CTCS| #TECNOLOGÍA 50#TECNOLOGÍADe acuerdo con un estudio global realizado por Akamai en julio de este año, las motivaciones del credencial stuffing, también conocido como ataque de relleno de credenciales, están en la economía criminal. Además, el informe precisa que en tanto toda la información está conectada de alguna mane-ra, ninguna información pierda valor. Más aún y dado que las personas reciclan contraseñas, credential stuffing es cada vez más rentable: los delincuentes pueden utilizar las credenciales obtenidas en una plataforma y explotarlas en otras.Cualquier persona puede ser víctima de credential stuffing. Estos ataques son ejecutados con bots, de los cuales hay muchos en Internet. Y ante la situación de confinamiento generada por el COVID-19; en la industria de medios de entretenimiento, hasta los niños son objetivo para la obtención de credenciales. Pueden caer en la trampa con tan solo des-cargar un juego o accesorio “gratis”, en donde deben ingresar un usuario y contraseña. El 74% de las aplicaciones/servicios todavía utilizan nombres de usuario / contraseñas tradiciona-les para iniciar sesión (feb-2020). En tanto, de mayo a octubre de 2019, los ataques de relleno de credenciales dirigidos a la industria de servicios financieros fueron orientados a las API, que a menudo representan el 75% o más del total de ataques de inicio de sesión contra servicios financieros. Y según datos de febrero de 2020, los inicios de sesión maliciosos que apuntan a las API fueron de 19% prome-dio para todas las verticales –con picos de 50%-, y de 10% promedio para servicios financieros –con picos de 88%-.¿A quiénes y cómo atacan?Veamos un ejemplo de cómo opera esta actividad. Actualmente, las tarjetas de fidelización contienen gran cantidad de infor-mación personal, la cual está disponible a la compra de cre-denciales. Por ejemplo, las cuentas de medios de vídeo cotiza-ban entre USD$ 1 y USD$ 5; y algunas ofertas que incluyen múltiples servicios se vendían por USD$ 10 a USD$ 45. Un caso expuesto en octubre de 2020 señala que por USD$ 13 se podría tener un ahorro teórico de USD$30 al comprar credenciales con recompensa de gasolina. No es sorprendente que los criminales sean poco amigables con el medio ambien-te. Otras opciones son por USD$ 30 tener saldo para hoteles (40,000 puntos de recompensa), e incluso hay sitios que llegan a ofrecer SLA de retorno del dinero si no funciona cierto porcentaje. En mayo de 2019 se estimaron pérdidas de 4 millones de dólares por ataques de credential stuffing.Sin embargo, también hay criminales versados. Credential stuffing de contenido premium de periódicos, libros y revistas ha estado experimentando crecimiento de 7.000%. Los obje-tivos son libros de texto universitario, los portales de noticias en línea, las emisiones bloqueadas por la región, y los servicios de libros electrónicos. Aparentemente a los delincuentes tam-bién les gusta la cultura.De acuerdo con un reporte del estado de Internet de Akamai, los ataques de credential stuffing están ocurriendo también de manera volumétrica. El 7 de agosto del 2019 se identificó un Credential stuffing Los nuevos procesos empresariales impulsados por la transformación digital incrementan el riesgo a la expo-sición de datos. Y ante este escenario, crecen los robos de credenciales. ¿Cómo se generan? ¿Quiénes pueden ser víctimas? ¿Cómo evitarlos?Por Ricardo Sotelo, gerente de Operaciones en Dimtecy economía criminal
