La gestión de equipos remotos puede suponer desafíos, las empresas deben idear estrategias para garantizar que sus equipos sigan motivados y que no pierdan la conexión con los valores corporativos. Sin embargo, permitir las prácticas de trabajo remoto puede aportar muchas ventajas a los empleados, así como a las empresas. Hemos hecho un resumen de las ventajas principales:

VENTAJAS PARA LAS EMPRESAS

#1 MAYORES NIVELES DE PRODUCTIVIDAD

Muchos gestores tienen problemas con el concepto de los equipos remotos, ya que se plantean si realmente trabajarán si no están en la oficina. Sin embargo, varios estudios han demostrado que, al trabajar desde casa, los empleados tienden a empezar a trabajar antes y hacen menos paradas durante el día. Además, al trabajar en un ambiente más tranquilo con menos distracciones, los empleados pueden trabajar de una forma mucho más eficiente.

#2 AHORRO DE DINERO

Al haber menos personas en la oficina, las empresas pueden usar su espacio de trabajo de forma más eficiente, lo que conlleva ahorros considerables en el alquiler de espacios de oficinas.

#3 CAPTACIÓN Y RETENCIÓN DE TALENTO

Ofrecer acuerdos laborables más flexibles puede ser un factor diferenciador clave a la hora de atraer el mejor talento, o de asegurar que el tuyo no se vaya de la empresa. Un número cada vez mayor de profesionales indica que cambiarían de trabajo para poder disfrutar de ubicaciones de trabajo más flexibles.

VENTAJAS PARA LOS PROFESIONALES

#1 MAYOR FLEXIBILIDAD HORARIA

Trabajar desde casa ofrece a los trabajadores más control sobre su horario laboral, algo crucial para conciliar la vida laboral y la profesional.

Llevar a los niños a la escuela y dedicar algo de tiempo al gimnasio por la mañana, hacer un recado rápido en mitad del día, programar citas médicas o simplemente estar en casa para recoger un paquete. Todo esto resulta más fácil cuando trabajas desde casa.

#2 AHORRO DE TIEMPO

Más del 20 % de los europeos pasan, al menos, 90 minutos al día en el trayecto de casa al trabajo y del trabajo a casa. Al trabajar en casa, los empleados pueden usar ese tiempo libre para dormir más por la mañana, tomar un desayuno más saludable, pasar más tiempo con la familia o los amigos, entrenar o incluso iniciar una nueva afición.

#3 AHORRO DE DINERO

Los trabajadores remotos suelen ahorrar más dinero al final del año, incluso si trabajan de forma remota solo parcialmente. Combustible, aparcamiento, comidas... Estos costes se pueden reducir considerablemente.

#4 PERSONALIZACIÓN DEL ESPACIO DE TRABAJO

Los empleados son más productivos en un espacio de trabajo que les resulte cómodo y esté adaptado a sus necesidades. Al trabajar desde casa, puedes personalizar tu oficina sin límites: una silla más ergonómica, un reposapiés o un ratón mejor para el ordenador.

#5 MÁS SALUDABLE

Trabajar desde casa puede mejorar la salud de los empleados. Los trabajadores en remoto tienen más tiempo para hacer ejercicio, pueden comer de forma más saludable y están menos expuestos a enfermedades (como resfriados o gripe). También reduce los niveles de estrés (por ejemplo, al reducir su exposición a las horas puntas de tráfico) y les permite disfrutar de más tiempo para sí mismos, lo que contribuye a una mejor salud mental.

O post ¿Cuáles son las ventajas del teletrabajo? apareceu primeiro em act digital.

¿CÓMO ATACAN LOS CIBERDELINCUENTES A LOS TRABAJADORES A DISTANCIA?

Los trabajadores a distancia están peor preparados en cuanto a seguridad informática en su domicilio que en la oficina, por lo que son objetivos habituales de los piratas informáticos. Lo cierto es que las empresas se centran en protegerse perimetralmente (cortafuegos, sondas de red, etc.), pero descuidan a veces la seguridad individual de cada puesto.

¿De qué manera pueden atacarte cuando trabajas en tu domicilio?Dejemos a un lado las amenazas directas de Internet —el rúter actúa como cortafuegos— y la entrada en tu domicilio de una persona con malas intenciones, algo poco habitual en el mundo de los ciberataques. Quedan dos maneras de hacerlo que hay que tener en cuenta:

• Utilizar Internet sin filtro en el equipo de trabajo (o con menos restricciones que en el propio centro de trabajo). De esta forma, aumentas el riesgo de descargar un archivo infectado, abrir un archivo adjunto con un virus, etc.
• Disponer de otros equipos en la red local. En su configuración predeterminada, la mayoría de rúteres no filtran los flujos de la red local.

No obstante, estos equipos (ordenador familiar, teléfonos móviles, tabletas, etc., e incluso los del vecino, que usa tu wifi sin que te des cuenta) pueden estar desactualizados o desprotegidos, o se pueden estar usando de forma arriesgada (descargas, aplicaciones y juegos pirateados, navegación por sitios web prohibidos para menores de 18 años, etc.).

Basta con el envío de un correo electrónico con un archivo adjunto infectado por un RAT (Remote Access Tool, que puede ser una macro de Excel, vulnerabilidad del lector de PDF, un ejecutable «disfrazado» de documento, etc.) pensado para que se abra en el ordenador familiar, que no está bien protegido.

Una vez ejecutado el programa, el ciberatacante tiene un pie en tu red local. En ese momento, quedas expuesto a varios riesgos de ataque concretos. El acceso a las carpetas compartidas, la explotación de una vulnerabilidad RCE y la explotación del protocolo LLMNR forman parte de dichos riesgos.

CIBERATAQUE 1: ACCESO A LAS CARPETAS COMPARTIDAS

El primer riesgo que corres es que accedan a tus carpetas compartidas. Cuando conectaste el equipo de trabajo a tu red local por primera vez, Windows te preguntó si se trataba de una red «privada» o «pública» (o una red «doméstica», «de oficina» o «pública», según las versiones). En casa, y como la mayoría de las personas, seguramente habrás hecho clic en «privada» o «doméstica». Sin embargo, esa acción incita a Windows a reducir la vigilancia y a confiar en los demás miembros de tu red. En concreto, les da permiso para acceder a las carpetas compartidas que tengas.

Un ciberatacante con acceso a tu red local podrá ver una lista de tus carpetas compartidas, acceder a ellas y apoderarse de los documentos confidenciales que contengan. Según se haya configurado el modo de compartir las carpetas, podrá incluso modificar los documentos existentes o añadir otros nuevos. Por ejemplo, puede enmascarar en uno de sus archivos un RAT (Remote Access Tool) que se activará la próxima vez que hagas clic en dicho archivo para abrirlo.

Requisitos previos

• El atacante ha podido acceder a tu red.
• Tienes una o varias carpetas compartidas con todos.
• En Windows, has designado la red local como red «privada» o «doméstica».

Repercusiones del ciberataque

• Confidencialidad: acceso a tus documentos compartidos.
• Integridad (según la configuración de la carpeta compartida): modificación o adición de archivos.
• En el peor de los casos: control del equipo.

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

• Configura todos los equipos de la empresa para que consideren las redes nuevas como redes «públicas» e impide que los usuarios puedan modificar esta opción («Network List Manager Policies»).
• Impide que los usuarios compartan archivos y carpetas en la red.

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

• Cuando tu equipo se conecte a una red, no la designes nunca como red «privada», a menos que tengas una confianza absoluta en los equipos que están conectados a ella.
• Nunca compartas con todo el mundo un archivo o una carpeta con información delicada.
• No autorices a todo el mundo a editar tus archivos o carpetas compartidos.

CIBERATAQUE 2: EXPLOTACIÓN DE UNA VULNERABILIDAD RCE

Otro riesgo al que te expones es la explotación de una vulnerabilidad de tipo RCE (Remote Code Execution) que esté presente en tu equipo. Por ejemplo, podemos citar la vulnerabilidad CVE-2020-0796, también llamada «SMBGhost». Esta vulnerabilidad permite a un atacante que haya accedido a la red local ejecutar a distancia un código en el equipo explotando el protocolo de uso compartido de la red SMBv3. En general, este tipo de vulnerabilidad se corrige rápidamente con un parche y no se suele comunicar antes de la publicación de la actualización de seguridad. Por lo tanto, su explotación es poco probable si el equipo está correctamente actualizado.

Sin embargo, es habitual que los equipos de trabajo que se usan para teletrabajar se actualicen únicamente cuando se conectan a la red de la empresa.

Esto te atañe si, por ejemplo, durante el confinamiento recibiste varios correos electrónicos del departamento de informática rogándote que pasases por la oficina para instalar unas actualizaciones de seguridad importantes.

¿No has ido a la oficina desde que los recibiste? En ese caso, no tienes la famosa actualización. El ciberdelincuente solo tendrá que infiltrarse en tu red para explotar la vulnerabilidad.

Requisitos previos

• El atacante ha podido acceder a tu red local.
• En el equipo hay una RCE sin parchear (por no haber aplicado la actualización o, con menor frecuencia, por una vulnerabilidad de día cero).

Repercusiones del ciberataque

• Control del equipo.

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

• Emplea una política práctica de actualizaciones y de gestión de las herramientas de seguridad, aunque los equipos no se encuentren en la red de la empresa.

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

• Instala lo antes posible las actualizaciones de seguridad que te recomienden y reinicia el equipo si es necesario.

CIBERATAQUE 3: EXPLOTACIÓN DEL PROTOCOLO LLMNR

Esta última amenaza es más técnica y consiste en instalar una trampa en el equipo para que revele al atacante sus credenciales. Como se ha observado con el primer riesgo de ataque, al conectarse a una «red doméstica», el equipo intenta detectar automáticamente todos los servicios presentes en la red. Para ello, Windows utiliza distintos protocolos, como LLMNR y NBT-NS, para enviar solicitudes de exploración. Por ejemplo, preguntará a la red si hay un servicio llamado «WPAD» para detectar una configuración proxy.

A continuación, el equipo intentará comunicarse con los servicios que detecte.

