• Acerca de
  • Contáctanos
  • Política de Cookies
  • Términos de uso
Info Crypto News
  • Home
  • Crypto-Wikipedia
  • Guías y Consejos
  • Últimas Noticias
  • Cotización de Cryptos
  • Conversor de Cryptos
No Result
View All Result
  • Home
  • Crypto-Wikipedia
  • Guías y Consejos
  • Últimas Noticias
  • Cotización de Cryptos
  • Conversor de Cryptos
No Result
View All Result
Info Crypto News
No Result
View All Result
Home Últimas Noticias

Cómo proteger los datos del cliente de las infracciones

by Coccolino
abril 15, 2022
in Últimas Noticias
57 1
0
Bitcoin protegerá la riqueza del gobierno
1.5k
VIEWS
Share on FacebookShare on Twitter



En las últimas semanas y meses, varias empresas de criptomonedas, grandes y pequeñas, han sido víctimas de filtraciones de datos de proveedores de servicios de marketing. La reciente filtración de datos sufrida por HubSpot es un ejemplo notable.

Como resultado, quedó expuesta la información personal de potencialmente millones de clientes de las empresas afectadas. En algunos casos, esto también incluía detalles adicionales sobre sus cuentas.

Los clientes afectados ahora han sido identificados como usuarios de servicios específicos, en gran parte dentro del espacio de criptomonedas y activos digitales, lo que los hace vulnerables a ataques de phishing, ingeniería social y otros tipos de ataques.

Ledn no se vio afectado por ninguna de las filtraciones de datos recientes, incluido el reciente incidente de HubSpot.

Anton Livaja es el líder del equipo de seguridad de la información de Ledn.

Este resultado es el resultado de ir más allá de las medidas de seguridad estándar y adaptar las prácticas de la empresa a nuestros riesgos únicos de la industria. Valoramos los datos de nuestros clientes como lo hacemos con los activos de nuestros clientes y hacemos todo lo posible para protegerlos.

Al igual que otras empresas en muchas industrias, Ledn usa HubSpot para administrar nuestro blog, correos electrónicos y páginas de destino. HubSpot es una herramienta poderosa que, si se usa correctamente, puede ayudar a las empresas a comunicarse con los clientes de manera eficiente. El uso de plataformas de automatización es una excelente manera de mejorar su marketing, pero es importante tener siempre la seguridad en mente. Afortunadamente, hay formas en que las empresas pueden minimizar su riesgo al interactuar con plataformas como HubSpot.

En este artículo, desglosamos el reciente incidente de HubSpot y destacamos los pasos que se tomaron para proteger los datos de los clientes de Ledn. Al utilizar estos métodos, otras empresas o entidades pueden agregar capas adicionales para proteger los datos de sus clientes de este tipo de vectores.

Nuestra esperanza es que al mostrar abiertamente nuestras acciones y aprendizajes, podamos ayudar a otros a evitar un incidente similar en el futuro y mejorar su postura de seguridad.

Vamos a empezar desde el principio.

¿Qué sucedió?

HubSpot sufrió una filtración de datos porque uno de sus empleados se vio comprometido. Esto permitió al adversario usar la cuenta comprometida de HubSpot para acceder a varias cuentas de clientes, específicamente dirigidas a empresas de criptomonedas.

Los detalles sobre cómo se comprometió la cuenta del empleado y por qué no se implementaron controles adicionales para mitigar este escenario no están claros. Este es otro ataque más en una serie de violaciones de datos centradas en criptografía, incluida la que experimentó Ledger en 2020, que también se debió a una violación de HubSpot.

El informe público de incidentes de HubSpot se puede encontrar aquí.

Del informe:

“¿Por qué un empleado de HubSpot tuvo acceso a los datos de los clientes de HubSpot?

“Algunos empleados tienen acceso a las cuentas de HubSpot. Esto permite que empleados como administradores de cuentas y especialistas de soporte ayuden a los clientes. En este caso, un mal actor pudo comprometer la cuenta de un empleado y hacer uso de este acceso para exportar datos de contacto desde una pequeña cantidad de cuentas de HubSpot”.

¿Cómo pudo Ledn protegerse a sí mismo?