CTCS#TECNOLOGÍA | 51#TECNOLOGÍAataque de 55.141.782 intentos maliciosos de inicio de sesión. Es importante implementar las mejores prácticas para el flujo de información para contener los ataques, y así evitar alertar a los atacantes y que generen nuevos vectores de ataque de manera más rápida. Esto puede ocurrir si utilizamos estrate-gias contra DDoS para un ataque ruidoso (volumétrico) en lugar de estrategias contra credential stuffing.Además, los bots evolucionan rápidamente y pueden llevar a pérdidas financieras, por lo que es importante su administra-ción. Por ejemplo, hay bots que acaparan inventario para vender lo encontrado a un precio más alto; pero si eso no se vende y el negocio que tiene acaparado el inventario pide más, se generan pérdidas financieras. También los bots contaminan la analítica: por ejemplo, de preferencias y a qué se hace click, entre otras. Si esto está contaminado, las estrategias de mar-keting se generarán de manera incorrecta.Modelo de seguridad de red: verificación de identidadQué debemos hacer para mejorar la seguridad. La respuesta está en entender que la botnet está en la nube y que para contrarrestar un ataque pensado en actuar de manera distri-buida, se requieren soluciones de seguridad en la nube. Esto nos lleva a la necesidad de implementar el marco de seguridad Zero Trust y aplicar las mejores prácticas para el flujo de información (cada request) que viene de la nube.Zero Trust es un modelo de seguridad de red basado en un proceso estricto de verificación de identidad, presentado por Forrester Reaserch. Sus principios son: Nunca confiar, siempre comprobar. La arquitectura de referencia Zero Trust defiende que la confianza basada en el perímetro de la red y la ubicación ya no es relevante.» Los actores maliciosos están penetrando el perímetro, debido a obtención de credenciales en canales poco monito-reados y avanzando en función de los privilegios obtenidos.» Los usuarios, los dispositivos, los datos y las aplicaciones se están trasladando fuera del perímetro de la empresa y de la zona de control.» Los nuevos procesos empresariales impulsados por la trans-formación digital incrementan el riesgo a la exposición. Mínimo privilegio y denegación predeterminada. Se requiere una arquitectura de seguridad Zero Trust basada en el mínimo privilegio y la denegación predeterminada para reducir el riesgo. Visibilidad e inspección completas y gestión centraliza-da. Los equipos de seguridad y TI responsables de proteger a los usuarios y proporcionar acceso a las aplicaciones cor-porativas necesitan un único conjunto de controles de segu-ridad y acceso para reducir el riesgo y escalar sus recursos finitos para satisfacer las demandas del negocio.» Integrarse con soluciones de SIEM existentes u ofrecer elaboración de informes completos.Mejores prácticas en el tratamiento de las solicitudes (request) en el flujo de información. DNS en CDN. Solicitud DNS, una solución DNS distribui-da permitirá entregar respuestas DNS de manera rápida y estar preparado contra ataques de denegación de servicio hacia el DNS. Ejemplo Edge DNS. Client Reputation. Evaluar la reputación del origen de la solicitud, esto implica llevar una estadística de los visitan-tes. Esto permitirá detener a los clientes maliciosos antes de que puedan lanzar un ataque, aprovechando la visibilidad que tiene de los comportamientos anteriores de las direc-ciones IP. Ejemplo Client Reputation. Bot Manager. Aplicar el marco de referencia para trata-miento de solicitud de un bot o usuario legítimo (se detalla más adelante). Ejemplo Bot Manager. DDoS Defender. Determinar si hay un comportamiento de denegación de servicio. Definir cual es la tasa permitida de solicitud en ráfaga (burts atack); como por ventana de observación, para detener los ataques lentos (slow post atack). La observación de ataques DDoS se coloca aquí y no desde el principio; debido a que puede haber ataques desde máquinas zombis/infectadas que son utilizadas por un usuario válido, es aquí donde se debe implementar inte-ligencia para determinar de este mismo equipo que tráfico se debe dejar pasar y cual contener; esto es variable para cada sitio, pero nos podemos auxiliar de uno o una combi-
