Buscar:

El poder de la información – Detección de fraude

Escrito por Norman Castro el 15 mayo, 2013

Si tenéis dos minutos y medio y antes de leer el post, os invito a ver el video que cuelgo hoy, ilustra de una forma muy clara lo que quiero expresar.

 

Hace un tiempo tuve la oportunidad de realizar una formación para una compañía en seguro para la detección de fraude en los nuevos canales de comunicación.

Como podéis imaginar, en la política de detección de fraude si la focalizamos al producto “commodities” donde el índice de siniestralidad es elevado, dichos canales, los llamados sociales, es un foco donde se puede extraer muchas informaciones relevantes y valiosas para identificar patrones de usuario y detectar posibles fraudes.

Está claro que cada vez mas nuestro cliente esta posicionado en las redes sociales y como es lógico, la compañía poco a poco está adaptando sus procesos a nuevos canales, tanto procesos de producción, de distribución y como no debe ser menos, también la parte de siniestros.

Dentro de esta actualización los departamentos de investigación y fraude tienen cada vez mas claro el uso de estos nuevos canales para poder identificar tendencias de fraude. Dentro de la formación pudimos trabajar con diferentes herramientas que nos permiten sacar perfiles multi-redes donde partiendo de una persona podemos identificar en que redes sociales participa, cuantos perfiles tiene…. Toda una información que nos ayudara si debemos abrir un proceso de investigación de fraude.

Por ejemplo, si nos ponemos en situación de un parte por colisión de un automóvil con una motocicleta, a simple vista un siniestro sin importancia, es mas el capital a indemnizar es pequeño y no entra ni dentro de los procesos de control. Pero si tenemos una mecanización que de cada parte no coge el sujeto A y sujeto B y nos identifica si tiene contactos, enlaces en perfiles sociales, si son amigos en redes sociales…etc…nos sorprenderíamos de lo que llegamos a conseguir, es mas! la gente a veces no es consciente de toda la información que publica.

En conclusión, nunca había entrado a este nivel de profundidad en la detección de fraude y una vez que estás trabajando es un mundo apasionante ya que gracias a las nuevas tecnologías y la mecanización de los procesos, se pueden conseguir ratios de éxito muy elevados, partiendo de la base que actualmente poco se está haciendo con estos canales.

Las ofertas locales, Google Offers arranca en pruebas

Escrito por Norman Castro el 8 mayo, 2013

A principio de año se empezó a hablar sobre Google Offers. Se trata de la apuesta de Google por entrar en el mercado de las ofertas locales y ahora Google Offers comienza sus pruebas en Portland, desde donde como es habitual en estos casos dará el salto a otras ciudades de Estados Unidos para después llegar al resto de países.

Lo interesante es que podemos suscribirnos a las ofertas, de esta manera nos llegarán a nuestros correos los avisos de nuevas ofertas y tenemos una buena base para aprender a manejar el medio. De esta manera cuando llegue a nuestro país estaremos preparados para presentar ofertas atractivas para consumidores y poder anticiparnos a la competencia.

Una de las cuestiones o dudas que pueden tener las empresas cuando entran al mercado de las ofertas locales es cómo tratar a los clientes que llegan por este medio a nuestro establecimiento. Las ofertas locales son una oportunidad de promoción para la empresa no un servicio de bajo coste, por lo que debemos ofrecer a los clientes que llegan por este medio una atención y servicio similar a los que ofreceríamos si llegaran por otro canal a nuestra empresa.

El objetivo es más dar a conocer nuestro negocio. A través de las ofertas locales llegan clientes que a lo mejor de otra forma no se hubieran planteado traspasar el umbral de nuestra empresa. Un trato como a cualquier otro cliente, conseguir una buena impresión de ellos para que su experiencia con nuestra empresa sea buena.

Porque no podemos entender el mercado de ofertas locales de otra manera. Un cliente que llega a nuestro negocio y que gracias a la oferta local accederá a productos o servicios a bajo coste, si recibe un buen trato lo contará, presumirá con sus amigos del chollo que ha conseguido, contará su experiencia y el efecto publicitario para nuestro negocio se multiplicará.