Si estos requieren una autenticación, el equipo se conectará a ellos automáticamente con tu cuenta de usuario. Un atacante que haya entrado en tu red puede explotar ese mecanismo respondiendo a las solicitudes de exploración y mostrando servicios ficticios para los que se necesita una autenticación, como, por ejemplo, con la herramienta Responder.

En el peor de los casos, como sucede con las versiones antiguas de Windows o las configuraciones erróneas, el hacker puede conseguir directamente tu contraseña. La mayoría de las veces, lo que suele conseguir es un hash (netNTLMv1 o netNTMLv2) que permite averiguar tu contraseña. Cuanto más débil sea la contraseña (si es corta, aparece en un diccionario de contraseñas, etc.), más fácil será descifrarla.

Al obtener la contraseña de tu cuenta de Windows, el atacante puede conectarse a todos los servicios en línea de tu empresa cuya autenticación se base únicamente (sin MFA, o autenticación multifactor) en dicha cuenta (proxy, correo web, nube de aplicaciones, extranet, etc.). Incluso puede usar tu contraseña para llevar a cabo un ataque más complejo desde dentro de la red de la empresa.

Por último, si el hacker no logra descifrar tu contraseña, podrá utilizar el hash que haya obtenido en los ataques de retransmisión NTLM («NTLMRelay»). Aunque se trate de una amenaza mínima en el contexto de un ataque a través de tu red local, no deja de ser posible.

Requisitos previos

• El atacante ha podido acceder a tu red.
• Tu configuración de red emplea los protocolos LLMNR o NBT-NS (como ocurre de forma predeterminada en Windows 10 en las redes «privadas»).
• Tu contraseña de Windows es débil.

Repercusiones del ciberataque

• Obtención de la contraseña de tu cuenta de Windows.

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

• Desactiva los protocolos LLMNR y NBT-NS en todos los equipos de los usuarios de la empresa.
• Configura todos los equipos de la empresa para que consideren las redes nuevas como redes «públicas» e impide que los usuarios puedan modificar esta opción («Network List Manager Policies»).
• Establece una política de contraseñas que bloquee las contraseñas débiles.

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

• Cuando tu equipo se conecte a una red, no la designes nunca como red «privada», a menos que tengas una confianza absoluta en los equipos que están conectados a ella.
• Utiliza una contraseña segura.

Aunque acceder a una red local para atacar a una empresa requiere cierta dosis de motivación, a un atacante bien preparado le resultaría fácil llevar a cabo los distintos escenarios hipotéticos mencionados.

No obstante, estas no son las únicas amenazas. En general, el teletrabajo incrementa determinados riesgos por estas causas:

• El aumento de la superficie expuesta de las empresas en Internet (VPN, extranet, etc.).
• La ausencia de intercambios a viva voz facilita la «ingeniería social», una práctica relacionada con la piratería y basada en la manipulación.
• El uso cada vez mayor de soluciones de colaboración y conversación a distancia que, a veces, no están bien protegidas.

Es el caso de Zoom, por ejemplo, donde se encontraron varias vulnerabilidades RCE durante el primer confinamiento (CVE-2020-6109 y CVE-2020-6110). En ese periodo precisamente, se constataron numerosos ataques e intentos de ataque.

Para hacer frente a la intensificación y la sofisticación de los ciberataques, se debe diseñar la seguridad de los sistemas informáticos de manera individualizada, llevar a cabo pruebas de intrusión periódicas en los equipos y planificar programas de sensibilización para los empleados acerca de los riesgos inherentes a la ciberdelincuencia.

O post Teletrabajo: análisis de tres ciberataques apareceu primeiro em act digital.

Las organizaciones europeas que cumplen con ese criterio no pueden quedarse sin conocer el Threat Intelligence-based Ethical Red Teaming (TIBER-EU), un marco creado por el Banco Central Europeo (BCE) que define cómo deben realizarse las pruebas Red Team.

Veamos los aspectos principales de este marco.

¿Qué es TIBER-EU?

En pocas palabras, TIBER-EU proporciona guías sobre cómo imitar las técnicas y procedimientos de atacantes reales, basándose en inteligencia de amenazas, para probar y mejorar la ciberresiliencia de las organizaciones. Una prueba Red Teaming bien realizada debería revelar las fortalezas y debilidades de una entidad, llevando a medidas correctivas específicas y efectivas.

TIBER-EU puede ser adoptado a nivel nacional, o por instituciones y autoridades de la UE. La participación de las entidades en el proceso de pruebas TIBER-EU puede ser voluntaria u obligatoria, dependiendo de su tamaño, complejidad y alcance. Aunque fue desarrollado pensando en el sector financiero, este marco también puede aplicarse a otros sectores (por ejemplo: telecomunicaciones), lo que lo hace agnóstico en cuanto a entidades y sectores.

¿Quién está involucrado?

La implementación de TIBER-EU es un proceso con múltiples actores que involucra directamente a:

• Entidades que deben realizar pruebas TIBER-EU
  Bancos, agencias de calificación crediticia, bolsas de valores, compañías de seguros, o cualquier otro proveedor de servicios financieros críticos.
• Autoridades responsables de supervisar las pruebas
  Bancos centrales, autoridades supervisoras, agencias de inteligencia, ministerios relevantes, entre otros.
   
• Proveedores de servicios de Inteligencia de Amenazas y Red Team
  Proveedores independientes externos que realmente realizan las pruebas.

6 objetivos principales

Según el BCE, TIBER-EU intenta lograr los siguientes objetivos:

1. Mejorar la ciberresiliencia de las entidades y del sector financiero en su conjunto.
2. Estandarizar la forma en que las entidades realizan Red Teaming basado en inteligencia en toda la Unión Europea (UE).
3. Guiar a las autoridades sobre cómo pueden establecer, implementar y gestionar pruebas Red Team a nivel nacional o europeo.
4. Apoyar las pruebas Red Team transfronterizas basadas en inteligencia para entidades multinacionales.
5. Permitir discusiones de supervisión donde las autoridades buscan confiar en las evaluaciones de otros realizadas usando TIBER-EU.
6. Crear el protocolo para la colaboración transfronteriza, compartición y análisis de resultados.

El proceso de prueba TIBER-EU

El marco TIBER-EU incluye tres fases obligatorias:

1. Preparación
   Implica determinar los equipos y expertos responsables de gestionar la prueba, definir el alcance de la prueba y elegir los proveedores de Inteligencia de Amenazas y Red Team para realizar la prueba.
   
2. Pruebas
   Incluye el análisis de inteligencia de amenazas, el posterior informe de Inteligencia de Amenazas (informe TTI – Targeted Threat Intelligence report) y la prueba Red Team real.
   
3. Cierre
   Es cuando el proveedor Red Team entrega un informe que contiene todos los hallazgos y resultados, así como recomendaciones de mejora. Luego, es responsabilidad de la entidad trabajar en un plan de remediación.

Riesgos de la prueba TIBER-EU

Dada la criticidad de los sistemas y procesos objetivo, hay ciertos riesgos involucrados en realizar una prueba TIBER-EU, específicamente:

• Incidente de Denegación de Servicio (DoS – Denial of Service)
• Caída o daño del sistema
• Pérdida o fuga de datos

Es por eso que el marco TIBER-EU enfatiza la necesidad de una evaluación de riesgos antes de la prueba, acompañada de una sólida estrategia de gestión de riesgos durante todo el proceso.

¿A qué servicios se aplica?

El marco TIBER-EU guía dos de los servicios de ciberseguridad más importantes disponibles para instituciones críticas, especialmente aquellas en el sector financiero:

• Red TeamingUna evaluación de ciberseguridad en la que un equipo de hacking ético simula un ataque completo contra una empresa, explotando vulnerabilidades técnicas o humanas que pueden dar acceso a activos o información específica. Busca exponer fallos en la estrategia de seguridad de una organización y proporcionar recomendaciones para mejorarla.
• Pruebas de Penetración Basadas en Amenazas (TLPT)Un ejercicio Red Team a gran escala, diseñado específicamente para el sector financiero, que simula un ataque integral contra los activos, sistemas y procesos de una organización, para identificar y ayudar a corregir vulnerabilidades de seguridad. El objetivo es mejorar la ciberresiliencia de entidades financieras críticas, cuya interrupción podría causar un fallo sistémico global.

Conclusión

Guiado por el ambicioso objetivo de mejorar la ciberresiliencia de las instituciones financieras en toda Europa, el marco TIBER-EU se construye sobre tres pilares principales:

1. Inteligencia de amenazas.
2. Red Teaming ético.
3. Colaboración entre diferentes actores financieros.

Es un enfoque integral que sirve como base para servicios críticos como Red Teaming y Pruebas de Penetración Basadas en Amenazas. Las organizaciones que implementan la prueba TIBER-EU están mejor equipadas para enfrentar amenazas cibernéticas, para proteger sus operaciones comerciales y los datos de los clientes.

O post Marco TIBER-EU: la base para las pruebas Red Team en la UE apareceu primeiro em act digital.

Se trata de una verificación individual de tu seguridad de IT, para asegurarse de que tus sistemas y datos están bien protegidos frente a amenazas. Puede encargarse de realizarla una empresa externa o una persona del equipo interno que disponga de la cualificación necesaria. Habitualmente, esta revisión comprende una evaluación de las medidas de seguridad que tengas activas, un análisis de tus riesgos específicos y un plan de actuación basado en estas circunstancias.

Un control o revisión de seguridad de IT puede contribuir a detectar vulnerabilidades en la infraestructura de la IT y aplicar medidas correctivas. Además, también ayudará a informar a la plantilla acerca de las últimas y nuevas amenazas, así como a sensibilizarla sobre el mantenimiento de las precauciones de seguridad. Si todavía no has realizado ninguna revisión de seguridad de IT, deberías programar una lo antes posible.

Cuanto antes se detecten y resuelvan las vulnerabilidades de la infraestructura de la IT, menos probable será que tu empresa sea víctima de algún ciberataque malintencionado.

¿POR QUÉ DEBERÍAS LLEVAR A CABO HOY MISMO UNA REVISIÓN DE SEGURIDAD DE IT?