La razón principal por la que Ledn no se vio afectada por la violación de HubSpot fue nuestra obsesión por proteger los datos de nuestros clientes y, por extensión, limitar el acceso de nuestro proveedor a los datos.

Cuando decidimos utilizar proveedores externos, una gran consideración para nosotros es si tenemos la capacidad de deshabilitar el acceso de los empleados del proveedor a nuestros datos. En el caso de HubSpot, siempre tenemos deshabilitado el acceso de los empleados y, cuando es necesario, lo habilitamos durante el período de tiempo necesario para que el personal de HubSpot brinde soporte y lo deshabilitamos inmediatamente después, lo que simplemente aplica el principio de privilegio mínimo.

En Ledn, asumimos que cuando utilizamos proveedores externos, asumimos un riesgo que es imposible de cuantificar por completo y, por esa razón, se deben tomar precauciones adicionales.

Hay una tendencia a tener un mayor grado de confianza en las empresas más grandes porque presumiblemente invierten mucho en seguridad. Pero si bien podemos confiar, también debemos verificar; donde no podemos verificar, debemos aplicar todos los métodos disponibles para reducir el área de superficie de ataque.

Limitar el acceso de un empleado de la plataforma a nuestros datos es una práctica que utilizamos siempre que esta función esté disponible y es algo que buscamos durante nuestro período de evaluación de proveedores externos. Muchas empresas brindan esta función y, cuando no lo hacen, a menudo solicitamos al proveedor que agregue esta función, ya que a menudo requiere un esfuerzo relativamente bajo para implementar y mejora la postura de seguridad de ambas partes.

Limitar el acceso de proveedores externos a los datos del usuario final es una buena práctica en un entorno de confianza cero.

En última instancia, las amenazas internas son una consideración importante para todas las empresas y debe centrarse en eliminar los puntos únicos de falla, de modo que incluso si alguien se ve comprometido, no puede causar daños. Las suposiciones útiles para incorporar en el modelo de amenazas de su empresa son que en cualquier empresa, en todo momento, al menos una persona es coaccionada o comprometida en cada equipo, todas las máquinas siempre están comprometidas y sus adversarios están bien financiados y son pacientes.

¿De qué otra forma pueden las empresas proteger los datos de los clientes cuando utilizan proveedores de servicios externos?

Asegúrese siempre de compartir solo los datos que es absolutamente necesario compartir con proveedores externos. Se debe considerar cuidadosamente compartir información personal con un tercero y, por lo general, solo se hace si es absolutamente necesario.

Un ejemplo sería tener que compartir datos debido a requisitos normativos. Si decide compartir datos con un proveedor externo, limítelo solo al subconjunto de datos estrictamente necesarios para que la plataforma funcione.

Cuando se necesitan proveedores externos, la diligencia debida debe ejecutarse utilizando un enfoque de “primeros principios”. Esto significa evaluar cuidadosamente los riesgos, considerando el tipo de datos con los que interactuará el proveedor y determinando cómo los protegerá.

Si la seguridad del proveedor no protege los datos requeridos, debe considerar buscar un proveedor diferente o utilizar una opción alternativa, como construir internamente, como solemos hacer en Ledn.

Es importante tener una cultura sólida que les recuerde continuamente a los empleados que la TI en la sombra, la práctica de usar tecnologías que no han sido examinadas e incorporadas por los departamentos de seguridad de la información y TI, es una práctica peligrosa que puede afectar gravemente la postura general de seguridad. de la organización. Todos los equipos deben entender bien que la seguridad de la información y TI debe ser fundamental en la selección de nuevas herramientas y servicios organizacionales.

