Tag:

risk management

Noticias

Inside Nevada’s Push for Secure Digital Government

by Diego Ramírez – Managing Editor
written by Diego Ramírez – Managing Editor
Tim Galluzi, CIO, state of Nevada

The State of Nevada is accelerating its cybersecurity and digital modernization efforts after a major ransomware attack exposed the importance of resilience, workforce readiness and strong governance.

See Also: Securing Microsoft 365: A Live Breakdown of Modern Attack Paths

Tim Galluzi, CIO of the state of Nevada, said the incident reinforced how cybersecurity preparedness needs to be embedded into everyday operations – not treated as a one-time investment.

After the incident, the state secured unanimous legislative support and backing from the governor to invest in new cybersecurity tools and technology infrastructure designed to better protect resident data and critical systems. Galluzi said those investments are helping the state modernize its approach to security while strengthening collaboration across agencies.

«Resilience isn’t something you just write down on paper,» Galluzi said. «It’s something you have to practice.»

A key pillar of Nevada’s strategy is a shift toward zero trust architecture and identity modernization. Galluzi called identity and access management the «new firewall» in a post-perimeter environment in which employees, partners and residents increasingly access systems remotely. The state is also investing heavily in workforce training, positioning employees as a critical line of defense against phishing and other social engineering attacks. Artificial intelligence is another emerging priority, he said.

In this video interview with Information Security Media Group, Galluzi discussed:

  • How Nevada strengthened cybersecurity strategy after a statewide ransomware incident;
  • Why identity modernization and zero trust architecture are central to resilience;
  • How the state is responsibly exploring AI to improve digital services for residents.

Galluzi leads enterprise IT strategy, cybersecurity, digital services and modernization initiatives across Nevada state agencies. He focuses on strengthening resilience, enabling secure innovation and improving how Nevada residents access government services through modern digital platforms.

About the Author

Based in Brooklyn, New York City, Lawinski is a writer and editor with more than 20 years of experience in journalism. She has covered a wide range of topics including business, news, culture, science, technology and cybersecurity. Her work has appeared in publications including CNN, Fox News, CRN, CIO Insight, Food Dive, Dark Reading and ERP Today.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

F1 y Ciberseguridad: Resiliencia y Ventaja Competitiva

by Editor de Tecnologia
written by Editor de Tecnologia

La Fórmula 1 es reconocida mundialmente por su precisión en la ingeniería y por las carreras que se ganan o se pierden por milésimas de segundo. Si bien siempre ha sido una disciplina impulsada por los datos, la atención a la seguridad y la resiliencia se está profundizando. Para profundizar en estos temas, tuve el placer de unirme a colegas de la industria y al equipo Atlassian Williams F1 en una visita ‘entre bastidores’ a la carrera inaugural de la temporada en Albert Park, Melbourne.

El riesgo de terceros determina la resiliencia en el día de la carrera

El automovilismo depende de una combinación diversificada de socios proveedores para ofrecer un alto rendimiento. Piense en los dispositivos, los clústeres y el software involucrados antes de la carrera y en la pista. Esa red conlleva riesgos de terceros. Sin embargo, no todas las conexiones son iguales: una conexión WiFi de invitados segregada de la pista tiene menos riesgo que los sistemas que capturan y procesan la telemetría durante la carrera. Gestionar el riesgo de terceros en el garaje es similar a gestionarlo en una empresa compleja: el riesgo de su proveedor es su riesgo. James Kent, director de tecnología del equipo en la pista, dijo: «Nos asociamos con proveedores que se alinean con nuestra propia estrategia». Al seleccionar socios proveedores que consideran la seguridad como un imperativo empresarial, el equipo está obteniendo resiliencia, no solo suministros. También está adoptando un enfoque de seguridad por capas, basado en la sensibilidad de los datos. «Tenemos múltiples enlaces de datos», dijo Kent. «Estos se agregan o bloquean según los requisitos de latencia y seguridad».