Como ya hemos visto, en el último año el número de ciberataques e intrusiones ha aumentado notablemente y en 2022 todo apunta a que la tendencia al alza se mantenga. Por si fuera poco, los ciberdelincuentes adoptan métodos cada vez más profesionales y sofisticados en sus ataques. A menudo nos topamos con correos electrónicos empleados para phishing (suplantación de identidades) muy bien trabajados, que ya no resultan tan fáciles de distinguir de los mensajes genuinos.

Las víctimas más frecuentes de estas prácticas delictivas son las pequeñas y medianas empresas. Como el nivel de seguridad de IT es más bajo en las pymes debido a que suelen disponer de recursos limitados, suelen ser las víctimas más habituales de los ciberataques. Las consecuencias pueden ser gravísimas: puede ocurrir que nos cifren datos esenciales para el negocio y que nos exijan un pago para recuperarlos, en forma de cuantiosas sumas; podemos sufrir el robo de patentes e inventos, con el riesgo incluso de que se destinen a fines delictivos. O incluso pueden paralizar nuestros procesos de producción o logística durante un plazo indefinido al interrumpir el funcionamiento de los sistemas de IT. De hecho, no es infrecuente que alguna pyme vea su continuidad en entredicho por las repercusiones de estos ciberataques.

¿CÓMO FUNCIONA UNA REVISIÓN DE SEGURIDAD DE IT?

Por regla general, este tipo de exámenes se ejecutan con la ayuda de los llamados «test de penetración», que ponen a prueba los sistemas de IT esenciales más relevantes por medio de la simulación de un ataque. El objetivo es identificar las posibles carencias o brechas de la seguridad. En la práctica habitual, antes de realizar un test de este género, se debe celebrar una entrevista personal antes, en la que se determina qué tipo específico de prueba de penetración es el más apropiado (Blackbox, Whitebox, Greybox, etc.). Mediante la ejecución de ataques controlados, las pruebas de penetración son un método muy eficaz para supervisar el nivel de seguridad de sistemas de redes y IT de los clientes, así como para detectar y solventar las vulnerabilidades organizativas o técnicas con las condiciones más próximas a la realidad.

Sin embargo, es cierto que los tests más completos también suelen ser costosos, así que tan solo una minoría de las pymes se los pueden permitir. En lugar de ellos, muchas depositan su confianza en servicios online gratuitos, que proponen cuestionarios de autoevaluación o que se limitan exclusivamente a realizar escaneados automáticos en busca de vulnerabilidades.

¿EN QUÉ SE DIFERENCIA NUESTRA REVISIÓN DE SEGURIDAD DE IT PARA PYMES DE OTROS SERVICIOS SIMILARES?

Al contrario de lo que sucede con muchos de los servicios gratuitos disponibles en Internet, nosotros no trabajamos con análisis automáticos en busca de vulnerabilidades ni con cuestionarios de autoevaluación que aportan una información muy deficiente, sino que nos dedicamos a analizar manualmente la seguridad de su sistema de IT, de forma personalizada y en contacto directo contigo. ¡Y lo hacemos a un precio muy competitivo! Es posible gracias a nuestros protocolos, de diseño y desarrollo exclusivos, y también a años de experiencia en el sector.

Una revisión de seguridad de IT para pymes incluye:

• Comprobar los sitios y servicios web accesibles desde el exterior (test de penetración externa);
• Verificar los sistemas de IT internos y también la red, para detectar posibles vulnerabilidades (test de penetración interna);
• Investigar el estado de la gestión y la administración de la seguridad de IT de tu empresa en contacto directo con las personas responsables de IT y de la gestión;
• Al finalizar el proceso, te entregaremos un informe que recoge todos los resultados de las pruebas de penetración y los análisis. También incluye recomendaciones sobre medidas y actuaciones basadas en lo estudiado, que contribuirán a mejorar y elevar el nivel de seguridad de las IT en tu empresa de forma inmediata y eficaz.

¿CÓMO SE DESARROLLA UNA PRUEBA DE SEGURIDAD DE IT EN UNA PYME?

• Entrevista de asesoramiento gratuita y sin compromiso: En esta entrevista con nuestros analistas de seguridad certificados se aborda el statu quo del panorama de seguridad de su empresa.
• Propuesta de revisión de seguridad a un precio fijo establecido: Para la ejecución de la revisión de seguridad de IT en su pyme, le presentaremos una propuesta vinculante a un precio fijo.
• Ejecución de la revisión de seguridad de IT para pymes: Nuestros analistas de seguridad certificados comprobarán la seguridad de tu empresa. Este proceso se desarrolla de forma totalmente remota.
• Entrega y revisión verbal del informe de resultados: Tras culminar la revisión de seguridad de IT, elaboramos un informe de resultados exhaustivo, que te entregaremos y explicaremos detalladamente en una entrevista personal.
• Aplicación de medidas recomendadas: Tras concluir la revisión de seguridad, con mucho gusto nos mantendremos a tu disposición y te prestaremos cuanto apoyo necesites para aplicar las medidas oportunas.

CONCLUSIÓN

Por último, cabe afirmar que cada empresa debe plantearse someterse a una revisión de seguridad, ya que a tenor del auge en los ataques cibernéticos y los estragos que causan, la cuestión ya no es «si pueden» ser víctima de una de estas intrusiones, sino más bien «cuándo». Para la mayoría de pymes, si no se han dispuesto con antelación unas medidas de seguridad sólidas, que un ciberataque tenga éxito implica un riesgo existencial.

Aunque ya sean plenamente conscientes de este peligro y hayan invertido en ciertas medidas de protección, les falta contar con una evaluación que confirme si las medidas adoptadas hasta el momento son suficientes y proporcionan un nivel de defensa suficiente, lo que a menudo depende de la cantidad de personal y conocimientos disponibles.

Con frecuencia, los proveedores de estos servicios ofrecen escaneados automatizados para detectar vulnerabilidades o proponen cuestionarios de autoevaluación, opciones que, al final, aportan escasa información.

O post ¿Por qué deberían realizar revisiones de seguridad de TI las pymes? apareceu primeiro em act digital.

Un ejemplo muy sencillo, fuera del ámbito de las IT: Cuando la persona propietaria de una vivienda instala un detector de humo en la sala de estar que debe activar la alarma al notar la presencia de humos, lo hace porque esa persona ha analizado el peligro de intoxicación por gases o humos provocados por un incendio y ha decidido mitigar esa amenaza.

Ahora traslademos ese ejemplo al ámbito de las tecnologías de la información: los riesgos potenciales que amenazan a un sistema de IT se deben analizar y mitigar. Idealmente, esto tiene lugar antes del desarrollo del sistema. En nuestro ejemplo del detector de humo sería antes del incendio, claro. Durante la construcción de la vivienda, por ejemplo, elegir materiales no inflamables sería una medida de mitigación. Ese mismo ejemplo deja patente que, una vez finalizada la construcción, existirá cierta clase de riesgos que ya serán inevitables.

Por eso conviene no olvidar lo siguiente: Todo proceso de desarrollo de software debería contar como elemento imprescindible con un análisis de riesgos, para poder abordar las amenazas detectadas ya durante la fase de diseño y construcción del propio sistema.

¿Y QUÉ VIRTUDES TIENE LA MODELACIÓN DE RIESGOS DE SEGURIDAD?

Sigamos con el ejemplo de la vivienda. Las decisiones que se toman en etapas muy tempranas acarrean efectos drásticos para la seguridad de la propiedad inmobiliaria. Naturalmente, siempre es posible (y recomendable) instalar detectores de humo. Pero ¿no sería todavía mejor que hubiésemos apostado desde el principio por materiales no inflamables?

Un análisis de riesgos puede evitar que tomemos decisiones incorrectas o poco favorables para la arquitectura de IT y, desde luego, puede hacerlo antes de que se escriba una sola línea de código. Además, también puede ser útil para comprender y especificar cuáles son los requisitos de seguridad del sistema.

Veamos un ejemplo, este sí, del campo de la IT ¿Hace falta cifrar los datos? Quizás no sea una medida imprescindible en un servidor, pero sí es más que recomendable si se utilizan en un terminal móvil. Como se puede ver, existe una relación de estrecha dependencia entre el escenario de amenazas, las medidas de prevención (y mitigación) y los requisitos del sistema. Si se detectan y contemplan las necesidades de seguridad en las primeras etapas del diseño de cada solución, se podrá conformar un sistema más seguro.

¿Y CÓMO SE APLICA LA MODELACIÓN DE RIESGOS DE SEGURIDAD EN LA PRÁCTICA?

Dicho en palabras muy simples, la Security Threat Modeling no es otra cosa que reflexionar con antelación sobre todo lo que puede ocurrir en relación con la seguridad de IT y definir en consecuencia una estrategia de protección apropiada para evitar el peor de los casos. Para eso hay que responder a las siguientes preguntas:

1. ¿Qué queremos desarrollar?
2. ¿Qué puede suceder?
3. ¿Qué se puede hacer para contrarrestar esos problemas?
4. ¿Cómo se evalúa la situación general?
5. ¿Qué tal fue la calidad de los análisis?
6. Cada una de estas cinco preguntas representa un paso del proceso de análisis de amenazas.

PASO 1: ¿QUÉ QUEREMOS DESARROLLAR?

Los sistemas de IT suelen describirse con diagramas o esquemas técnicos. Lo ideal en este contexto es utilizar diagramas de flujo de datos, porque permiten visualizar todas las interfaces de conexión y los flujos de transmisión de datos. Pensemos que las amenazas solamente aparecen allí donde los datos fluyen o están disponibles. Veamos una aplicación web típica, a modo de ejemplo:

Nuestra aplicación se ejecuta en un centro de datos y consta de un proxy, una aplicación web y una base de datos. Naturalmente, cada aplicación web cuenta también, como mínimo, con un agente actor. O sea, el usuario que accede a través de Internet al proxy y así accede también a la app y la base de datos.