Además, las plataformas a menudo brindan funciones que agregan capas adicionales de seguridad, por lo que es útil preguntar qué hay disponible. Para mitigar el riesgo del lado del proveedor externo, así como internamente, aquí hay algunos consejos sobre qué buscar y preguntar, y los controles que se deben implementar:

Inhabilitar o restringir directamente el acceso de los empleados del proveedor a los datos. Pregúntele al proveedor externo qué tipo de controles internos tiene cuando se trata de limitar el acceso a los datos del cliente. Lo que debe buscar es: Uso de tokens de hardware (como Yubikey, Titan Security Key u otro dispositivo de tarjeta inteligente o módulo de seguridad de hardware personal, o dispositivo HSM). Mandatos para el uso de Fast Identity Online o protocolos de autenticación FIDO. Control dual o autenticación n-of-m para evitar que las personas tengan acceso confidencial y privilegiado. Cómo es su proceso de recuperación de acceso; si no es lo suficientemente riguroso, eso puede usarse para eludir sus mecanismos de autenticación. Ya sea que tengan una práctica de “ingeniería de producción”, donde los ingenieros que acceden a la infraestructura crítica usan máquinas reforzadas con acceso limitado a la red para completar cualquier tarea que requiera interactuar con los sistemas de producción. Autenticación basada en certificados: el uso de certificados criptográficos limita el acceso a un activo solo a quienes poseen el certificado. Puede considerarlo como un archivo especial que vincula el acceso solo a los dispositivos que tienen certificados legítimos. Se recomienda utilizar la autenticación basada en certificados para servicios críticos, como un proveedor de inicio de sesión único (SSO) o para acceder a servicios importantes mediante la seguridad de la capa de transporte mutuo (mTLS). Puede obtener más información sobre la autenticación basada en certificados aquí. Listas seguras de IP: los servicios ofrecen con frecuencia la capacidad de limitar el acceso solo a direcciones IP específicas. Para aprovechar esto, necesita una IP estática: una forma de lograr esto para un grupo de usuarios es mediante el uso de una red privada virtual, una VPN.Usando sus propias claves para el cifrado. A menudo, uno puede usar sus propias claves para cifrar los datos que se almacenan con un proveedor externo. Esta es una garantía adicional que ayuda a reducir el riesgo en caso de que se vean comprometidos, porque las claves que se utilizan para descifrar los datos se almacenan con usted, fuera de su sistema, y ​​usted tiene la capacidad de revocar el acceso a ellos en el caso de una emergencia. El tipo de autenticación multifactor (MFA) que admiten para los usuarios de su servicio; La autenticación asimétrica basada en criptografía es lo mejor que tenemos disponible actualmente. Es similar a usar una billetera de hardware para criptomonedas. Se prefiere WebAuthn/Universal 2nd Factor; Yubikey y Titan Security Key son algunos dispositivos populares que admiten la familia de protocolos de autenticación FIDO. Si aún no usa esta tecnología y se preocupa por la seguridad, le recomendamos que obtenga una. Ledn implementará soporte para este tipo de MFA en un futuro cercano. Soporte de inicio de sesión único: la tecnología SSO permite imponer controles en muchos servicios desde un punto centralizado. Es importante tener cuidado y configurar SSO correctamente, ya que de lo contrario puede ser un gran punto único de falla. Como se mencionó anteriormente, se recomienda el uso de la autenticación basada en certificados como una capa adicional de acceso al SSO, preferiblemente en una configuración de mTLS. Administración de contraseñas: el uso de un administrador de contraseñas es una buena práctica de seguridad básica. La idea es utilizar una frase de contraseña maestra sólida (de al menos 16 caracteres de longitud) y todas las contraseñas almacenadas en el administrador de contraseñas deben ser muy largas y complejas (42 caracteres o más, y generadas con el administrador de contraseñas integrado normalmente disponible) . La regla general es: “Si recuerda todas sus contraseñas, lo está haciendo mal”.

Un proveedor de servicios filtró mis datos personales durante el reciente incidente de HubSpot. ¿Que puedo hacer?