Los nuevos tipos de identidades también plantean nuevos riesgos de terceros. Las organizaciones ahora gestionan muchas identidades de máquina no humanas de sus proveedores. Atrás quedaron los días en que las organizaciones podían rotar al personal temporal utilizando un inicio de sesión genérico de un proyecto a otro. Se requieren identidades específicas del rol con autenticación con conocimiento de la ubicación y enfoques de confianza cero para mantener la organización segura. Esto es particularmente cierto a medida que el software aplica cada vez más políticas, detecta conexiones riesgosas, rota credenciales y protege entornos multi-nube.

Equilibrar la sensibilidad de los datos y el riesgo para generar una ventaja competitiva

La Fórmula 1 vive y respira datos. Estos datos abarcan toda la telemetría habitual: desde los datos de aceleración y frenado, hasta la velocidad en las curvas, el cambio de marchas, las condiciones de la pista y mucho más. Pero es la forma en que se combinan esos datos lo que marca la diferencia. «Cuando regreso al garaje, mi compañero de equipo y yo constantemente nos superamos gracias al análisis de datos», dijo Carlos Sainz Jr. «Pero hay un punto óptimo. Eres más lento si no utilizas los datos correctamente, pero puede quitarte demasiada concentración si te apoyas demasiado en ellos».

Encontrar el equilibrio adecuado no se trata solo de construir esa resiliencia personal. También se trata de correlacionar las perspectivas correctas. La primera es la experiencia en la pista del piloto, basada en su historial de carreras anterior. La segunda proviene de simulaciones en la pista que combinan datos actuales e históricos de carreras de clústeres en la pista y la nube, respectivamente. Y la tercera es un modelo óptimo que predice la mejor ruta sin considerar las entradas humanas. Al combinar estas 3 perspectivas, con el nivel de fidelidad y el período de tiempo adecuados, el equipo puede descubrir una comprensión más profunda de las tendencias de la carrera para generar una ventaja competitiva.

Ese equilibrio también implica recopilar y proteger los datos correctos. Debido a que los datos tienen una gravedad, en la infraestructura de soporte, la arquitectura de datos y la seguridad, recopilar los datos incorrectos plantea riesgos cibernéticos, de privacidad y de latencia. «Presto mucha atención a qué datos estamos moviendo, cómo los estamos moviendo y a dónde los estamos moviendo», dijo Kent. «Nos asociamos con organizaciones para que nos protejan porque la amenaza cibernética es constante». Escatimar en las protecciones y recopilar los datos incorrectos simplemente no vale la pena.

Asegurar un alto rendimiento con los fundamentos y las palancas correctas

Las continuas incertidumbres geopolíticas dificultan que las empresas construyan y mantengan el valor empresarial, especialmente para un deporte global como la F1. Centrarse en los fundamentos organizacionales es crucial al decidir qué palancas de cambio accionar. En términos de construir resiliencia cibernética, Darren Guccione, director ejecutivo y cofundador de Keeper Security, va más allá de la tecnología para centrarse en el fundamento humano. «El modelo de ciberseguridad es simple, pero la ejecución es compleja», dijo. «A menudo existe una relación inversa entre la ciberseguridad y la facilidad de uso. Intentamos unificar la seguridad y facilitarla porque si es compleja, los empleados encontrarán formas de evitarla. Eso pone en riesgo a la empresa».

La simplificación de la cadena de herramientas con un enfoque de plataforma es solo el comienzo. El cambio cultural también debe acelerarse. Elevar la cultura de seguridad a nivel de liderazgo y fuerza laboral puede garantizar la resiliencia contra nuevos ataques que las herramientas pueden pasar por alto. La creatividad y el ingenio son las claves para desbloquear mayores defensas.

