Noticias de interés

En esta sección encontrará las últimas noticias de interés para la pequeña y mediana empresa (PYMES)

DICIEMBRE 2023

VIRUS ENCAPSULADOS: ¿QUÉ SON Y CÓMO FUNCIONAN?

Un ciberataque es un intento malicioso de un individuo o una organización para violar la integridad, confidencialidad o disponibilidad de un sistema o red de información. Los ciberataques pueden tomar muchas formas, incluyendo phishing, ransomware, ataques DDoS y más.

Un virus encapsulado, también conocido como virus polimórfico, es un tipo de malware que cambia su código cada vez que se propaga y/o ejecuta.

Esta característica de “encapsulamiento” permite al virus ocultarse de los programas antivirus, que suelen buscar patrones de código específicos para detectar amenazas. Al cambiar constantemente su código, el virus encapsulado puede pasar desapercibido, permitiéndole infiltrarse en sistemas y redes sin ser detectado.

Antivirus y Virus Encapsulados: Un Desafío Creciente

Los antivirus tradicionales, que han sido durante mucho tiempo la primera línea de defensa contra los ciberataques, se enfrentan a un desafío creciente con la aparición de los virus encapsulados. Estos programas de seguridad dependen en gran medida de las firmas de virus para detectar amenazas. Sin embargo, dado que los virus encapsulados cambian constantemente su firma, la detección se vuelve extremadamente difícil. Además, algunos virus encapsulados pueden incluso desactivar los programas antivirus, dejando los sistemas aún más vulnerables a otros tipos de ataques.

Medidas de Protección contra Ciberataques: Más allá de los Antivirus

A pesar de la sofisticación de los virus encapsulados, existen varias medidas que se pueden tomar para protegerse. Estas medidas van más allá de los antivirus tradicionales y requieren un enfoque más integral de la ciberseguridad:

  1. Actualizaciones regulares: Es fundamental mantener tus sistemas y programas antivirus actualizados. Las actualizaciones a menudo incluyen nuevas firmas de virus y mejoras en la detección de amenazas, lo que puede ayudar a proteger contra los virus encapsulados.
  2. Educación en ciberseguridad: La formación en ciberseguridad puede ayudar a los usuarios a reconocer y evitar comportamientos riesgosos, como hacer clic en enlaces sospechosos o descargar archivos de fuentes no confiables. Al estar informados sobre las tácticas comunes utilizadas en los ciberataques, los usuarios pueden ser la primera línea de defensa contra ellos.
  3. Copias de seguridad de datos: Realizar copias de seguridad regulares de tus datos es una medida de protección esencial. En caso de un ataque, podrás restaurar tus sistemas a un estado seguro, minimizando la pérdida de información y el tiempo de inactividad.
  4. Uso de tecnologías avanzadas: Considera el uso de tecnologías más avanzadas, como la inteligencia artificial y el aprendizaje automático. Estas tecnologías pueden detectar comportamientos anómalos y responder a las amenazas en tiempo real, proporcionando una capa adicional de seguridad.

En resumen, aunque los virus encapsulados representan una amenaza significativa, la adopción de medidas de protección avanzadas puede ayudar a mitigar el riesgo y mantener seguros nuestros sistemas digitales. Recuerda, la ciberseguridad es una responsabilidad compartida y todos tenemos un papel que desempeñar en la protección de nuestros sistemas y datos

SUBIR

ENERO 2022

IMPLEMENTACIÓN SISTEMA TICKETBAI

TicketBAI (en adelante TBAI) es un proyecto compartido entre las tres Diputaciones Forales y el Gobierno Vasco que tiene como objetivo establecer una serie de obligaciones legales y técnicas, de modo que, a partir de la entrada en vigor de TBAI, todas las personas físicas y jurídicas que realicen una actividad económica deberán utilizar un software de facturación que cumpla los requisitos técnicos que se publiquen.

El nuevo sistema permitirá a las haciendas forales controlar los ingresos de las actividades económicas de las personas contribuyentes y, en particular, de aquellas actividades enmarcadas en sectores que realizan entregas de bienes o prestaciones de servicios a las y los consumidores finales, cobrados en gran medida en efectivo. Asimismo, dicha información se utilizará para facilitar a los contribuyentes el cumplimiento de sus obligaciones tributarias.

Obtenga mas información sobre TicketBai.