Hay varios pasos que se pueden tomar para reducir el riesgo de ataques:

Asegúrese de tener autenticación de 2 factores en cada cuenta que tenga la capacidad de procesar transacciones financieras. Es una buena práctica usar un token de seguridad como Yubikey o 2FA basado en un autenticador (también conocido como TOTP) a través de SMS como su método 2FA. Ya que ha llegado hasta aquí, aquí hay un pequeño anuncio previo para usted: Ledn lanzará el soporte de WebAuthn este trimestre. En segundo lugar, active las frases antiphishing para los correos electrónicos de la plataforma en cada servicio que lo permita. Puede obtener más información sobre las frases antiphishing aquí. Usa algo que sea difícil de adivinar. Los adversarios a menudo crearán un perfil en su objetivo para descubrir cosas que les gustan o de las que hablan a través de las redes sociales para permitirles crear ataques más efectivos y sofisticados contra su objetivo. Active listas seguras en cada servicio con la capacidad de procesar una transacción financiera. Esto restringirá los retiros de sus cuentas a direcciones previamente especificadas. Una implementación adecuada de esta función incluirá un período de “enfriamiento” después de agregar la dirección dentro del cual no se puede enviar la dirección, generalmente durante 24 a 48 horas, lo que le da más tiempo para reaccionar. Comuníquese con su proveedor de servicios para asegurarse de que tengan ahora se limita el acceso de los proveedores externos a los datos del cliente a menos que sea por los períodos de tiempo que sean absolutamente necesarios. Una recomendación adicional es usar un correo electrónico único para cada plataforma de criptomonedas que use, ya que esto hace que sea mucho más difícil dirigirse a usted a través de diferentes plataformas en caso uno está comprometido. Trate su nombre de usuario / correo electrónico como una contraseña para servicios confidenciales. Escucha el episodio 112 de Darknet Diaries. Le dará una gran idea de cómo piensan los adversarios en la industria de las criptomonedas. Comienza a los 45 minutos si quieres el TL; DR. Además, puede usar este excelente recurso, que tiene una extensa lista de recomendaciones sobre cómo mejorar diferentes aspectos de su postura de seguridad y privacidad: https://github.com/Lissy93/personal-security-checklist

Esta es una publicación invitada de Anton Livaja. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc. o Revista Bitcoin.



Source link

Related articles

Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

enero 28, 2023
Mi propuesta para el símbolo Bitcoin Sas - Bitcoin Magazine

Vendedores de Bitcoin agotados, acumuladores HODL – Bitcoin Magazine

enero 27, 2023
Compartir76Tweet47

Relacionado Posts

Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

by Coccolino
enero 28, 2023
0

El senador Ted Cruz (TX-R) ha propuesto una resolución que requeriría que los vendedores en el área del Capitolio...

Mi propuesta para el símbolo Bitcoin Sas - Bitcoin Magazine

Vendedores de Bitcoin agotados, acumuladores HODL – Bitcoin Magazine

by Coccolino
enero 27, 2023
0

A continuación se muestra un extracto de una edición reciente de Bitcoin Magazine PRO, el boletín de mercados premium...

YouGov descubrió que el 27% de los estadounidenses quieren una oferta legal de bitcoin de los Estados Unidos

Plan de riesgo de criptomonedas de Biden Admin – Bitcoin Magazine

by Coccolino
enero 27, 2023
0

La administración de Biden ha publicado un blog oficial que detalla su plan para mitigar los riesgos de las...

Los fondos de pensiones deben aceptar Bitcoin - Bitcoin Magazine

Lo que aprendí al ignorar Bitcoin – Bitcoin Magazine

by Coccolino
enero 27, 2023
0

Este es un editorial de opinión de Konstantin Rabin, un escritor financiero y tecnológico.Soy uno de los que tuvo...

Clover integra Bitcoin Lightning con Strike - Bitcoin Magazine

Clover integra Bitcoin Lightning con Strike – Bitcoin Magazine

by Coccolino
enero 27, 2023
0

El CEO de Strike, Jack Mallers, anunció en Twitter que Strike ahora es un socio integrado del gigante de...

Load More
  • Bitcoin: ¿Qué son?  Una guía rápida para principiantes

    ¿Qué son las criptomonedas? explicación para principiantes

    323 compartidos
    Compartir 129 Tweet 81
  • Los mejores bots para el arbitraje de criptomonedas

    283 compartidos
    Compartir 113 Tweet 71
  • Cómo funciona Bitcoin, en profundidad – análisis completo.

    227 compartidos
    Compartir 91 Tweet 57
  • ¿Cuáles son los riesgos de invertir en las criptomonedas?