Para crear el diagrama de flujo de datos, además de preguntar al arquitecto responsable, siempre se debería consultar a uno o más desarrolladores y administradores de sistemas, porque solo así conseguiremos que, al terminar esta fase, tengamos un diagrama que sea correcto según la opinión de todas las partes implicadas. Y trabajar con un diagrama correcto es imprescindible para las siguientes etapas del proceso de modelización de Security Threat Modeling.

PASO 2: ¿QUÉ PUEDE SUCEDER?

Una vez que ya hemos creado el diagrama de flujo de datos del sistema, en esta siguiente fase toca reflexionar sobre todo lo que pueda ocurrir. Resulta muy útil asumir suposiciones que definan y limiten los posibles escenarios de riesgo.

Por ejemplo: Si contemplamos el ejemplo del sistema del Paso 1, cabe suponer que se utilizará un sistema operativo actual, con lo cual algunas amenazas ya quedan descartadas. Pero cuidado: Este tipo de suposiciones también debe ponerse constantemente en tela de juicio y debe tomarse en consideración en el propio análisis de amenazas.

Algunas preguntas son muy claras al respecto de qué podría suceder:

• ¿El servidor web es realmente ese que se anuncia como tal?
• ¿Sería posible manipular los datos entre el proxy y la aplicación web?
• ¿Cómo se asegura la aplicación web de que la base de datos ha recibido también los datos y los conserva?
• ¿Es posible que un usuario vea cómo es la arquitectura de backend a través de la aplicación web?
• ¿Es posible doblegar a la aplicación web (o a la base de datos) sometiéndola a una carga de trabajo muy alta?
• ¿Podría un usuario utilizar la aplicación web para hacer cosas para las cuales no tenga autorización?
  

Evidentemente, esta lista de preguntas se podría prolongar casi hasta el infinito. Pero claro, también existe el peligro de que pasemos detalles importantes por alto. Por eso conviene actuar de forma metódica ante estas preguntas. Aquí nos decantamos por el método STRIDE, desarrollado por Microsoft. STRIDE son las siglas de:

• S: Spoofing (suplantación)
• T: Tampering (manipulación)
• R: Repudiation (repudio)
• I: Information Disclosure (revelación de información)
• D: Denial of Service (denegación de servicio)
• E: Elevation of Privilege (elevación de privilegios)

Este método nos ayuda a categorizar las preguntas sobre qué puede suceder y reducir el riesgo de omitir algún aspecto relevante gracias a un procedimiento estructurado. No hace falta pensar mucho para percatarse de que todas las preguntas enumeradas anteriormente se pueden asignar a estas categorías.

PASO 3: ¿QUÉ SE PUEDE HACER PARA CONTRARRESTAR ESOS PROBLEMAS?

Al final de la fase de recopilación de supuestos y preguntas, deberíamos haber sintetizado una lista de amenazas para todas las interacciones y los datos que figuren en el diagrama de flujo de datos. En el siguiente paso, repasaremos la lista y abordaremos todas las amenazas identificadas. Se puede actuar de cuatro maneras distintas:

Mitigar una posible amenaza implica adoptar medidas para debilitarla o aliviarla, o bien para hacer más difícil que alguien intente explotarla en beneficio propio.

Por ejemplo: Exigir contraseñas para acceder a una interfaz administrativa mitiga el riesgo de que alguien se cuele y pueda actuar como administrador sin la autorización debida.

Eliminar estas amenazas suele requerir que se supriman ciertas funciones.

Por ejemplo: Podemos proteger la interfaz de acceso a las funciones administrativas por medio de contraseñas, pero sigue presente el riesgo de que alguien se haga pasar por administrador. Si queremos suprimir por completo esa potencial amenaza, habrá que desactivar la interfaz administrativa.

Transferir la amenaza o el riesgo consiste en trasladarla a otra persona.

Por ejemplo: Se puede transferir a un servicio de Active Directory la autenticación para acceder a la interfaz administrativa.

Aceptar una amenaza implica que optamos por no tomar ningún tipo de medida para contrarrestar un riesgo identificado. Se puede hacer por motivos muy diversos y totalmente válidos. A menudo, el desequilibro entre costes y utilidad decanta la balanza.

Bien, pues ya tenemos una lista de amenazas y de estrategias distintas para hacerles frente. En el siguiente paso tendremos que evaluar las medidas de mitigación y asignarles niveles de prioridad. Las medidas de mitigación elegidas se incorporarán al proceso de desarrollo del software. Aquí cabe echar mano de casos reales de usuarios o incluso consultar documentación sobre fallos y bugs.

Por ejemplo: Un hacker puede provocar la caída o el colapso de una base de datos al exponerla a un número excesivo de solicitudes de información automatizadas.

Al final de esta actividad, lo más previsible es que tengamos una enorme cantidad de tareas pendientes y medidas que poner en práctica. Pero antes de hacerlas realidad, hay que evaluar todas las amenazas y medidas, para realizar un análisis de coste-utilidad sensato.

PASO 4: ¿CÓMO SE EVALÚA LA SITUACIÓN GENERAL?

Tras las dos actividades anteriores, hemos elaborado una lista de amenazas y de posibles contramedidas. Ahora toca organizarlas todas (amenazas y contramedidas) por orden de prioridad. Tendremos que asignar a cada amenaza un nivel de riesgo.

La siguiente fórmula es una buena opción para ello:

Nivel de riesgo = Probabilidad de ocurrencia x Impacto

Existen distintos enfoques sobre cómo valorar los niveles de riesgo de las amenazas. Por ejemplo, el estándar Bug Bar de Microsoft o CVSS (Common Vulnerability Scoring System).

En las grandes empresas, este apartado se suele concretar en las políticas de seguridad propias. Para no complicarnos demasiado, diremos que la probabilidad de ocurrencia y el impacto se clasifican en cuatro categorías básicas de riesgo: muy alto, alto, intermedio y bajo.

Las posibilidades para evaluar las amenazas son muy variadas. En el primer paso, lo más importante es aplicar un procedimiento adecuado y coordinado para valorar las amenazas, que se utilice de forma estable o permanente y todo el mundo siga.

Tras evaluar todas las amenazas sin contramedidas, será necesario repetir la evaluación, pero en esta segunda ocasión, teniendo en cuenta dichas medidas. Sin embargo, esto último está más orientado a la elaboración de documentación y será útil para entender qué decisiones se hayan tomado posteriormente.

PASO 5: ¿QUÉ TAL FUE LA CALIDAD DE LOS ANÁLISIS?

El último paso de la modelización Security Threat Modeling consiste en evaluar la calidad del análisis de amenazas.

Examen de la arquitectura

En primer lugar, consultaremos de nuevo el diagrama de flujo de datos y comprobaremos si continúa siendo correcto. A veces, las decisiones sobre arquitectura sufren modificaciones en plazos muy cortos: se incorporan nuevas funciones, ciertos casos prácticos no contemplados originalmente aportan nuevos conjuntos de datos, se alteran las interacciones entre sistemas, etc. Todo ello obliga a actualizar, corregir o complementar el diagrama de flujo de datos.

Examen de las amenazas

Naturalmente, es fundamental identificar las nuevas amenazas que surjan como consecuencia de las modificaciones en la arquitectura. A continuación, se deberían comprobar de nuevo todas las amenazas detectadas en relación con sus posibles medidas de mitigación. Para eso habrá que repasar una vez más la lista de amenazas planteándonos las siguientes cuestiones: ¿se ha contemplado y tratado cada una de las amenazas? ¿Se ha mitigado correctamente cada una de las amenazas?

Pruebas para las medidas

Es necesario ejecutar pruebas para verificar la eficacia de todas las medidas contempladas. Se pueden realizar de forma manual o automatizada. Se debe certificar que todas las medidas concebidas para aplicarse ante amenazas tienen garantía de calidad. Lo ideal sería que estas pruebas o tests se integrasen en un marco de pruebas que se hubiese diseñado previamente, durante la fase de desarrollo.

CONCLUSIÓN

Evidentemente, en contextos de aplicación real, la metodología de modelización Security Threat Modeling es bastante más detallada, sofisticada y completa que este esbozo que ofrecemos. Pero este breve resumen debería bastar para recalcar la importancia de integrar la seguridad desde el propio concepto del proceso de desarrollo. Y también que es fundamental actualizarla periódicamente; por ejemplo, cada vez que se desarrolle una nueva función o se modifique el modelo operativo.

El método de análisis que se plantea aquí proporciona un nivel de seguridad mayor desde el principio, de la mano de la reflexión y el análisis sobre las medidas de mitigación y el equilibrio entre costes y utilidad.

O post Introducción a la modelación de riesgos de seguridad (Security Threat Modeling) apareceu primeiro em act digital.

Sin embargo, gestionar de forma eficaz equipos remotos puede ser un desafío. Sin el contacto personal, puede resultar difícil conectar y generar confianza entre los miembros del equipo. Los problemas de comunicación son comunes en estos equipos debido a la falta de señales no verbales.

Creemos en el potencial del trabajo remoto. Teniendo eso en mente, aquí te traemos nueve consejos para ayudarte a gestionar un equipo altamente productivo, bien coordinado y motivado:

1. DEFINIR PRONTO LOS ACUERDOS

Una de las cosas más importantes que debes hacer en primer lugar como jefe de un equipo remoto es definir (con la aceptación y las aportaciones de todo el mundo) algunas reglas básicas:

• Horas de trabajo: Es importante acordar unas horas de trabajo normales para el equipo para no perjudicar el equilibrio profesional/personal de nadie. El horario debe tener en cuenta las posibles diferencias de zonas horarias.
• Reuniones de equipo: ¿Con qué frecuencia se va a reunir el equipo durante la semana? En los equipos remotos, programar reuniones de grupo habituales es una buena forma de fomentar una mayor conexión entre los miembros.
• Notificación de ausencias: Cuando se trabaja en el mismo espacio físico, salir a una cita médica o tomarse un día libre no resulta ningún problema. Sin embargo, en los equipos remotos es importante definir cómo notificar al equipo para evitar situaciones en las que algunos miembros pueden esperar respuestas de un compañero/a de trabajo que se encuentra ausente.

