad digital los riesgos de no administrarla», acceso el 21 de noviembre de 2018. http://www.academia.edu/9552365/Identidad_digital_los_riesgos_de_no_administrarla

[2] “El delito de suplantación de identidad”, acceso el 21 de noviembre de 2018. https://juiciopenal.com/delitos/suplantacion/delito-suplantacion-identidad/

[3] «Ciberseguridad en la identidad digital y la reputación online» , acceso el 21 de noviembre de 2018. https://www.incibe.es/extfrontinteco/img/File/empresas/guias/guia_ciberseguridad_identidad_online.pdf

[4] «Infografía», acceso el 21 de noviembre de 2018. https://www.incibe.es/protege-tu-empresa/blog/infografia-id-empreas




Importancia de la identidad digital en el ámbito empresarial

unboundid-digital-identity

En este segundo post me centraré en analizar la importancia que tiene la identidad digital en el mundo empresarial. Para ello, haré referencia a noticias y artículos que ratifiquen que el tema en cuestión es de plena actualidad.

Lo primero de todo, destacar la importancia que tienen hoy en día los datos. Estamos siendo bombardeados diariamente por términos como Big Data o IoT y esto se debe a que las empresas están comprendiendo el valor que tiene el uso de los datos. En el ámbito empresarial, los datos personales son considerados el nuevo petróleo [1]. Esto se debe a que los datos son cruciales en cualquier organización y su gestión un quebradero de cabeza para quienes tratan de garantizar la seguridad.

Precisamente hoy, 12 de noviembre, aparece una noticia en El Correo que bajo el título “Uno de cada dos robos de datos es mediante suplantación de identidad” nos muestra que el phising sigue siendo hoy la modalidad de ataque más sencilla y preferida por los atacantes. Mandando un email a la víctima que simula ser de su banco, pide sus credenciales y terminan apropiándose de su identidad digital. Es importante la concienciación de los trabajadores para evitar esta práctica pero también tomar acciones por parte de la empresa como configurarlos sistemas de red de manera robusta. Esto evita que los atacantes puedan obtener direcciones de correo electrónico e, incluso, nombres de usuarios [2].

Otra noticia relacionada con la identidad digital es la obra que se ha estrenado en Valencia llamada “Alexandria” que pretende hacer reflexionar al espectador sobre la información de publicamos en Internet y sus consecuencias. Es evidente que con todos los datos que cuentan de nosotros mismos los gigantes de la red, son capaces de crear perfiles de nosotros mismos. Es ahí donde la obra teatral realiza una crítica al respecto y plantea si realmente estos perfiles son una representación de lo que nosotros somos [3]. Relacionado con este último concepto de “perfil social” que se genera en Internet de nosotros mismos, el diario ABC publica que “el 35% de las empresas ha rechazado a un candidato por la imagen que ofrece en Internet” [4]. En este mismo artículo se muestra que el 83% de las organizaciones consulta las redes sociales de sus candidatos para conocer más información de ellos.

La identificación dentro de una organización puede llevarse a cabo mediante diferentes sistemas dependiendo de cuál sea el objetivo. Por un lado, existe la identificación física que se realiza mediante componentes físicos o la presencia del sujeto. Estos componentes pueden ser, por ejemplo, tarjetas de identificación RFID que funcionan mediante radiofrecuencias. Además del desgaste mínimo que sufren son muy difíciles de falsificar y pueden personalizarse para, por ejemplo, dar acceso a un empleado a un área determinado [5]. También se puede usar la identificación biométrica empleando por ejemplo la huella dactilar del empleado.

Por otro lado, el acceso a sistemas de información se realiza habitualmente mediante sistemas IAM (Identity and Access Management) que son en cuestión la mayor brecha de seguridad para una organización. Para realizar una buena gestión de este ámbito se establecen métricas en tres áreas: cobertura, actuación y comunidades de usuarios.

  • La cobertura mide cómo el sistema afronta los diferentes riesgos y el impacto de los mismos.
  • La actuación consiste en monitorizar los sistemas IAM y nos muestra su confiabilidad.
  • Es importante que el administrador de los sistemas IAM comprenda las comunidades de usuarios presentes en la organización. Del mismo modo, debe comprender sus respectivos perfiles de riesgo, países o hasta incluso las fuentes de datos autorizadas [6].

Por lo tanto, es esencial que los sistemas de autenticación sean meticulosos y precisos. A pesar de existir la autenticación física y electrónica, combinar ambas puede ser positivo en algunas ocasiones. Esto permitiría a los ciberatacantes no disponer de esa “llave” física. En el caso de que el atacante sea parte de nuestra entidad (insider threats) este método no solucionaría el problema pero este tema ya está siendo tratado en el Blog por uno de mis compañeros.

En los próximos post estudiaré a fondo los riesgos que conlleva este fascinante y espeluznante área de la identidad digital y analizaré qué controles existen mediante la auditoría para garantizar la seguridad de los sistemas.

 

 


 

[1] “Identidad digital – ISACA”, acceso el 12 de noviembre de 2018. https://www.isaca.org/Journal/archives/2017/Volume-6/Pages/digital-identity-will-the-new-oil-create-fuel-or-fire-in-todays-economy-spanish.aspx

[2] “Uno de cada dos robos de datos es mediante suplantación de identidad – El Correo”, acceso el 12 de noviembre de 2018. https://www.elcorreo.com/tecnologia/internet/robos-datos-mediante-20181112172924-ntrc.html

[3] “’Alexandria’, una reflexión sobre la identidad digital – Las Provincias”, acceso el 12 de noviembre de 2018. https://www.lasprovincias.es/culturas/teatro/alexandria-reflexion-sobre-20181109011300-ntvo.html

[4]  “Identidad digital, el factor que marca distancias en la carrera por el empleo – ABC”, acceso el 12 de noviembre de 2018. https://www.abc.es/economia/abci-identidad-digital-factor-marca-distancias-carrera-empleo-201810290301_noticia.html

[5] “¿Qué son y para qué sirven las tarjetas RFID?”, acceso el 12 de noviembre de 2018. https://www.inditar.com/blog/que-son-para-que-sirven-tarjetas-rfid

[6] “Obtain Greater Clarity Into Identity and Access Management by Establishing and Tracking Metrics – KnowledgeLeader”, acceso el 12 de noviembre de 2018. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/articleobtaingreaterclarityidentityaccessmanagement