Leer más
SUBIR

FEBRERO 2020

COMO DETECTAR CORREOS FRAUDULENTEOS (PHISHING)

SUBIR

El phishing es una de las técnicas más usadas por los ciberdelincuentes para robar datos personales y bancarios. Con la ayuda de técnicas de ingeniera social, el ciberdelincuente suplanta la identidad de entidades, personas, marcas o servicios conocidos para tratar de engañar a sus víctimas. Su objetivo final suele ser el dinero y/o la obtención de información sensible, generalmente infectando el equipo mediante la descarga de un malware.El phishing es una de las técnicas más usadas por los ciberdelincuentes para robar datos personales y bancarios. Con la ayuda de técnicas de ingeniera social, el ciberdelincuente suplanta la identidad de entidades, personas, marcas o servicios conocidos para tratar de engañar a sus víctimas. Su objetivo final suele ser el dinero y/o la obtención de información sensible, generalmente infectando el equipo mediante la descarga de un malware.A lo largo de los años, los hackers han evolucionado y perfeccionado sus métodos de engaño, creando correos de phishing cada vez más sofisticados y difíciles de detectar. Por este motivo, para no caer en la trampa, el usuario debe aprender a reconocer las señales que puedan delatar al ciberdelincuente.

Cuando recibimos un nuevo correo, debemos formularnos las siguientes preguntas:

1. ¿EL MENSAJE ES SOSPECHOSO?

Para engañar a su víctima, el ciberdelincuente puede crear correos que inspiren confianza o curiosidad, suplantando la identidad de una entidad bancaria, de una plataforma de video en streaming o simplemente escribiendo un mensaje atractivo que impulse a clicar en un enlace o archivo. Aunque el remitente sea aparentemente conocido y/o el mensaje muy tentador, no se debe confiar en correos inesperados o en respuestas que no hemos solicitado.

2. ¿QUIÉN ENVÍA EL CORREO?

Es imprescindible analizar con detalle la dirección de correo del remitente y no fiarnos sólo del nombre que nos muestra. Debes fijarte siempre en el dominio que usa: si el correo es de una entidad o servicio, es muy probable que utilice sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo genérico tipo @gmail.com, @outlook.com, empieza a sospechar. Los ciberdelincuentes también pueden crear dominios que a simple vista parecen reales, pero que, si nos fijamos muy bien, se pueden apreciar pequeñas modificaciones en el dominio real. Por ejemplo: caixabank.com es real, pero caixabanc.com, no. Por eso es necesario confirmar que la dirección de correo tiene el dominio oficial de la empresa y no dejarse engañar por pequeños cambios a veces casi imperceptibles. Aun así, si el dominio del correo es aparentemente el legítimo, pero el contenido del correo nos parece sospechoso, es siempre aconsejable contactar con el remitente por otro canal (telefónicamente, por ejemplo) para confirmar la legitimidad del correo, antes de clicar en ningún enlace o anexo que pudiera contener.

3. ¿ES UNA PETICIÓN URGENTE?

Crear sensación de urgencia es un recurso habitual entre los hackers. Mensajes como “Su contraseña ha caducado. Tiene 24h para modificar sus claves de acceso… “, empujan a la víctima a tomar una decisión rápida y precipitada. Además de las prisas, el concepto de la confidencialidad también es muy usado en este tipo de estafas. Mensajes cómo “Por favor, no comentes esto con nadie más, es un asunto secreto y confidencial. Confío en ti…” quieren disuadir a la víctima de realizar las comprobaciones de seguridad pertinentes y no confirmar por tanto la petición con nadie más. Por mucha urgencia o secretismo que transmita el mensaje, siempre se recomienda contactar con el remitente por otro canal para verificar que el correo es realmente legítimo.

SUBIR

4. ¿A QUIÉN VA DIRIGIDO EL CORREO?

Generalmente, las campañas de phishing son masivas y se dirigen a cientos de miles de personas en todo el mundo. Por lo tanto, es habitual que no cuenten con los datos personales de sus víctimas potenciales y usen términos genéricos como “amigo”, “Estimado cliente” o “Buenos días”, sin usar el nombre de pila de cada individuo. Sin embargo, las técnicas de los hackers han ido perfeccionándose y cada vez son más numerosos los casos de phishings dirigidos y personalizados a victimas concretas, como las estafas del Fraude al CEO y el Fraude facturas. Por este motivo, que el remitente conozca el nombre del usuario, no es una prueba de su legitimidad.

5. ¿EL ENLACE ES LEGÍTIMO?