CTCS| #TECNOLOGÍA 52#TECNOLOGÍAnación de cookies, query string, header, entre otras opcio-nes. Ejemplo Kona DDoS Defender, Web Application Protector, Kona Site Defender. WAF. Utilizar un firewall de aplicación (WAF). Los ata-ques de aplicación van dirigidos a distintos tipos de funcio-nalidades del sitio, ya sea atacando al propio sitio en sí o a una base de datos con información que se puede ver com-prometida. OWASP presenta un listado de riesgos para las aplicaciones web entre ellas están: SQL Injection, Cross-Site Scripting, Local File Inclusion, Remote File Inclusion, Command Injection. Es importante proteger tanto la aplica-ción web, como las API. Ejemplo Web Application Protector, Kona Site Defender. Identity Cloud. Utilice una solución confiable para admi-nistrar los accesos e identidades desde su sistema, redes sociales que proteja a sus usuarios/clientes de actividades maliciosas, como las cuentas fraudulentas y el robo de cre-denciales. Ejemplo Identity Cloud. Esconda su origen del internet; utilice una red de entrega de contenido [Content Delivery Network (CDN)] para que las IP de los servidores de la CDN sea lo que vean sus visi-tantes. Ejemplo Site Shield. Page Integrity. Existen ataques cuyo origen son sitios considerados de confianza, además del formjacking, comple-mente la protección WAF con soluciones que evalúen la integridad del portal. Ejemplo Page Integrity Manager.Bots buenos y malosExiste una gama amplia de bots. En los extremos están los buenos, que se suelen colocar en una lista blanca, y los malos, que se envían a una lista negra. En el intermedio están los bot grises, que se pueden catalogar en función del impacto al negocio y/o desde el punto de vista de seguridad. A continua-ción, se detalla el marco de referencia para atender bots.• Usuarios legítimos. Claramente la acción es permitir que todos sus usuarios legítimos reales lleguen al sitio y monito-rear su actividad.• Bots de SEO. Estos bots pueden considerarse buenos y una práctica posible es enviarlos a una página sencilla que per-mita ejecutar sus acciones de manera más eficiente, esta puede estar en una infraestructura independiente de donde son atendidos los usuarios legítimos.• Socios o terceros. Supongamos que se tienen socios y otras partes terceras beneficiosas a las que también desea-mos permitir acceder al contenido del sitio, pero esto causa problemas de rendimiento. Entonces, uno opción es detener-los durante el horario comercial/atención/pico (de 9am a 3am, por ejemplo) y dejarlos entrar fuera de ese horario.• Competidores. Imagínese que ha detectado que sus com-petidores hacen scraping de sus precios. Quizás pueda servir a sus competidores precios falsos, para controlar mejor esas dinámicas competitivas y aumentar sus ingresos de ventas.• Defraudadores. Aquí debe decidir qué hacer con este tráfico malicioso. Tal vez quiera bloquearlos. Tal vez quiere servirles páginas de inicio de sesión falsas para confundirlos. O sino incorporar su detección en una herramienta SIEM para que puedan analizar mejor sus actividades.• Bots desconocidos. Nuevamente, tiene que decidir si blo-quearlos o analizarlos, para después determinar cómo quie-re manejarlos.Dimtec (www.dimtec.com) es una empresa mexicana, dedicada a desarrollar e integrar soluciones tecnológicas que mejoren y protejan la distribución de contenidos digitales. Ricardo Sotelo abordó estos contenidos en el webinar sobre seguridad informática realizado por TOTS en noviembre.