Lo contrario ocurrirá si la oferta no se adapta a lo publicado o el cliente nota que por venir con un cupón de Groupon o hacer checkin en Facebook Ofertas, tiene un trato distinto al de otros clientes el efecto será el mismo y multiplicado. Porque en general un mal comentario o una mala experiencia se cuenta más que una positiva.

En conclusión  si decidimos entrar en el juego de la promoción de las ofertas locales, tenemos que tener claro el objetivo que buscamos. Encontrar nuevos clientes y fidelizarlos a través de las ofertas locales es una de las posibilidades. Si buscamos beneficios por otro lado o afrontamos el servicio de otro modo puede que consigamos el efecto contrario.

Proteger nuestro WordPress contra ataques de fuerza bruta

Escrito por Norman Castro el 30 abril, 2013

Se ha realizado un macro ataque contra el cms wordpress, como comentamos en el ultimo post.

Básicamente este ataque se basa en una lista de 1.000 usuarios y contraseñas comunes que intentan averiguar los datos de acceso al panel de administración del usuario principal (administrador) realizando una gran cantidad de logueos.

Al tratarse de un ataque usando la fuerza bruta existen diferentes formas de evitarlo o, por lo menos, asegurar que nuestro blogs esté a salvo contra este tipo de acciones. Estos son algunos de los consejos que te ofrecemos, tanto plugins como modificaciones desde el archivo .htaccess y recomendaciones. Veámoslo.

• Limit Login Attempts. Lo describo en dos únicas palabras: muy importante. Su principal característica es la posibilidad de limitar el número de intentos de inicio de sesión por IP. De esta forma, cuando se intente realizar un ataque masivo éste será bloqueado (siempre y cuando proceda de la misma dirección IP). Además nos mostrará un informe de inicios de sesión que hayan sobrepasado el límite establecido, para bloquearlas definitivamente si lo creemos necesario.
• WP Security Scan. Este plugin examinará nuestra instalación de WordPress para indicarnos incidencias, así como algunos consejos para aplicar que nos ayudarán a mejorar la seguridad. Nos mostrará consejos de contraseñas, permisos de archivos, seguridad en la base de datos, seguridad del panel de administración, etc.
• Wordfence Security. Otro de los plugins esenciales para mantener el “orden” en WordPress ante ataques masivos y así también evitar sobrecargas en el hosting. Wordfence añade un sistema de firewall en nuestros blogs, detección de virus y tráfico en tiempo real. Lo importa del plugin es su opción de firewall, la cual viene desactivada por defecto y tendremos que activarla manualmente desde su configuración (marcar la casilla “Enable firewall rules”).

La mayoría de los ataques masivos, a fuerza bruta, usarán como nombre de usuario “admin” para robar nuestra contraseña. Por este motivo es más que aconsejable usar cualquier otro que no tenga ninguna relación con dicho nombre. Con las últimas versiones de WordPress es posible cambiar este usuario antes de realizar la configuración y primera puesta en marcha del blog. No obstante también podremos configurarlo a posteriori siguiente estos sencillos pasos.

• Pasos a seguir si podemos acceder a nuestro panel de administración con nuestro usuario y contraseña habitual:

1. Accedemos al panel de administración con nuestro usuario “admin”.
2. Nos dirigimos al apartado “Usuarios” y creamos uno nuevo.
3. Rellenanos la información necesaria, con un usuario y contraseña que no sean comunes. Como perfil del usuario seleccionaremos “Administrador”.
4. Listo. Ya podremos borrar el anterior usuario administrador y empezar a usar el nuevo desde esos momentos.

• Pasos a seguir si no podemos acceder al panel de administración con nuestro usuario administrador (desde PHPMyAdmin):

1. Lo primero que tendremos que hacer es asegurarnos de disponer de los datos de acceso a nuestro hosting. Una vez accedamos nos vamos al apartado de base de datos (PHPMyAdmin) y seleccionamos la correspondiente a nuestra instalación de WordPress.
2. Buscamos la tabla “wp_users” (puede variar en el caso de haber seleccionado otro prefijo al configurar WordPress, aunque siempre acabará en _users).
3. Nos aseguramos de estar en la pestaña “Browse”. En la tabla buscamos al usuario “admin” y damos en el botón del lápiz para editarlo.
4. Cambiamos los campos “user_login”, “user_nicename” y “display_name” por el nuevo nombre de usuario. Cambia únicamente éstos y deja los demás tal cual, sin modificar. Guarda los cambios y tendrás el usuario listo y configurado, con el nuevo nombre de usuario asignado.