Si el correo contiene un enlace, es necesario comprobar a dónde conduce antes de clicar, ya que podría ser un enlace trampa. Debemos analizar su dirección web, o URL, para ver si es conocida. ¿Cómo? Pasar el cursor por encima del enlace sin clicarlo, permite ver la dirección web y comprobar si es o no conocida. Ésta aparece en una pequeña ventana emergente y a los pies de la mayoría de los navegadores de internet. Si la dirección a la cual dirige el enlace no corresponde a la que apunta el contenido del mensaje, podría ocultar una web maliciosa.

6. ¿ESTÁ BIEN ESCRITO?

Que una entidad o compañía envíe una comunicación con una redacción y ortografía descuidadas, es una señal de alarma que nos indica un posible correo fraudulento.Las campañas de phishing en ocasiones se realizan desde el extranjero y están destinadas a atacar a personas de distintas nacionalidades. Por lo tanto, los ciberdelincuentes traducen sus mensajes a varios idiomas, en ocasiones con muchos errores debido al uso de traductores automáticos. Frases mal construidas, traducciones demasiado literales, palabras con símbolos extraños o fallos semánticos son pistas que pueden delatar a los estafadores. Pero también se registran numerosos casos de correos phishing elaborados con una escritura perfecta. Cualquier tipo de texto, este bien escrito o no, es susceptible de ocultar un intento de fraude.

7. SI SIGO SIN ESTAR 100% SEGURO…

Es posible que aunque se analicen todos los elementos del correo, aún no puedas asegurar al 100% su legitimidad. Los phishings son cada vez más sofisticados y en ocasiones es muy difícil distinguirlos de un correo legítimo. En estos casos, debe confirmarse la autenticidad del remitente mediante otro canal. Es decir, si se recibe un correo sospechoso por parte de una empresa y/o persona, es conveniente ponerse en contacto con esta por teléfono para verificar que la comunicación es real y legítima.

DICIEMBRE 2018

GEOLOCALIZACIÓN Y REGLAMENTO EUROPEO

SUBIR

La tecnología de geolocalización de vehículos es un sistema al alza en las empresas como forma de control empresarial y para optimizar costes. Sin embargo, los trabajadores suelen ser reticentes al empleo de servicios de geolocalización mediante dispositivos móviles inteligentes, al ser también un medio de control exhaustivo. Geolocalización y Reglamento Europeo.

El problema es que esta tecnología puede llegar a revelar detalles íntimos sobre la vida privada de los conductores, más aún si el trabajador hace un uso mixto del coche de empresa, utilizándolo tanto como equipo de trabajo durante su horario laboral como para su uso privado fuera de éste. Así, al permitir seguir la ruta del vehículo, posibilita al mismo tiempo conocer los hábitos y patrones de comportamiento del conductor del vehículo.

PAUTAS

Si su empresa utiliza tecnologías de geolocalización, o se está planteando hacerlo, tenga en cuentas las siguientes pautas:

  • Para poder decidir con acierto la utilización de esta tecnología, su empresa deberá demostrar con medios válidos y suficientes que sea necesaria para un fin legítimo (por ejemplo, para la seguridad de sus propios empleados, o ante la necesidad de disminuir costes empresariales optimizando rutas de reparto o la planificación de operaciones en tiempo real).
  • Al igual que ocurre con Videovigilancia, su empresa ha de valorar previamente si puede optar por medios menos intrusivos.
  • Debe evitarse la monitorización constante y sistemática de los trabajadores.
  • Debe informar a los trabajadores de que su empresa va a utilizar sistemas de control por geolocalización mediante dispositivos móviles inteligentes. Deberá informarles de la existencia de la medida de control que va a adoptar la empresa, desde cuándo entra en funcionamiento, que sólo se llevará a cabo durante la jornada laboral, que los datos que se recojan se incorporarán al fichero de Recursos Humanos o Personal del que es titular la empresa, si los datos van a ser cedidos a terceros y también que los trabajadores pueden ejercer sus derechos.
  • Es conveniente informar también a los representantes de los trabajadores.
  • No es necesario que el trabajador preste su consentimiento cuando afectan a su ubicación personal, puesto que su empresa tiene un fin legítimo que quedaría incorporado a la relación laboral.
  • Es necesario que su empresa informe a los trabajadores sobre cómo desactivar el dispositivo de monitorización fuera de las horas de trabajo e incluso cómo deshabilitar ciertas funcionalidades no indispensables para el trabajo que desarrolle.
  • El empresario tiene que tener claro que los sistemas de geolocalización del vehículo no están diseñados para geolocalizar la persona individual, sino al vehículo.
  • Debe tener en cuenta que la tecnología de geolocalización también está disponible en los teléfonos móviles, para adoptar las cautelas necesarias si su empresa se entregan a los trabajadores.