CTCS| #PROFILESPROFILES//54Mega Tech es una empresa de capitales nacionales, con más de 20 años de trayectoria, focalizada en brindar servicios profesionales IT. Los mismos incluyen: Mesa de ayuda para soporte al puesto de trabajo, en sus moda-lidades: telefónica, chat y remote control; Outsourcing y delivery: gestión de incidentes y soporte IT; Desarrollo e implementación de asistentes virtuales, chatbot y aplica-ciones móviles; Consultorías y royecto IT: en HW y SW; O.S., bases de datos, y versiones de aplicaciones.Cuenta con todos los procesos certificados bajo Norma ISO 9001:2015.Y los servicios que ofrece permiten asis-tir a las empresas en la operación de soluciones IT en diversas plataformas, cubriendo las necesidades de sus Departamentos de Sistemas.Hector [email protected]: 4600-6300 | Corrales Viejos 64C.A.B.A - ArgentinaMEGATECHwww.megatech.laNos especializamos en la gestión de cobranza de saldos de deuda elevada para Bancos, Empresas y PyMES. Con más de 20 años de experiencia, brindamos la mejor so-lución para cada cliente en el recupero de activos. Con-tamos con un equipo interdisciplinario de profesionales y un staff de mas de 200 integrantes especializados en contactación, búsqueda de datos, y negociación. Pone-mos a disposición del cliente capacitación permanente, tecnologías innovadoras y un know how destacable que nos convierten en su mejor aliado.Ing Dario Palmero [email protected]: 7078-8500 |Reconquista 660 C.A.B.A - ArgentinaEstudio Palmero de Belizan & Asociadoswww.epb.com.arLatinCloud es una plataforma líder de soluciones cloud, con productos y servicios que brindan la mejor alterna-tiva de alojamiento en la nube. Además, se consolida como especialista en soluciones de cloud hosting para contact centers.Su atención está orientada a la experiencia de cliente. Garantiza un servicio de calidad avalado por la última tecnología y un equipo de profesionales de IT con más de 20 años de experiencia. Su desafío, día a día, es brindar las mejores soluciones a todos los clientes y entregar un enfoque personalizado a cada uno de sus proyectos. Mariana RusekGerente de Marketing y [email protected]+54 11 5258 8400Tel: +54 11 5258 8400 | Darwin 1154C.A.B.A - ArgentinaLatinCloudwww.latincloud.com/argentina IGECH construye soluciones corporativas. La compañía nació en el año 2011, como fruto del crecimiento de la unidad de negocio del Estudio Ingaramo Gomez Vara, con más de 40 años en la región, con la visión de dise-ñar soluciones corporativas de BPO a la medida de cada cliente con foco en contact centers. Garantiza soluciones, convirtiéndose en socio estratégi-cos, fusionando innovación tecnológica con excelencia humana. IGECH se integra al negocio de sus clientes, con procesos eficientes basados en estándares de máxi-ma calidad, que garantizan resultados a través de la ex-celencia técnica y humana de su equipo.Francisco Ingamaro Coordinador General [email protected]@igech.com.arTel: 0379 497-8000/441-0910Bolívar 1074 | CorrientesIGECHwww.igech.com.arS1Gateway es una plataforma que permite que las em-presas brinden servicio al cliente a través de email, chat, formularios web, sms, facebook, twitter, linkedin, youtu-be, mercadolibre, y cualquier red social que tenga API.Permite enrutar los mensajes de manera inteligente, gestionar las colas, tipificar cada interacción, contar con dashboards en tiempo real, reportes de prodcutividad de agentes, de tráfico de operación, de satisfacción al clien-te. Actualmente se gestionan un promedio de 500.000 interacciones por dia para empresas de primer nivel en Argentina, México, Perú, Colombia y Brasil. Entre sus clientes se encuentran: Claro, Despegar.com, Banco San-tander, BBVA, ICBC, Edesur, Atento, Frávega, SwissMe-dical, ProvinciaNet, entre otros.Leo SujoluzkyDirector Comercialleo. [email protected]: [email protected] GATEWAYwww.s1gateway.comPines S.A. es una empresa de extensa trayectoria en los mercados Bancario y de Contact Centers.Posee dos áreas de negocios, la división *SISTEMAS BANCARIOS* que provee el sistema integral y parame-trizable OMA SYSTEM PLUS y la división *INFRAES-TRUCTURA* que brinda Servicios Profesionales, Hard-ware y Software para Business Intelligence, Quality Management, WorkForce Management, Voice & Screen Recording, Seguridad de acceso, Virtualización y Acce-so Remoto a aplicaciones. Pines S.A representa y dis-tribuye Importantes Marcas y Fabricantes como NICE Systems, IEX Totalview, CITRIX y Microsoft entre otros.Oscar SilvaGte. de [email protected]: 54 11 4374 5958 | Av. Callao 420 P11Buenos Aires - ArgentinaPINESwww.pines.com.ar