2. PERMITIR FLEXIBILIDAD HORARIA

Una de las ventajas del trabajo remoto que alaba la mayoría de los empleados es la flexibilidad horaria. A la hora de gestionar equipos remotos es importante permitir algo de flexibilidad en las horas de trabajo para encajar los compromisos y las obligaciones personales de los miembros del equipo. De esta forma, sienten que se confía en ellos y es más probable que correspondan a la empresa si en el futuro es necesario que trabajen fuera de su horario laboral normal.

3. MOSTRAR DISPONIBILIDAD

Al trabajar en un equipo remoto, es fácil que los pequeños problemas con el equipo pasen desapercibidos. Como jefe de equipo, es importante que muestres a los miembros de tu equipo que tu puerta virtual siempre está abierta. Puedes hacerlo de esta forma:

• Ofrece ayuda y asistencia siempre que la necesiten. Si estás ahí para ellos, le muestras al equipo que eres una persona en la que pueden confiar.
• Programa reuniones individuales periódicas. Las reuniones individuales con cada miembro del equipo son una forma fantástica de recibir feedback sobre cómo va el proyecto, entender las frustraciones de cada persona y detectar cualquier problema que pueda haber surgido y del que no se haya hablado.

4. COMUNICAR DE UNA FORMA CLARA Y CONCISA

Debido a la falta de señales no verbales, los malentendidos son un problema común en los equipos remotos. Perfecciona tus habilidades de expresión escrita para comunicarte de una forma clara y concisa y no confundir a tus equipos. Plantéate invertir en herramientas de comunicación grupal para abarcar distintos tipos de contacto (por ejemplo, correo electrónico para las solicitudes más oficiales, mensajería instantánea para resolver problemas rápidos, videoconferencias para reuniones, etc.).

5. COMUNICAR DE UNA FORMA HUMANA

Al interactuar principalmente de forma escrita o a través de herramientas virtuales, es fácil olvidar los pequeños detalles de la comunicación, que resultan muy importantes si se quiere crear un buen entorno de trabajo.

• Di “hola” y pregunta a los miembros de tu equipo qué tal están al comienzo de cada correo electrónico o conversación de chat. Trátalos como personas y muéstrales que te preocupas por ellos y no solo por el trabajo que hacen para el proyecto.
• Deja espacio para conversaciones banales al principio de las reuniones de grupo. Estos cinco minutos de cháchara pueden ayudar mucho a mejorar la unión del equipo.

6. ESTABLECER UNA CULTURA QUE PRIORICE EL VÍDEO

Prioriza las reuniones en vídeo a las reuniones en las que solo se escuchen vuestras voces. Las videoconferencias tienen varias ventajas:

• Las señales no verbales: una parte sustancial de la comunicación humana es no verbal. Las reuniones de grupo en vídeo permiten al jefe de equipo y a los miembros del equipo observar las expresiones faciales y el lenguaje corporal, que resultan útiles para transmitir mensajes.
• Anima al personal a participar en reuniones desde una ubicación profesional y tranquila, lo que provoca menos distracciones y que se pierda menos tiempo.
• Anima al personal a vestirse y salir de la cama para trabajar.
  

7. DOCUMENTOS COLABORATIVOS

Utiliza las herramientas de colaboración en línea para fomentar un entorno de colaboración en el equipo. Es una forma importante de crear una cultura de equipo y resulta más sencillo que andar enviando correos electrónicos y descargando documentos que luego tienen que editar varias personas.

8. HERRAMIENTAS DE GESTIÓN DE PROYECTOS

Invierte en una herramienta de gestión de proyectos para ayudar a hacer un seguimiento del progreso de tu proyecto, de las tareas pendientes y futuras y de los plazos. La mayoría de las herramientas permiten comentar y reasignar tareas, adjuntar documentos e incluso cuentan con una opción de chat para facilitar la comunicación. Sirve de ayuda para coordinar tu equipo y hacer un seguimiento de la productividad.

9. REUNÍOS EN PERSONA AL MENOS UNA VEZ AL AÑO

A pesar de toda la tecnología disponible, nada sustituye realmente el contacto en persona. De vez en cuando, organiza un evento de integración de equipos fuera de línea y anima a todos los miembros a participar. Es importante para establecer relaciones y aumentar la moral del equipo.

O post 9 consejos para gestionar equipos remotos apareceu primeiro em act digital.

Para empezar, conviene explicar varios términos que nos resultarán útiles más adelante.

• Stablecoin: una criptomoneda asociada a una moneda tradicional (como el euro o el dólar estadounidense). La mayoría de stablecoins están respaldadas por una reserva de la moneda tradicional en cuestión. Esto quiere decir que quien desee retirar sus stablecoins (es decir, canjearlas por dólares estadounidenses) debería poder hacerlo en cualquier momento.
• Paridad: la relación 1-1 entre una stablecoin y la moneda tradicional a la que está asociada.
• Pérdida de paridad: cuando existe una desviación en uno u otro sentido que anula la paridad.

«$UST» Y «$LUNA»: PROBLEMAS DE PAREJA

A diferencia de la gran mayoría de stablecoins, la stablecoin «$UST» no está respaldada por una reserva de moneda tradicional. Es lo que podríamos llamar una stablecoin algorítmica, es decir, está diseñada para seguir unas reglas preprogramadas en un smart contract (contrato inteligente). En cambio, la criptomoneda gemela de $UST, $LUNA, no es una stablecoin, por lo que está sometida a la especulación, con las ventajas y los inconvenientes que eso entraña.

Por ejemplo, si el precio de 1 $LUNA es de 2 dólares (USD) en un momento dado, entonces se pueden quemar 2 $UST para tener 1 $LUNA. Por el contrario, si tenemos 1 $LUNA y queremos tener $UST, basta con quemar 1 $LUNA para obtener 2 $UST.

Esta relación se aplica a través de algoritmos muy complejos y nos asegura que el precio de la $UST está respaldado por $LUNA. Además, de acuerdo con el ejemplo de 1 $LUNA = 2 dólares (USD), si podemos comprar 1 $UST a 0,98 dólares (USD), sería interesante para los inversores comprar $UST y canjearlas por $LUNA —el algoritmo supone que 1 $UST sigue equivaliendo a 1 dólar (USD)—, ya que eso daría como resultado 0,04 dólares (USD) de beneficio sin riesgo.

Ahora bien, uno de los principios fundamentales de la teoría financiera nos dice que nunca hay un beneficio asegurado sin riesgo. En efecto, todo el mundo intentará obtener ese rendimiento, lo que aumentará el precio de las $UST para compensar el «fallo». Asimismo, una parte del algoritmo previsto para aportar confianza a sus criptomonedas posee Bitcoins que podrá vender para comprar $LUNA y así devolver a la $UST su precio teórico de 1 dólar (USD).

HUNDIMIENTO DE LA CRIPTOMONEDA «$LUNA»: REACCIONES EN CADENA

Retomemos el tema de la caída. La teoría actual en relación con esta caída es que unos fondos de inversión (o unas personas afortunadas) empezaron a comprar progresivamente $UST. Después las canjearon por $LUNA de forma masiva y abrupta, para, a continuación, canjear las $LUNA por dólares (USD). Todo ello provocó la destrucción de muchas $UST y la creación de cantidades ingentes de $LUNA. Esta venta generó un impacto negativo en el precio de la $UST (la ley de la oferta y la demanda hizo bajar su valor) que el algoritmo no pudo compensar, por lo que perdió la paridad que tenía con el dólar. De este modo, con una $UST cuyo valor era inferior a 1 dólar (USD), los atacantes pudieron recuperar un beneficio en cada ciclo (compra de $UST, canje por $LUNA, venta de $LUNA).

Por otro lado, la relación entre las dos criptomonedas hizo que el canje de $UST conllevase la acuñación (minting) de $LUNA. Por lo tanto, la oferta de $LUNA era más abundante y eso hizo que se depreciase.

La situación sembró el pánico general en el mercado y, en consecuencia, se desencadenó una venta masiva de $UST y $LUNA. Una espiral perniciosa que hizo zozobrar a dicha criptomoneda. Esto plantea las siguientes cuestiones: ¿Todas las stablecoins algorítmicas son vulnerables a este tipo de ataques económicos? ¿O una labor de investigación puede dar lugar a un algoritmo capaz de mantener la estabilidad de las stablecoins?

A modo de conclusión, es recomendable documentarse antes de invertir sumas importantes en activos de riesgo y, sobre todo, no se deben invertir sumas que no podamos permitirnos perder.

O post La debacle de $LUNA: cómo y por qué apareceu primeiro em act digital.

EL ORIGEN DE SITE RELIABILITY ENGINEERING

Como tan a menudo sucede con los procedimientos y protocolos más modernos, el origen del método Site Reliability Engineering se encuentra en una gran empresa tecnológica estadounidense. En este caso fue Google, en el año 2003. El corazón de los modelos de Google Business y por tanto, la clave del éxito de esta corporación, están muy estrechamente relacionados con sus sistemas de IT internos.

Por eso Google busca, desde sus inicios, desarrollar nuevos métodos y procedimientos dentro de su organización de IT para seguir el ritmo frenético de crecimiento. De hecho, en el año 2003, en Google todavía imperaba una estricta separación entre las labores de desarrollo de software y operaciones de IT en el día a día. Pero ya entonces surgían las siguientes cuestiones, relacionadas con las operaciones de IT: ¿cómo de estrecha debería ser la colaboración entre los equipos de desarrollo y operaciones y qué procesos requeriría esa cooperación para cosechar éxitos?

El fruto de estos planteamientos y de las respuestas que provocaron fue la aparición de Site Reliability Engineering, un nuevo modelo para la operación de los sistemas de IT en Google. ¿Y en qué consiste exactamente el modelo SRE?

¿EN QUÉ CONSISTE EXACTAMENTE EL MODELO SITE RELIABILITY ENGINEERING?

La ingeniería de fiabilidad del sitio o Site Reliability Engineering integra diversos métodos que también se aplican durante el desarrollo de software o en DevOps. En primera línea, la SRE contempla el funcionamiento y las operaciones de IT como una misión que debe cumplirse con la ayuda de ingeniería de software.