MAYO 2018

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

SUBIR

¿CUÁNDO ENTRA EN VIGOR?

El 25 de Mayo de 2018

¿QUÉ ES?

Es un nuevo reglamento, que sustituirá a la Ley Orgánica de Protección de Datos (LOPD), vigente en España desde 1999. El objetivo es que los ciudadanos puedan decidir cómo quieren que se traten sus datos, así como la información que reciben de las empresas, a través siempre de un conocimiento explícito e inequívoco. Además, el nuevo reglamento amplía las cuestiones sobre las que es necesario informar sobre: el plazo de conservación de los datos; el derecho a solicitar su portabilidad y retirar en cualquier momento el consentimiento, la supresión de los mismos (derecho al olvido), entre otras.

¿CÓMO AFECTA A LA EMPRESA?

1. En primer lugar, en cuanto al consentimiento del titular de los datos que, a partir de ahora, deberá ser explícito, informado y revocable en cualquier momento. Asimismo, los ciudadanos pueden solicitar todos los datos que una compañía tiene de ellos en un formato adecuado y que el ciudadano puede entregar posteriormente a otra empresa, si lo desea mediante el ejercicio del denominado derecho a la portabilidad de los datos. Para las empresas acostumbradas a recopilar y tratar grandes cantidades de datos, la nueva norma implica establecer una nueva forma de relacionarse con sus clientes en lo que se refiere a los datos. RGPD requiere que las empresas realicen cambios tan amplios y fundamentales como la forma en que organizan la información. Por ello, algunos de los cambios más inmediatos y visibles pasarán por una redefinición de los Términos de Servicio. RGPD introduce además dos nuevos conceptos:

– La ‘privacidad por diseño’, es decir desde el diseño de los productos o servicios que se oferten.

– La ‘privacidad por defecto’, de modo que las opciones de protección de los datos deben ser las máximas por defecto.

2. En segundo lugar, las sanciones de RGPD son severas. Las multas máximas por infracción se establecen en el 4% de la facturación global de una empresa (o 20 millones de dólares, la cantidad que sea mayor).

3. En tercer lugar, RGPD también establece otra novedad relevante: el principio de responsabilidad activa, más conocido como ‘accountability’ de las empresas, que implica que corresponde a éstas la implantación de procesos internos y recogida de evidencias que demuestren el cumplimiento de la norma.

NOVIEMBRE 2016

DESAPARECE EL ESQUEMA COR1

SUBIR

¿CUÁNDO ENTRA EN VIGOR?

El 21 de noviembre de 2016.

¿QUÉ ES?

España disponía de dos modelos de cuadernos de adeudos SEPA que nos permiten presentarlos en plazos distintos, a elección del usuario y de la localización de la entidad de destino. Estos eran el CORE Y COR1.

  • Esquema CORE: entre 2 días si el adeudo es recurrente o último y 5 días si el adeudo es el primero o único.
  • Esquema COR1: los emisores pueden enviar el fichero un día antes de la fecha de vencimiento del recibo siempre que los adeudos sean nacionales.

Sin embargo el 21 de noviembre de 2016, se produjeron cambios importantes en los Adeudos SEPA, desaparece el esquema COR1 y se reducen los plazos de presentación de Adeudos SEPA CORE.

¿CÓMO AFECTAN ESTOS CAMBIOS A LA EMPRESA?

  • Existirá único plazo de presentación de adeudos SEPA CORE, independientemente de su tipología (primero, único, recurrente,…) podrán presentarse con un día de antelación (D-1) sobre su fecha de vencimiento. Por tanto, se igualan los plazos de presentación de adeudos CORE y COR1, con lo que este servicio opcional deja de tener sentido. Como consecuencia, también desaparece el motivo de rechazo FF05 “Tipo de adeudo incorrecto” relacionado con la emisión de adeudos COR1 a entidades deudoras que no admitían este servicio opcional.
  • Eliminación de la obligatoriedad de distinguir entre el primer adeudo y siguientes (FRST/RCUR). Ya no será obligatorio indicar el primer adeudo SEPA de una serie como primero (FRST) antes de enviar adeudos recurrentes (RCUR). A partir de esta fecha, no se rechazarán adeudos SEPA por el uso incorrecto del tipo de secuencia.
  • En caso de un cambio de cuenta ya no será obligatorio indicar el primer adeudo como primero (FRST). El IBAN es el identificador único de una cuenta y esto aplica también a los mandatos. Entonces, cuando el emisor vaya a indicar que se trata de un mismo mandato con cambio de cuenta del deudor, se elimina la obligatoriedad de informar a FRST en el tipo de adeudo.