CTCS#PROFILES | 55#PROFILESStartek es una compañía global que provee servicios de con-tact center con alcance omnicanal e inteligencia artificial aplicada a las últimas tecnologías de mercado. Fundada en Es-tados Unidos hace más de 30 años, cuenta con más de 55.000 empleados en 13 países y 63 sites. Su constante movimiento hacia la evolución del servicio y formación de valor hacen de la compañía un player de reconocimiento Word Class.El éxito de la compañía está basado en la habilidad para ejecutar proyectos con calidad en un corto período de tiem-po, adaptándose a las necesidades y los requerimientos de sus clientes. Con un amplio rango de servicios que van desde atención al cliente y telemarketing hasta la tercerización de procesos complejos como los relacionados con recursos humanos o específicos de ciertas industrias, Startek se des-taca por trabajar en equipo con sus clientes y acompañarlos durante todos los ciclos y desafíos que se presentan.Fernando BenitoDirector Comercial Latam [email protected]: (011) 5080-0000 | Azopardo 1350C.A.B.A - ArgentinaSTARTEKwww.startek.comTecnoVoz es especialista en el desarrollo y comercia-lización de software y soluciones multicanal para la industria de los contact centers y el mercado corpora-tivo. El expertise acumulado a lo largo de 27 años de historia, potenciado por un recurso humano enfocado en la constante innovación, da como resultado una gestión centrada en la creación de soluciones a la medida de cada cliente que acompañan el crecimiento de sus nego-cios, desarrollando así vínculos de largo plazo.Con 35.000 puestos instalados en más de 300 centros de contacto, TecnoVoz lidera el mercado argentino y cuenta con representación en Colombia, Estados Unidos, México, Perú, Puerto Rico y Venezuela, con un modelo de distribución comercial y soporte estratégicamente regionalizado.Gabriel BustilloGerente [email protected]: +54 11 5554 8100 | Federico Lacroze 3194 1º C.A.B.A - ArgentinaTECNOVOZwww.tecnovoz.comTandem Technology es una empresa de gestión de co-branzas orientada a alcanzar altos ratios de cobranza, manteniendo y cuidando a los clientes finales. Nació en 1998 como una unidad de cobranza del Estudio Cassini, y ya en 2001 se lanzó de forma independiente. La compa-ñía establece sus bases en tres pilares fundamentales: un equipo de trabajo orientado aportar valor diariamente; una operación focalizada en la obtención de los mejores ratios de cobranza; y la automatización de tareas repe-titivas que no generan valor y solo aumentan el costo.La firma dispone de un CRM propio, que combina pro-cesos de big data y favorece el ahorro de tiempos en la ejecución de procesos, mejora la seguridad de la información y potencia la productividad de los colabo-radores. Además, cuenta con líderes certificados en normas COPC y se encuentra en pleno proceso de im-plementación. [email protected] 25 de Mayo 596, Piso 5C.A.B.A - ArgentinaTANDEM TECHNOLOGYwww.tandemtech.com.ar
CTCS| #ANUARIO 56#ANUARIO¿Qué pasó en 2020?El Gobierno reglamentó la Ley de Góndolas en diciembre, a través del Decreto 991/2020. La misma permitirá una mayor oferta de productos en las grandes cadenas de supermercados, tanto física como virtualmente, y posibilitará que las pequeñas y medianas empresas, cooperativas y emprendimientos de la agricultura familiar tengan un trato equitativo en el espacio que ocupen en las góndolas. La norma establece que la Secretaría de Comercio Interior será la autoridad de aplicación y quien deberá generar un listado actualizado con la totalidad de los productos alcanzados por la ley. Dispondrá de los requisitos de señalización de los congeladores exclusivos o los exhibidores patrocinados y podrá fijar un porcentaje máximo de los mismos.El Banco Central aprobó el programa de “Transferencias 3.0”. La normativa, que facilita las operaciones de pagos electrónicos, comenzó a operar el 7 de diciembre. Apunta a garantizar menores costos para los comercios y mayores opciones de pago para los consumidores, con un nuevo esquema de transferencias inmediatas.A través de este sistema, cualquier persona con una cuenta bancaria o billetera digital puede usar su tarjeta de débito o código QR de la app para pagar en un comercio. Y a su vez, este recibirá el dinero en forma inmediata e irrevocable, lo que ayudará a competir con el uso de efectivo.TRANSFERENCIAS 3.0Ver más info.Ver más info.LEY DE GÓNDOLAS
