Qué hemos presentado en el Security Innovation Day 2018: Stela FileTrack, el control de la información sensible (IV)

miércoles, 5 de diciembre de 2018


En este post hablaremos de la parte centrada en el nuevo producto estrella de la Unidad de Ciberseguridad de Telefónica, Stela FileTrack. Rames Sarwat, VP de Alianzas Estratégicas en ElevenPaths, junto a Yaiza Rubio, Analista de Seguridad, expusieron el pasado Security Innovation Day para presentar a todo el público esta nueva solución dedicada a la protección de la información documental sensible de las organizaciones.

La mayoría de las empresas desconocen cuantos documentos generan al día, cuáles de estos documentos contienen información sensible o personal, cuantas copias de estos documentos existen y quien tiene acceso a ellos. Esta razón nos llevó a pensar que debíamos innovar en esta área. Hemos trabajado durante este último para crear una solución que aporta un enfoque diferente, complementando las tecnologías existentes como DLP, cifrado o CASB, y que permite disponer de una consola que ofrece una visión holística de los documentos, dentro y fuera de la empresa.

Para proteger de forma efectiva la información sensible de nuestra empresa contenida en documentos, necesitamos utilizar herramientas de control e inteligencia que nos mantengan informados de donde y quien accede a ellos, también necesitamos contar con un sistema de autenticación de usuarios fácil de usar. Y por último, ser capaces de recabar adecuadamente los consentimientos cuando tratamos datos personales.

En toda empresa necesitamos poder responder a ciertas preguntas como ¿qué datos son sensibles en mi empresa? ¿dónde se encuentran estos datos? y ¿quién tiene acceso a ellos? Para responder, debemos desarrollar ciertos poderes, como el poder de descubrir y clasificar la información, el poder de auditar y trazar los documentos. Por último, pero no por ello menos importante, el poder de autenticar a los usuarios que acceden a la información.

Cómo controlar la informació imagen 2

La tecnología que el año pasado presentamos con el nombre en clave de Path8 es ahora Stela FileTrack. Esta nueva tecnología permite conocer donde está la información cuando esta se encuentra en reposo, independientemente de donde resida (en local, en servidores, en el correo, en servicios en la nube, etc.) y cuando se comparte dentro y fuera de la organización.

Pero nada de esto sería posible si cada usuario que accede a los documentos no estuviera identificado de forma unívoca, tanto dentro como fuera de la organización. Necesitamos un sistema de autenticación fácil de usar, pero al mismo tiempo, que proporcione un elevado nivel de seguridad.

Nuestra propuesta, Mobile Connect, nació para desterrar el uso de las contraseñas, sustituyéndolas por el uso de móvil. Para un usuario no puede ser más sencillo. Para acceder a una web o servicio solo debe introducir como identificador su número de teléfono y aceptar en el móvil la transacción. Todo ello sin necesidad de instalar nada en el terminal, compatible con los principales operadores del mercado, basado en estándares de mercado y muy fácil de integrar con las aplicaciones.

Para que la solución sea segura, se emplean la SIM y el canal de señalización del operador. El usuario introduce en su terminal bien el PIN, pulsa OK o utiliza algún sistema biométrico en función del nivel de seguridad que requiere la transacción.


En anteriores eventos hemos contado casos de uso para autenticar al usuario con Mobile Connect. Cuando se conecta a una red WiFi pública, a la VPN de su empresa y para acceder a su puesto de trabajo.

Mobile Connect ha evolucionado añadiendo nuevas funcionalidades: la autorización de transacciones, la compartición de atributos del usuario o proporcionando mecanismos de protección de nuestras cuentas online.
  • MC Autorización permite a un usuario, previamente autenticado, autorizar transacciones, por ejemplo, de pago con su móvil. 
  • MC Atributos permite a una aplicación o página web acceder a los datos que tiene el operador para facilitar el rellenado de formularios reduciendo así el porcentaje de rebote o abandono de ciertos servicios. 
  • MC ATP (Account Takeover Protection) proporciona información de la red al proveedor de servicio para calcular el riesgo de la transacción. Datos como si el móvil está en roaming o si su SIM dispone de un duplicado permiten reducir el fraude y el robo de cuentas online.
Por último, veamos qué innovaciones hemos realizado en nuestro servicio de firma electrónica SealSign® que nos permiten recabar los consentimientos. Hemos estado trabajando en dos pruebas de concepto que añaden innovación en esta área.

En la primera, teníamos como objetivo mejorar la recogida de evidencias electrónicas de la visualización y lectura de un documento como paso previo a su firma.

Recordemos que para que un consentimiento sea válido desde el punto de vista legal, el firmante debe comprender el documento que está firmando. Las numerosas sentencias favorables sobre las preferentes en España donde los firmantes no impugnaban su firma, sino que afirmaban desconocer o no entender lo que firmaban, nos hicieron pensar en que hacía falta cierta innovación en este campo.

Se ideó un sistema hardware/software que realiza un seguimiento del firmante durante la visualización y lectura de los documentos a firmar, generando evidencias electrónicas de todo el proceso basado en dispositivos inteligentes, reconocimiento biométrico de cara, seguimiento de ojos... Complementando este sistema hemos añadido un sencillo sistema que intenta determinar la lectura del documento, realizando una sencilla prueba al firmante antes de permitirle pasar de página.

verificar la presencia y la lectura imagen 3

La segunda prueba de concepto se ha desarrollado en colaboración con la empresa BiometricVOX, especialista en reconocimiento de voz y cuyos algoritmos han sido reconocidos recientemente en un concurso del MIT.

Hemos combinado la tecnología de la plataforma SealSign y de BiometricVOX para permitir la firma de documentos electrónicos mediante la voz, de una forma rápida y sencilla, desde cualquier dispositivo (portátiles, tabletas o teléfonos móviles).

Estas soluciones permiten a las empresas complementar otras soluciones de prevención de fugas de información o de protección del cloud, teniendo un control e inteligencia sobre los documentos que se generan y comparten en la empresa.

Os animamos a no esperar a que ocurra un incidente en tu empresa y tomar la iniciativa para tomar el control. Si necesitas ayuda, en Telefónica estaremos encantados de colaborar contigo a proteger tu activo más importante, tu información.


Yaiza Rubio
Analista de Inteligencia en ElevenPaths

Rames Sarwat
 VP de Alianzas Estratégicas en ElevenPaths

No hay comentarios:

Publicar un comentario