Consejos para mantener la seguridad

• Aunque la mayoría de usuario no lo hacen, es recomedable realizar copias de seguridad mensuales de los archivos y base de datos. En el caso de perder los datos por un problema de hosting o ataque hacker podremos restaurarlo posteriormente sin problemas. Para automatizar esta tarea podremos usar el plugin WP-DBManager..
• Debemos de usar contraseñas difíciles, nunca nombres o datos personales por su facilidad a la hora de obternerlos. Estamos acostumbrados a escucharlo pero muchos no lo ponemos en práctica, siendo unos de los principales causas en el robo de cuentas. Utiliza contraseñas que intercambien letras y númeras, mayúsculas y minísculas, o incluso carácteres especiales como ¬ ! #$%, entre otros.
• Mantén actualizado WordPress, plugins y temas. Aquí no vale el “si está bien mejor no lo toques” o “mientras funcione lo dejo así”. WordPress, como cualquier otra plataforma, cuenta con agujeros de seguridad que se solucionan con nuevas versiones. Es por eso por lo que, sobre todo en actualizaciones menores, es muy recomendable actualizar para evitar posibles problemas en el futuro.
• Desactivar plugins innecesarios. Aunque no lo creas, todos los plugins que estén activados repercutirán de una manera u otra en WordPress. Por eso, si algún plugin tiene algún agujero de seguridad podría ser aprovechado por hackers para entrar en nuestro sitio. Mi recomendación es dejar únicamente aquellos que realmente necesitemos, los demás con desactivarlos será suficiente.

.htaccess es el nombre de un simple archivo de texto que se añade a la raíz del sitio, en el cual pueden aplicarse distintas reglas sobre los directorios y archivos de nuestra Web. En este caso aprovecharemos dicho archivo para aplicar mejoras en la seguridad de WordPress. Veamos algunos códigos sencillos que podemos añadir a dicho fichero, uno por línea.

• Evitar la exploración de carpetas. Es de suma importancia prohibir que los visitantes puedan acceder y visualizar las distintas carpetas y directorios de WordPress (como wp-admin, por ejemplo). Solo tendremos que añadir estas línea a nuestro archivo .htaccess para bloquearlo por completo.

Options All -Indexes

• Proteger el archivo wp-config.php. Se trata del archivo más importante de WordPress, el que incluye la información vital para el funcionamiento, así como los datos para acceder a la base de datos. Aunque evidenmente este archivo no puede visualizarse en el navegador, siempre es interesante aplicar medidas extras “por si las moscas”. Más vale prevenir que curar.

<files wp-config.php> order allow,deny deny from all </files>

• Bloquear el acceso a wp-content. Es la carpeta que engloba todos los temas, plugins, imágenes y archivos que sirven para personalizar el blog. Para evitar accesos no autorizados bastará con añadir lo siguiente.

Order deny, allow Deny from all <files ~”.(xml|css|jpe?g|png|gif|js)$”> Allow from all </files>

• Proteger y bloquear el archivo .htaccess. Sí, también puedes bloquear el mismo archivo que se utiliza para añadir todas las anteriores reglas sobre directorios. Con la siguiente línea será sufiente para asegurarlo.

<files ~”^.*\.([Hh][Tt][Aa])”> Order allow, deny Deny from all Satisfy all </files>

Conclusión, muchas veces no se puede parar un ataque de estas dimensiones. Pero gracias a los plugins de seguridad y pequeños trucos que podemos realizar, conseguiremos tener un blog protegido y con unos mínimos de seguridad.

Estos días están atacando wordpress

Escrito por Norman Castro el 24 abril, 2013

WordPress es una de las plataformas de blogs más extendidas por Internet, y como tal es un objetivo muy jugoso para los crackers. De hecho, ahora mismo hay un ataque en marcha contra blogs WordPress que está construyendo una botnet considerablemente grande infectando blogs no seguros.