Concretamente, los sistemas se crean, preparan y administran con la ayuda de código. Dicho de otra forma: infraestructuras, flujos de trabajo y tareas manuales se automatizan y por tanto, se vuelven más fiables, gracias a la implantación de software. Junto con la automatización, la monitorización de sistemas también desempeña un papel fundamental dentro de la ingeniería de fiabilidad del sitio. Se vigilan métricas fundamentales de los sistemas en todo momento, visualizadas con la ayuda de paneles de control. En este contexto, los datos recopilados no solo se supervisan con fines reactivos, sino que se analizan de manera constante, para detectar y resolver errores y vulnerabilidades de forma proactiva.

El perfil profesional ideal para especialistas de Site Reliability Engineering tiene raíces en el desarrollo de software, pero dispone también de una considerable experiencia en operaciones de IT y también cierta familiaridad con los análisis de datos de sistema. Con este paquete de habilidades, dicha persona se centra en la automatización de las operaciones, se centra en la planificación y el diseño de la infraestructura necesaria, supervisa los sistemas en pleno funcionamiento y analiza su rendimiento, sin olvidar nunca que el objetivo es detectar y explotar potenciales de mejora y perfeccionamiento. Los ingenieros e ingenieras de fiabilidad del sitio reparten su jornada laboral entre tareas de operaciones y desarrollo de software y herramientas con fines de optimización.

En caso de que se produzca algún incidente o fallo, nos encargamos de remediarlo y a continuación, mantenemos una comunicación muy detallada con las partes implicadas, con el fin de identificar qué funcionó correctamente y qué sería preciso corregir o perfeccionar. Por si todo esto fuera poco, los especialistas en Site Reliability Engineering recopilan una serie de información y conocimientos muy importantes, que ninguna documentación recoge. Gracias a que disfrutan de visibilidad sobre el desarrollo y el soporte técnico, ese saber ya no se queda aislado en un solo equipo, sino que toda la empresa le puede sacar partido.

Además del núcleo de ingredientes tecnológicos de la Site Reliability Engineering, este modelo de protocolo se basa también en una serie de principios metodológicos que ahora veremos de manera pormenorizada.

La ingeniería de fiabilidad del sitio o SRE se afianza sobre un conjunto de métodos ya definidos y establecidos en la práctica del desarrollo de software. Además, la SRE presenta numerosos paralelismos con otros métodos que se aplican en el ámbito de DevOps. Dos de las diferencias más notables respecto a DevOps son en que la ingeniería de fiabilidad del sitio tiene como máxima prioridad y centro de atención la fiabilidad (del sistema) y está obligada a seguir requisitos y especificaciones de una manera más vinculante. Por otro lado, las similitudes más marcadas respecto a DevOps son actividades esenciales, como la supervisión continua y la automatización consistente y coherente de procesos y flujos de trabajo.

Un método fundamental que se utiliza en la SRE son los denominados circuitos positivos, que implican definir y establecer objetivos y medidas para medir los primeros. El tratamiento de los errores también forma parte de los circuitos positivos. A continuación, describiremos cada uno de los elementos del principio de los circuitos positivos.

SLO Y SLI

La ingeniería Site Reliability Engineering define para cada sistema qué aspecto debería tener en concreto la fiabilidad apropiada. El objetivo de nivel de servicio o «Service Level Objective» (SLO) indica cómo de fiable debe ser el funcionamiento de un sistema para responder a las necesidades o deseos internos del cliente. Esto puede significar, por ejemplo, que un sistema deba proporcionar un 90 % de resultados satisfactorios dentro de un plazo de tiempo predefinido.

Para comprobar si se consigue ese objetivo y, por tanto, si se cumple el nivel de fiabilidad exigido, la ingeniería SRE emplea un indicador de nivel de servicio o «Service Level Indicator» (SLI). Los SLI son puntos de medición que proporcionan información, por ejemplo, sobre cuántas solicitudes se responden correctamente y cuántas de ellas obtienen su respuesta dentro del plazo de tiempo preestablecido. De esta manera, los SLI contribuyen a certificar de forma cualificada si el objetivo SLO se alcanza o bien, si no se alcanza, indican en qué puntos es necesario trabajar para optimizarlo.

MARGEN DE ERROR

Las actualizaciones, los parches y nuevas versiones aportan nuevas funciones, amplían las que existían y eliminan lagunas de seguridad. Uno de los problemas básicos del desarrollo de software consiste en que no es posible dedicarle un tiempo infinito a la planificación para garantizarnos que esa nueva versión cubra absolutamente todos los escenarios imaginables. Y aún dejando esto a un lado, surge la siguiente cuestión: ¿cuándo se consigue una fiabilidad perfecta del sistema? ¿Es posible lograrlo?

La ingeniería Site Reliability Engineering trabaja un principio básico que sostiene que cada sistema dispone de un margen de error. Dicho margen se calcula partiendo de una fiabilidad del 100 % (teóricamente posible) a la que se resta la fiabilidad aplicada real y se toma para ello como referencia un plazo determinado. Por ejemplo, un mes. En el ejemplo de más arriba, el margen de error calculado resultó ser del 10 % (100 % - 90 %). Por tanto, si se constatase una funcionalidad correspondiente a una cuota de errores de hasta el 10 % como máximo, se consideraría aceptable.

Así pues, mientras el SLO permanezca en verde, según este método no es necesario desperdiciar tiempo ni presupuesto para perseguir un estado ideal teórico de fiabilidad total. La necesidad de actuar no surge entonces hasta que se excede el margen de error, momento en el que hay que perfeccionar el sistema. Por ejemplo, reteniendo el lanzamiento de una nueva versión hasta que se logre mejorar la fiabilidad.

APRENDER DE LOS ERRORES, PERO SIN CARGAR LAS CULPAS

Cuando suceden fallos de sistema graves o interrupciones del servicio con consecuencias de peso, lo más sensato es rastrear e investigar a fondo las causas de esos problemas posteriormente. Solo así es posible aprovechar la experiencia de esos errores para, idealmente, prevenir fallos similares en el futuro. La característica distintiva de la ingeniería Site Reliability Engineering en este ámbito es que esos análisis de errores deberían producirse en un marco positivo. En lugar de asignar culpas y responsabilidades a personas o equipos concretos, la SRE centra su atención en el problema y sus causas de origen. La pregunta que se plantee no debería ser «¿quién tiene la culpa de este error?», sino más bien «¿qué circunstancias han propiciado que se produjese este fallo?».

Actuar de esta forma permite identificar motivos e información esquiva que nos faltaba, pero también detectar procesos operativos defectuosos que hayan facilitado o provocado la aparición del problema. Bajo las premisas de la SRE, el error no debería achacársele a nadie. Esta norma de trabajo propone buscar oportunidades para prevenir y evitar ese mismo error en el futuro, por medio de medidas adecuadas. Así la organización en conjunto avanzará y se beneficiará de una mayor fiabilidad de los sistemas, de forma sostenible.

VENTAJAS DE LA INGENIERÍA SITE RELIABILITY ENGINEERING

Lo que conviene recordar siempre es que la Site Reliability Engineering se basa en un paquete de herramientas técnicas y principios claros. ¿Pero cuáles son entonces las ventajas de la SRE en comparación con los modelos de operación afines? A continuación, abordaremos seis de los argumentos fundamentales a favor de la aplicación de la SRE.

Mejoras en la generación y notificación de informes: La SRE es sinónimo de transparencia, ya que obliga a vigilar constantemente parámetros importantes como la productividad, el estado del servicio y el número de errores. A partir de las métricas y estadísticas se derivan factores concretos (como puede ser un tiempo de interrupción medio del servicio, por ejemplo), que posteriormente se pueden mejorar de manera precisa y objetiva, aplicando soluciones.

Búsqueda de errores proactiva: muchas organizaciones y departamentos de IT centran sus esfuerzos principalmente en la implementación de nuevas funciones y características. El desarrollo y el despliegue, cada vez más acelerados, entrañan siempre el riesgo de introducir fallos y vulnerabilidades en el sistema. Para contrarrestar este panorama, la SRE propone examinar los sistemas de forma proactiva para detectar fallos y problemas, y resolverlos antes de que afecten a los usuarios.

Más valor añadido: cuando los sistemas de IT son fiables, no se requiere invertir tanta capacidad de desarrollo para solventar y remediar fallos. Los equipos de desarrollo disponen automáticamente de más tiempo para dedicarse a su especialidad: concebir nuevas funciones y hacerlas disponibles. La SRE detecta los problemas potenciales antes del despliegue.

Cambio en la cultura empresarial: La Site Reliability Engineering favorece contemplar de una manera nueva el estado de los sistemas en las organizaciones y departamentos de IT. La búsqueda continua de potenciales de optimización repercute de forma positiva sobre todos los equipos implicados y fomenta el trabajo conjunto en cooperación. El sentido de responsabilidad común compartido que propicia la SRE rompe con la estanqueidad y el confinamiento tan típicos que separan a los distintos equipos.

Mayor grado de automatización: Los especialistas en ingeniería de fiabilidad del sitio se esfuerzan de manera permanente por automatizar los flujos de trabajo relevantes. Y esa misma actitud es la que aplican a su propia labor. Gracias a la incorporación de una moderna cadena de herramientas, optimizan sus procesos de trabajo de manera continua. Con ello se va reduciendo sucesivamente la propensión a errores por parte del componente humano.

Satisfacción de la clientela: En contraste con otros modelos de operación, la SRE se centra en mejorar la experiencia de los clientes (externos), pero también la de los usuarios internos del sistema. Por medio de los SLO y los SLI, define metas específicas para la fiabilidad del sistema y, con ello, para la satisfacción de los clientes.

CONCLUSIÓN

¿Otro método más? No, no solo eso. La Site Reliability Engineering es algo nuevo. Su planteamiento de base enriquece la cultura moderna de la IT, dado que tiende puentes pragmáticos para salvar la brecha entre desarrollo y operaciones de IT. Allí donde otros marcos se quedan excesivamente anclados en la teoría o no proponen más que una estructura básica de actuación, la ingeniería SRE actúa de forma concreta.

Por medio de la monitorización y el análisis constantes del rendimiento del sistema, detecta las dificultades con antelación y contribuye a la optimización y la fiabilidad.