    226 compartidos
    Compartir 90 Tweet 57
  • Espiral: uso de la proporción áurea y la secuencia de Fibonacci para predecir los ciclos de precios de Bitcoin – Bitcoin News

    225 compartidos
    Compartir 90 Tweet 56

Recibe las últimas novedades

SUSCRÍBETE
  • Tendencias
  • Comentados
  • Recientes
Bitcoin: ¿Qué son?  Una guía rápida para principiantes

¿Qué son las criptomonedas? explicación para principiantes

julio 24, 2021
Los mejores bots para el arbitraje de criptomonedas

Los mejores bots para el arbitraje de criptomonedas

julio 30, 2021
Cómo funciona Bitcoin, en profundidad – análisis completo.

Cómo funciona Bitcoin, en profundidad – análisis completo.

agosto 19, 2021
Crypto Twitter explota a medida que se propagan los rumores de Twitter Hodling de Facebook

Crypto Twitter explota a medida que se propagan los rumores de Twitter Hodling de Facebook

0
El gigante latinoamericano del comercio electrónico MercadoLibre compra $ 7.8 millones en Bitcoin

El gigante latinoamericano del comercio electrónico MercadoLibre compra $ 7.8 millones en Bitcoin

0
Venture Capitalist ofrece criptografía descentralizada única como solución para impulsar el comercio interregional de África – Mercados emergentes Bitcoin News

Venture Capitalist ofrece criptografía descentralizada única como solución para impulsar el comercio interregional de África – Mercados emergentes Bitcoin News

0
Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

Dream Ted Cruz quiere que los proveedores de Capitol acepten Bitcoin Bitcoin Magazine

enero 28, 2023
Mi propuesta para el símbolo Bitcoin Sas - Bitcoin Magazine

Vendedores de Bitcoin agotados, acumuladores HODL – Bitcoin Magazine

enero 27, 2023
YouGov descubrió que el 27% de los estadounidenses quieren una oferta legal de bitcoin de los Estados Unidos

Plan de riesgo de criptomonedas de Biden Admin – Bitcoin Magazine

enero 27, 2023

Home

Categorías

  • Crypto-Wikipedia
  • Guías y Consejos
  • Últimas Noticias

Etiquetas más vistas

Bitcoiners Ether reglas legal inflación NFT FinTech Tenx piscinas mineras Lightcoin criptoanálisis Musk reguladores volatilidad invertir Bitcoin tasa ecosistema financiación impuestos oferta Satoshi Stablecoins criptoactivos economía monedero Blockstream Kraken FTX energía compra Warren tutoriales excavación Hashing Bitcoins Hashes instituciones Binance Revolut moneda hash blockchain minería Elon arbitraje Cardano Exclusiva Ethereum intercambio plataforma Éter carbono LTC IRS inversión pirateo dólares Coinbase desventajas millones exchange inversores Fiat token crecimiento Regulación litecoin precio criptografía estafa Optech guías Transacciones Coin ATM radar ventajas ETF cómo funciona mercados Paypal BitMEX fluctuaciones criptomonedas

Etiquetas

arbitraje Binance Bitcoin Bitcoins blockchain Blockstream carbono Coin ATM radar Coinbase compra criptoanálisis criptomonedas dólares Elon energía ETF Ethereum Exclusiva Fiat financiación FinTech guías hash impuestos instituciones intercambio inversores IRS Kraken legal mercados millones minería Musk NFT Optech plataforma precio Satoshi tasa Tenx Transacciones tutoriales volatilidad Warren
  • Acerca de
  • Contáctanos
  • Política de Cookies
  • Términos de uso

© 2021 InfoCryptoNews

No Result
View All Result
  • Home
  • Crypto-Wikipedia
  • Guías y Consejos
  • Últimas Noticias
  • Cotización de Cryptos
  • Conversor de Cryptos

© 2021 InfoCryptoNews

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Gestionar el Consentimiento de las Cookies
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Funcionales Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos. El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos anónimos. Sin una requerimiento, el cumplimiento voluntario por parte de su proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarlo.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en un sitio web o en varios sitios web con fines de marketing similares.
Administrar opciones Gestionar los servicios Gestionar proveedores Leer más sobre estos propósitos
Ver preferencias
{title} {title} {title}
Ir a la versión móvil