CTCS#ANUARIO | 57#ANUARIOLas empresas que comercializan bienes y servicios por internet o teléfono en Argentina deben exhibir un “botón de arrepentimiento” en sus páginas web y en sus aplicaciones. Así lo estableció la Secretaría de Comercio Interior, a través de la resolución 424/2020, que entró en vigor el 4 de diciembre.Este instrumento permite que los consumidores puedan arrepentirse de sus compras o contrata-ciones, en un plazo de 10 días a partir efectuadas. Además, pueden tramitar la devolución de los productos o cancelar los servicios adquiridos, A partir de la solicitud de revocación, el proveedor dentro de las 24 horas y por el mismo medio, debe informar al consumidor el número de código de identificación de arrepentimiento o revocación.Desde diciembre, las empresas que proveen servicios a través de Internet deben publicar y exponer de manera accesible en la página principal de sus sitios web los contratos de adhesión y el botón de baja de usuarios. Así lo establece la Resolución 271/2020, de la Secretaría de Comercio Interior.La norma alcanza a empresas de telefonía fija y móvil, Internet, radiodifusión por suscripción y medicina prepaga, que hasta ahora estaban obligadas a visibilizar el botón de baja. El acceso a los ejemplares de contrato, y condiciones generales y parti-culares de contratación, deberá ser de fácil y directo acceso desde la página de inicio del sitio de Internet institucional de las firmas obligadas y ocupar un lugar destacado, en cuanto a visibilidad y tamañoCONTRATOS DE ADHESIÓNVer más info.BOTÓN DE ARREPENTIMIENTOLa Cámara Argentina de Fintech manifestó su rechazo a la derogación de la Resolución N° 168 6 de abril de 2018. Esta decisión implica que los empleadores no pueden efectuar el pago de las remuneraciones mediante la utilización de dispositivos de comunicación móviles u otros soportes electrónicos habilitados, aun cuando existiere aceptación explícita y feha-ciente por parte del trabajador.PAGO DE REMUNERACIONESVer más info.
CTCS| #ANUARIO 58•Marcelo García Cisneros, CEO de Rekket, asumió como presidente de AMDIA por los próximos dos años, en reemplazo deMartín Jones.•Ignacio Plaza, presidente en Primary Ventures, fue designado al mando de la Cámara Argentina de Fintech hasta 2022y ocupará la posición de Juan Pablo Bruzzo, fundador de Moni.•Sebastián Albrisi, director del Grupo Telemercado, pasó al frente en la Cámara Argentina de Centros de Contactos parael período 2020-2021. Reemplazó en el cargo a Marcos Górgolas, gerente general de Grupo PyD.La modalidad de remoto desplegada a partir de la cuarentena motivó diferentes proyectos para su regulación del teletrabajo. Finalmente en julio se aprobó el Régimen Legal del Contrato de Teletrabajo, que “tiene por objeto establecer los presupuestos legales mínimos para la regulación de la modalidad de teletrabajo en aquellas actividades, que por su naturaleza y particulares carac-terísticas, lo permitan”.Asimismo, la norma determina que lLos aspectos específicos se establece-rán en el marco de las negociaciones colectivas.Sin embargo, la fuerte reacción empresaria abrió negociaciones posteriores. Actualmente, el Gobierno se encamina a regular la ley con algunas modificaciones. LEY DE TELETRABAJOVer más info.PASES#ANUARIOEN CARTERAEn diciembre, el Gobierno reglamentó la Ley de Economía del Conocimiento, que promueve mediante incentivos fiscales, hasta el año 2029, a las empresas y emprendedores en el diseño, adaptación y desarrollo de producción software y servicios afines a las nuevas tecnologías.La norma reemplaza a la ley 27.506, que había sido aprobada en octubre de 2019, aunque luego en enero de este año, suspendida y sometida a revisión y cambios. Entre las modificaciones intro-ducidas, se encuentran la reducción del impuesto a las Ganancias: será del 60% para las micro y pequeñas empresas, del 40% para las medianas, y del 20% para las grandes.Ver más info.LEY DE ECONOMÍA DEL CONOCIMIENTO
Search