La cuestión que sigue en el aire es la adaptación personalizada de este enfoque en cada empresa y cada departamento de IT. Los principios de la Site Reliability Engineering son escalables y aplicables desde a una pequeña y prometedora empresa emergente hasta gigantes tecnológicos como Google, Microsoft y demás familia.

De cara a la puesta en práctica, se recomienda centrarse en la SRE específica e individuales (por ejemplo, empezar por la implementación de una solución de monitorización). La clave es que la ingeniería Site Reliability Engineering tiene potencial para generar más valor en las organizaciones y departamentos de IT, ya que su enfoque permite vincularla mucho más estrechamente a la generación de valor de la empresa.

O post Resumen: ¿qué es la ingeniería de fiabilidad del sitio (Site Reliability Engineering)? apareceu primeiro em act digital.

Prevenir un escenario como este es el objetivo de la Ley de Resiliencia Operativa Digital (DORA), que se centra en mejorar la postura de ciberseguridad y la resiliencia del sector financiero en Europa a través de una serie de medidas, una de las cuales es la implementación de Pruebas de Penetración Basadas en Amenazas (TLPT - Threat-Led Penetration Tests) periódicas.

Los grandes bancos, compañías de seguros, firmas de inversión, proveedores de servicios de pago y otras instituciones financieras cruciales deben ser plenamente conscientes de qué son los TLPT, cómo deben realizarse y cómo pueden aprovecharse para abordar vulnerabilidades técnicas. Veamos los detalles.

Primero lo primero: ¿qué es DORA?

La Ley de Resiliencia Operativa Digital es una regulación de la Unión Europea (UE) que busca fortalecer la seguridad IT de las entidades financieras y asegurar que el sector financiero en Europa sea capaz de mantener su resiliencia en caso de una interrupción operativa severa.

DORA entró en vigor el 16 de enero de 2023 y se aplica desde el 17 de enero de 2025. Cubre 20 tipos diferentes de entidades financieras y proveedores de servicios TIC externos.

¿Qué es TLPT?

Las Pruebas de Penetración Basadas en Amenazas son un ejercicio Red Team a gran escala, descrito por DORA como específicamente diseñado para el sector financiero, que simula un ataque integral contra los activos, sistemas y procesos de una organización, para identificar y ayudar a corregir vulnerabilidades de seguridad. Esta prueba finalmente lleva a la mejora de la resiliencia cibernética de entidades financieras críticas, cuya interrupción podría causar un fallo sistémico global.

La información más relevante sobre TLPT se resume en la tabla siguiente:

¿Qué haría un ciberatacante? Técnicas TLPT de act digital

La fase de inteligencia de amenazas

Nuestro Lead Pentester y Lead Red Teamer, Yann Gascuel, explica cómo se lleva a cabo un ejercicio Red Team más avanzado como TLPT, después de que el objetivo y alcance se hayan definido con el cliente en la fase de preparación. "La idea es imitar lo que haría un atacante real. Empezamos con la fase de inteligencia de amenazas, donde intentamos obtener toda la información posible, aprender qué tecnologías usa la empresa y quiénes son los usuarios con más privilegios – cualquier cosa que pueda usarse para phishing", explica.

Los recién llegados suelen ser también objetivos fáciles, porque aún no están completamente al tanto de los protocolos de seguridad. "Por eso también usamos LinkedIn como fuente de inteligencia de amenazas, para obtener información sobre empleados que podrían ser objetivos vulnerables. Además, usamos algunas herramientas específicas que buscan en registros DNS, y también buscamos evidencia de fugas de datos", añade nuestro Lead Pentester.

Después de recopilar toda esta información, nuestros expertos preparan un informe de Inteligencia de Amenazas (TTI – Targeted Threat Intelligence report), resumiendo lo que se aprendió sobre el objetivo y creando escenarios de amenaza para la prueba real. "Es cuando nos preguntamos qué intentaría hacer un atacante. Probablemente intentará equilibrar el riesgo de ser arrestado con aumentar las posibilidades de éxito en el ataque, así que intentamos pensar así y delinear diferentes escenarios de ataque potenciales."

La prueba Red Team

Dependiendo de lo que se encuentre durante la fase de inteligencia de amenazas y qué escenarios de ataque se planeen, las técnicas empleadas para iniciar un TLPT varían mucho. Pero nuestro Lead Red Teamer proporciona algunos ejemplos: "Como intrusión inicial podemos usar phishing o realizar una intrusión física. Cuando estamos dentro, el curso de acción también dependerá de lo que encontremos. Puede involucrar explorar vulnerabilidades técnicas, combinar eso con ingeniería social o incluso el uso de keyloggers [un tipo de tecnología de vigilancia que registra todo lo que un usuario escribe en un teclado]".

Durante todo el ejercicio, el Blue Team del cliente no sabe que se está realizando un TLPT, lo que significa que también están siendo probadas sus capacidades defensivas. Según el marco TIBER-EU, detectar al Red Team es un objetivo establecido para el Blue Team, más que un fracaso del lado ofensivo.

Otra cosa importante a tener en cuenta respecto a la fase de pruebas es que la forma en que opera el Red Team de act digital cumple con las leyes de protección de datos como GDPR. "Usamos laptops reforzadas y encriptadas, así que si alguien la roba, no podrá acceder a los datos que tenemos de nuestros clientes", verifica nuestro experto. "También usamos canales de comunicación encriptados para cada intercambio que pueda ser crítico, y después del final del ejercicio borramos todos los datos que tenemos y enviamos al cliente un documento certificando que lo hicimos", añade.

Según DORA, la fase de pruebas tiene que durar al menos 12 semanas – todo depende de la escala, alcance y complejidad del ejercicio TLPT planificado para esa organización específica.

El secreto para asegurar una mínima interrupción del negocio

Esa es la pregunta del millón en cualquier ejercicio Red Team: ¿cómo equilibra el equipo de pruebas la simulación realista de amenazas con una mínima interrupción operativa? Nuestro Lead Pentester revela el secreto: "Es una combinación de experiencia y comunicación. Cuando estamos realizando un ataque, tenemos experiencia para saber qué vulnerabilidades pueden ser riesgosas de explorar y si pueden causar que algo se caiga – sabemos, por ejemplo, cuando un tipo específico de servidores antiguos no soporta un ataque. Eso viene con la experiencia, así que cuando identificamos un riesgo como ese nos comunicamos con el cliente y decidimos juntos si deberíamos hacerlo o no".

De hecho, durante el ejercicio TLPT en sí, este es el único escenario donde pueden ocurrir interacciones Red Team-cliente. "Hay pocas o ninguna interacción con el cliente durante este período. Solo ocurre si detectamos riesgos que puedan causar alguna interrupción. En ese caso, contactamos al cliente para mantenerlos informados, pero de lo contrario no se establece comunicación."

La fase de cierre

Después de que se completa el ejercicio, dentro de cuatro semanas escribiremos y entregaremos al cliente el informe oficial de prueba Red Team. "Ahí es donde describimos los ataques que se realizaron, los éxitos, los fallos, lo que fue detectado y otros detalles. Eso es muy útil para que el cliente sepa cuáles son las debilidades de la organización y qué necesita ser abordado", enfatiza Gascuel.

El paso final de nuestra colaboración en el proceso TLPT es realizar un ejercicio de reproducción donde los equipos Red y Blue trabajan estrechamente para repasar las acciones ofensivas y defensivas tomadas durante el ejercicio. "Todos ganan: el Blue Team aprende qué hacer en un escenario de ataque real, y nuestros testers aprenden cómo pueden ser detectados en una situación como esa, para poder ser más difíciles de detectar en un próximo ejercicio."

¿Qué sigue y qué se gana?

El paso final del proceso TLPT es, según DORA, responsabilidad de la entidad financiera. Consiste en escribir un plan de remediación que contenga una descripción de las vulnerabilidades identificadas, medidas de remediación propuestas, un análisis de causa raíz, entre otras cosas.

Si ese plan se implementa correctamente, entonces los beneficios para esa organización específica (y para el sector financiero en su conjunto) son claros:

• Se incrementa la ciberresilienciaLa entidad financiera es capaz de corregir vulnerabilidades en su infraestructura, sistemas y procesos antes de que los ciberatacantes tengan la oportunidad de aprovecharlas.
• Los datos de los clientes están mejor protegidosCon menos puntos débiles para que los actores maliciosos exploten, los datos de los clientes de las instituciones financieras están mejor protegidos y, consecuentemente, los niveles de confianza de los clientes aumentan.
• Se asegura el cumplimiento de DORARealizar TLPT periódicos es un paso crucial no solo para proteger el ecosistema financiero global, sino también para evitar sanciones y multas regulatorias, así como daños financieros y reputacionales que pueden venir de un ciberataque dañino.
• Los equipos de seguridad siguen desarrollando habilidadesEspecialmente durante el ejercicio de Purple teaming, el Blue team tiene la oportunidad de repasar cada detalle del ejercicio TLPT y aprender cómo detener al Red Team o potenciales atacantes reales.

Conclusión

El TLPT de DORA es un paso adelante en la forma en que las instituciones financieras abordan la evaluación de ciberseguridad. También es lo más cerca que hemos estado de asegurar los niveles más altos de protección en los sectores bancario y financiero, especialmente en Europa.

Este ejercicio Red Team a gran escala requiere una planificación meticulosa, coordinación entre múltiples actores y colaboración con socios experimentados en ciberseguridad que puedan ayudar en cada paso del camino. Nuestros pentesters y red teamers pueden contribuir no solo con su experiencia en trabajar con múltiples instituciones financieras a lo largo de los años, sino también con la forma en que interactúan con el cliente, establecen canales claros de comunicación y gestionan riesgos.

Los beneficios de realizar TLPT están clarísimos: deben ser vistos no solo como un ejercicio de cumplimiento, sino también como una oportunidad para fortalecer la ciberresiliencia de las entidades financieras, mejorar la gestión de vulnerabilidades, las capacidades de detección y respuesta, contribuyendo en última instancia a un ecosistema financiero más seguro y estable.