El ataque consiste básicamente en usar fuerza bruta para adivinar la contraseña de administrador de cada instalación. Una vez conseguida, el malware se instala en el blog creando un nuevo usuario. Desde ahí empezará a atacar a otros blogs WordPress por fuerza bruta para infectarlos.

El malware usa una lista de unas 1.000 combinaciones de usuario y contraseña, las más comunes. Son pocas comparadas con todo el espacio de combinaciones posibles, pero al ser las más comunes es perfectamente posible que infecten suficientes blogs como para que la botnet tenga un tamaño importante (un mínimo de 90.000 IPs según algunos informes).

De momento, los blogs infectados no están haciendo nada más allá de buscar otros blogs, así que no están causando demasiados problemas adicionales a los usuarios. Quienes sí lo están pasando peor son los proveedores de hosting, que en algunos casos están viendo cómo su tráfico saliente se dispara. Muchos han tomado medidas de seguridad adicionales, como bloquear el acceso a todos los paneles de administración de WordPress salvo a ciertas IPs específicas, de forma que el usuario tiene que comunicar al hosting su IP para poder acceder al blog.

Si creéis que podéis haber sido infectados, lo más recomendable es borrar cualquier usuario desconocido y revisar la instalación para buscar archivos maliciosos. En última instancia, siempre podéis borrar todos los archivos y hacer una instalación limpia para evitaros problemas (los posts, etiquetas y demás se guardan en la base de datos, así que no los perderéis).

Conclusión,  recordad los consejos a la hora de crear contraseñas seguras. También podéis usar plugins como Login Security Solution para bloquear ataques de fuerza bruta en vuestros servidores. Y, por supuesto, seguir los consejos de seguridad de WordPress.

Herramientas de analítica, hoy para Vine

Escrito por Norman Castro el 18 abril, 2013

Esta semana gracias a Inese impartimos un curso sobre Marketing on-line y reputación on-line y branding.

Dentro de la formación y como buen informático, me gusta tener control sobre los números, y la información que navega sobre mi o mis páginas web. Por este motivo tenemos un tema especifico de como explotar y que información tiene en google analytics y también realizamos un paseo por la parte de webtools de google.

Esta semana navegando y probando cositas me he encontrado con una nueva herramienta analítica para Vine el servicio de vídeo de Twitter. El análisis te muestra que usuarios de Vine están interactuando con tus vídeos, y los principales influenciadores de tu empresa. También te muestra y compara Vine con la participación en otros medios sociales.

Vine ha sido adoptada de maneras muy singulares y si tu marca social es parte de tu empresa, Vine puede llegar a convertirla en una inteligente y fácil manera de llegar a tus clientes y potenciales clientes.

Esta herramienta de Twitter es muy nueva y las empresas aunque la están utilizando para llegar a las audiencias sociales. Aún no hay demasiados datos para medir realmente el compromiso y saber si la publicación de estos clips de seis segundos en realidad valen la pena.

En su análisis entran en juego la cantidad de mensajes que tu empresa ha hecho mediante Vine y otros medios como Instagram y YouTube, y cómo ha sido la participación en cada una de estas plataformas en comparación con la participación que tu empresa recibe en vine. También muestra los seguidores más asiduos de tu marca así como a los más influyentes, todo esto en base a las interacciones con los tweets que contengan vídeos.

Filtro de tus resultados por ciudad o país. Hay una sección que se titula “Tus vines según los números”, este te ofrece el número de usuarios totales a los que tus vines han llegado o saber cuál es el número de usuarios que participan con tus vines, el alcance potencial, y las impresiones potenciales. También puedes ver cuáles de tus vídeos vine han conseguido un mayor punto de vines vistos, la mayor cantidad de puntos y cuáles son los que tienen el mayor potencial de impacto para la empresa.

En conclusión, dentro de nuestra estrategia de comunicación y marketing, si una de las piedras angulares es nuestra web, blog, Socialmedia, debemos utilizar todas la herramientas que estén a nuestro alcance para poder medir y así evaluar si vamos por buen camión o debemos modificar nuestra estrategia.

 

Bienvenido al blog de Seguros y Tecnologia con Norman Castro, consultor de negocio en el area de seguros, así como consultor en nuevas tecnologías habiendo realizado varias ponencias a nivel nacional sobre Gestion de contenidos web, redes sociales y outsourcing.