FEBRERO 2014

RECIBOS SEPA

 

SUBIR

¿CUÁNDO ENTRA EN VIGOR?

El Reglamento UE 260/2012 establece como fecha límite el 1 de febrero de 2014. A partir de este momento, los instrumentos de pago nacionales (tanto transferencias como adeudos), serán reemplazados en su totalidad por los nuevos esquemas SEPA.

¿QUÉ SON?

Es la iniciativa que permite que particulares, empresas y otros agentes económicos realicen sus pagos en euros, tanto nacionales como internacionales, en las mismas condiciones básicas y con los mismos derechos y obligaciones, con independencia del lugar en que se encuentren. Los recibos domiciliados SEPA se basan en una orden de domiciliación o mandato, mediante el cual el deudor (pagador) autoriza al acreedor (beneficiario) a realizar en una cuenta de su titularidad cobros.

¿CÓMO AFECTA A LA EMPRESA?

  • Las cuentas bancarias se identifican mediante el código internacional IBAN (que se construye a partir del tradicional Código Cuenta Cliente —CCC— usado en España), mientras que las entidades bancarias se identifican mediante el código internacional BIC. Ambos códigos vienen siendo facilitados tradicionalmente por su entidad de diferentes formas (extractos bancarios, aplicaciones de banca electrónica, talonarios, libretas, etc.). Usted debería acostumbrase a ambos códigos, especialmente al IBAN, ya que a partir del 1 de febrero de 2016 será el único código requerido. Recuerde que el 1 de febrero de 2014 es la fecha final de migración a SEPA. Contacte con su entidad para conocer ambos códigos o utilice el siguiente enlace para obtenerlos a partir de su CCC: Pincha aquí. Además, debe saber que su entidad ejecutará las operaciones de pago basándose exclusivamente en estos códigos.
  • La normativa sobre servicios de pago regula los plazos de ejecución, fecha valor y disponibilidad de los fondos de forma que favorece al usuario de servicios de pago. En las operaciones emitidas, la fecha valor no podrá ser anterior al momento de cargo en su cuenta. En las operaciones recibidas, la fecha valor no podrá ser posterior al día hábil de recepción de los fondos por su entidad y la disponibilidad de los fondos será inmediata después de dicha recepción. El plazo máximo de ejecución de las operaciones es de un día hábil.
  • La normativa de servicios de pago ha puesto especial énfasis en ampliar y mejorar la información sobre los pagos que realice y reciba. Su entidad le habrá remitido o le remitirá en los próximos meses las oportunas adaptaciones a la nueva regulación de los contratos que tiene firmados con usted. En caso de que la utilización de un determinado instrumento de pago lleve aparejados recargos o reducciones, el comercio deberá informarle sobre los mismos.
  • La zona SEPA y la aparición de nuevos proveedores de servicios de pago permitirán mayor competencia dentro del mercado de pagos minoristas, posibilitando más y mejores servicios.
  • En aras de una mayor transparencia, la normativa institucionaliza los gastos compartidos, estableciendo que el ordenante abonará los gastos cobrados por su entidad y el beneficiario, en caso de que los hubiera, pagará los gastos cobrados por la suya. Asimismo, las comisiones cobradas por su entidad en relación con pagos transfronterizos serán iguales a aquellas que le cobraría por operaciones nacionales equivalentes.
  • Ante eventuales gastos asociados a la operación de pago, estos se liquidarán al margen del importe de la operación, lo que también redundará en una mayor transparencia.
  • Usted cuenta con mayor seguridad. Sin perjuicio de la debida diligencia en la notificación de incidencias, el consumidor dispone de 13 meses para solicitar la rectificación de operaciones incorrectas o no autorizadas. Salvo fraude o negligencia grave, su responsabilidad por pérdidas derivadas de operaciones de pago no autorizadas resultantes de un instrumento de pago extraviado o sustraído (como, por ejemplo, una tarjeta) se limitará a un máximo de 150 euros.