O post Cumplimiento DORA: ¿cómo realizamos las Pruebas de Penetración Basadas en Amenazas? apareceu primeiro em act digital.

Sin embargo, como tiene que adaptarse constantemente a nuevos retos, el mercado de IT sigue reinventando sus prácticas. El outsourcing sigue siendo uno de los más valiosos, ya que permite a las empresas reducir riesgos y costos, manteniendo o aumentando su productividad.

Solo en 2024, los ingresos del mercado global de IT Outsourcing alcanzaron los 514,96 mil millones de euros. De 2025 a 2030, se espera que se expanda a un ritmo anual del 8,6%, llegando eventualmente a los 1.160,40 mil millones de euros en 2030.

Por ahora, en 2025, estas son las tendencias de IT Outsourcing para tener en cuenta.

1. LOS SERVICIOS GESTIONADOS SIGUEN SUBIENDO

El outsourcing de infraestructuras y servicios de IT está beneficiando a organizaciones pequeñas, grandes, nuevas y experimentadas. Al contar con un proveedor externo para monitorear y gestionar redes, sistemas, bases de datos, aplicaciones, ciberseguridad, entre otras cosas, las empresas pueden reducir costos y riesgos, mejorando la eficiencia y logrando crecimiento. Esto significa que las partes más técnicas del trabajo son manejadas por expertos de IT súper especializados, mientras la empresa se enfoca en sus operaciones de negocio.

Una de las áreas donde los servicios gestionados están creciendo con fuerza es la ciberseguridad. Soluciones como SOC Gestionado, EDR Gestionado o NDR Gestionado pueden ayudar a las empresas a mejorar la resiliencia de red y endpoints, la gestión global de vulnerabilidades y las capacidades de respuesta a incidentes, mientras los equipos internos de seguridad se concentran en las actividades diarias esenciales.

Los servicios gestionados también se han estado expandiendo a la nube, que se ha convertido en parte fundamental del proceso de transformación digital de cualquier organización. Construir y mantener una infraestructura confiable y flexible es cada vez más complejo, razón por la cual las empresas buscan cada vez más socios de servicios en la nube. Según Gartner, se espera que todos los segmentos de nube registren un crecimiento de dos dígitos en 2025.

2. LOS PRESUPUESTOS DE CIBERSEGURIDAD ESTÁN CRECIENDO

Los números son abrumadores: ocurren 600 millones de ciberataques todos los días en todo el mundo, mientras que el costo del cibercrimen para las empresas se espera que aumente de 11,43 billones de euros en 2025 a aproximadamente 22,85 billones de euros en 2027.

Por lo tanto, es natural que la ciberseguridad sea una preocupación creciente para las empresas, también porque una parte significativa de sus empleados está trabajando desde casa (y usando sus conexiones de red personales), lo que los hace más vulnerables a los cibercriminales.

Asegurar la infraestructura de red y los datos es una prioridad máxima para las empresas – se espera que los presupuestos de ciberseguridad aumenten significativamente, con el gasto global en seguridad de la información estimado en 201,90 mil millones de euros en 2025, un aumento del 15,1% respecto a 2024.

Subcontratar este tipo de servicio es un movimiento inteligente, ya que permite a las empresas obtener protección 24/7 (algo que con un equipo interno sería más difícil), una respuesta más rápida a posibles incidentes, ahorrando a largo plazo (ya que el equipo de ciberseguridad externo se puede ajustar según sea necesario).

Más información sobre los servicios de ciberseguridad de act digital, como Pentesting, Red Teaming o Servicios de Ciberdefensa Gestionados.

3. LOS DATOS ESTÁN IMPULSANDO LAS DECISIONES DE NEGOCIO

Las empresas necesitan constantemente de sobreponerse a desafios complejos planteados por la tecnología, los panoramas económicos y políticos. La única forma de navegar esta incertidumbre y no quedarse atrás es ser capaz de realizar análisis de datos en tiempo real – permite a las empresas anticipar tendencias y obstáculos del mercado, entender el comportamiento del cliente y tomar decisiones de negocio más inteligentes en tiempo real.

Como el análisis de datos está tan de moda, y requiere profesionales altamente especializados, las empresas están recurriendo al outsourcing para obtener los servicios y expertos adecuados para satisfacer sus necesidades.

En 2025, los roles relacionados con datos más demandados son científicos de datos (debido al auge de IA y Machine Learning) e ingenieros de datos (que se vuelven más críticos con el aumento de big data).

4. INTELIGENCIA ARTIFICIAL Y MACHINE LEARNING SE MANTIENEN AMPLIAMENTE ADOPTADOS

Ambos ya eran temas del momento en 2024 y continúan siéndolo en 2025. La Inteligencia Artificial y el Machine Learning (ML) han venido para quedarse y están cambiando no solo la forma en que vivimos, sino también redefiniendo la forma en que trabajamos.

Los números no mienten: se espera que el mercado global de IA y ML crezca a una tasa anual del 36,6% entre 2024 y 2030, con alrededor de 97 millones de personas proyectadas para trabajar en la industria en 2025. Estas cifras son un resultado directo de la posición dominante de la IA como tendencia de IT Outsourcing.

El desarrollo de IA se subcontrata principalmente porque, al igual que el análisis de datos, es un campo complejo y exigente que requiere expertos altamente especializados. Dos tendencias muy específicas de outsourcing que involucran el uso de IA son el desarrollo de modelos de IA Generativa y la adopción de herramientas de copiloto para ayudar en los procesos de negocio.

Las empresas están adoptando cada vez más soluciones de IA porque han demostrado proporcionar mayor eficiencia laboral a través de la automatización de tareas rutinarias, reducción de costos, mayor seguridad y control de procesos. Hang sido catalizadores claros en áreas como análisis de datos, desarrollo de software y servicio al cliente.

5. NUBE Y COMPUTACIÓN HÍBRIDA COMO MOVIMIENTOS ESTRATÉGICOS

La tecnología basada en la nube ha evolucionado a un ritmo sin precedentes. Hoy, la mayoría de las organizaciones reconocen el valor de la nube para proporcionar una infraestructura escalable y flexible para implementar soluciones sofisticadas – como IA y ML – y para responder a las crecientes demandas y fluctuaciones del mercado.

En 2025, las estrategias de outsourcing de múltiples nubes siguen siendo ampliamente adoptadas, para que las empresas puedan almacenar sus datos en varios proveedores de nube y reducir el riesgo de pérdida y compromiso de datos. Gartner prevé que el 90% de las organizaciones adoptarán nube híbrida (multi-nube se vuelve híbrida cuando se combinan proveedores públicos y privados) hasta 2027.

Hablemos de los números de 2025: se prevé que el gasto mundial en servicios de nube pública crezca un 21,5% en 2025, alcanzando un total de 688,47 mil millones de euros, frente a los 566,94 mil millones de euros en 2024.

Para otras empresas, ir completamente a la nube puede no ser el mejor enfoque, así que buscarán outsourcing de computación híbrida como alternativa. Esto significa que combinarán servidores físicos internos (generalmente para proteger datos más sensibles) con infraestructura en la nube para garantizar escalabilidad.

6. PROTECCIÓN DE DATOS EN EL CENTRO DEL NEGOCIO

Legislaciones estrictas de protección y seguridad de datos, como NIS 2 y DORA en Europa, están moldeando la forma en que las empresas operan y redefiniendo su postura de seguridad. Subcontratar este tipo de servicio significa que las organizaciones pueden acceder a aliados especializados y experimentados en privacidad y cumplimiento de datos, evitando así daños legales, financieros y reputacionales futuros.

Se están subcontratando diferentes tipos de servicios para garantizar la privacidad y seguridad de los datos, específicamente:

• Tecnología biométricaReconocimiento facial, huellas dactilares y escaneo de iris son algunas de las soluciones biométricas con gran demanda, especialmente en banca y otros sectores críticos, donde la seguridad de las transacciones es prioridad.
• Gestión de Identidad y AccesoCada vez más organizaciones buscan implementar software diseñado para gestionar identidades digitales y garantizar el control de acceso, asegurando en última instancia que solo usuarios autorizados pueden acceder a datos específicos.
• Consultoría de Cumplimiento NIS 2Para garantizar el cumplimiento total de la legislación de ciberseguridad más completa de la UE, las organizaciones buscan socios experimentados para ayudarles a identificar los servicios y procesos esenciales de su empresa, implementar las medidas de seguridad necesarias y monitorear el rendimiento.

7. MANO DE OBRA ESPECIALIZADA MUY DEMANDADA

No es novedad que la escasez de talento en el sector de IT es un problema real, debido al ritmo increíble de la transformación digital. La International Data Corporation (IDC) prevé que para 2026, más del 90% de las organizaciones a nivel mundial se verán afectadas por la crisis de escasez de habilidades de IT, ascendiendo a 5,23 billones de euros en pérdidas causadas por retrasos de productos, pérdida de competitividad y negocios.

En 2025, las habilidades más buscadas son:

• Habilidades en Inteligencia ArtificialIncluyendo experiencia en IA Generativa (las ofertas de trabajo se han disparado en el último año) y experiencia con tecnologías como Angular, Flutter, Kotlin y Terraform.
• Habilidades en Machine LearningInvolucra un conocimiento profundo en ciencia de datos. ML es la habilidad de más rápido crecimiento en 2024, con una tasa de crecimiento del 383%.
• Habilidades tecnológicas fundamentalesIncluyendo tecnologías como React, .NET, Python, Node y Java.
• Habilidades en nube y relacionadas con datosHay un crecimiento del 77% en la demanda de habilidades relacionadas con infraestructura de datos, que incluye herramientas como Databricks, Snowflake y MongoDB. Las habilidades de gestión y almacenamiento de datos también están muy demandadas.

Las empresas están recurriendo cada vez más al Outsourcing para acceder a un grupo de talentos más amplio y llenar estas brechas. Nearshore, específicamente, sigue siendo uno de los modelos de negocio más populares para esto, ya que permite el acceso a menores costos laborales y, en consecuencia, ahorros.

O post 7 Tendencias de IT Outsourcing en 2025 apareceu primeiro em act digital.