Además de los fundamentos tecnológicos y humanos, también es importante unificar los procesos de gestión de riesgos. Piense en todo el esfuerzo que se dedica a auditar e informar sobre los requisitos reglamentarios, como la Gestión del Riesgo Operacional (CPS 230). Bajo esa regulación, los jefes de departamento son propietarios y deben comprender los riesgos inherentes a los activos tecnológicos bajo su responsabilidad. Pero cuando se trata de auditar y evaluar esos riesgos, los procesos desconectados y las soluciones puntuales aisladas dificultan la elaboración de informes. En opinión de Guccione, «Una organización podría tener 25 productos de seguridad diferentes, pero no están conectados. Esto conduce a brechas operativas y de seguridad, lo que hace imposible generar un informe de cumplimiento. Por lo tanto, hemos integrado todas esas aplicaciones de seguridad básicas en una plataforma unificada. Ese es el futuro».

Datos, seguridad y resiliencia para impulsar un alto rendimiento. Al seleccionar los socios adecuados, recopilar solo los datos esenciales y basarse en los fundamentos correctos, las organizaciones pueden crear una resiliencia personal, cibernética y operativa más profunda. Los líderes tecnológicos adoptan estos enfoques de forma proactiva para construir y mantener la resiliencia en un entorno cada vez más incierto.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Vulnerabilidad CrackArmour: Acceso Root en Linux vía AppArmour

by Editor de Tecnologia
written by Editor de Tecnologia

Investigadores de Qualys han identificado nueve vulnerabilidades en AppArmor que, según afirman, podrían permitir a un usuario local sin privilegios en Linux obtener acceso root y debilitar el aislamiento de contenedores en los sistemas afectados.

Denominado CrackArmor, el problema se relaciona con la forma en que el kernel de Linux gestiona los perfiles de seguridad de AppArmor. Qualys caracterizó el patrón subyacente como un problema de «confused deputy» (agente confundido), en el que un usuario con pocos privilegios influye en un proceso de confianza para que realice una acción que normalmente estaría bloqueada.

AppArmor es un Módulo de Seguridad de Linux (LSM) que aplica el control de acceso obligatorio mediante la aplicación de perfiles a las aplicaciones. Se habilita de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, y se utiliza ampliamente en entornos de nube y contenedores para el endurecimiento del host y el confinamiento de cargas de trabajo.

Qualys indicó que el conjunto de vulnerabilidades ha existido desde la versión 4.11 del kernel de Linux, lanzada en 2017. Su análisis de CyberSecurity Asset Management encontró más de 12,6 millones de instancias empresariales de Linux con AppArmor habilitado de forma predeterminada.

¿Cómo funciona?

Las debilidades reportadas se centran en los pseudoarchivos utilizados para cargar, reemplazar y eliminar los perfiles de AppArmor. Qualys afirmó que un atacante podría manipular un proceso privilegiado para cambiar los perfiles escribiendo en archivos bajo /sys/kernel/security/apparmor/, citando .load, .replace y .remove como interfaces clave.

Qualys señaló que las fallas podrían eludir las restricciones de espacio de nombres de usuario y permitir la ejecución arbitraria de código en el kernel. El aviso también describe riesgos de denegación de servicio: algunas rutas de eliminación pueden agotar la pila del kernel cuando los perfiles contienen subperfiles profundamente anidados, lo que podría provocar un pánico del kernel y un reinicio en algunas configuraciones.

El informe también describe rutas para la escalada de privilegios local que involucran interacciones con componentes ampliamente implementados como Sudo y Postfix. Un ejemplo describe a un atacante que influye en el comportamiento relacionado con el correo para obtener un shell root. Otro implica un uso indebido de la memoria del kernel que podría permitir la modificación de /etc/passwd.

Qualys también expresó su preocupación por los límites de contenedores y espacios de nombres, advirtiendo que la manipulación de políticas podría permitir a un usuario crear espacios de nombres más permisivos en algunos sistemas. Esto podría debilitar el aislamiento donde las distribuciones han restringido los espacios de nombres de usuario sin privilegios.

Urgencia de aplicar parches

Las actualizaciones del kernel son la principal solución. Qualys afirmó que las mitigaciones provisionales no brindan la misma garantía que las correcciones de los proveedores en el código del kernel e instó a los equipos de TI y seguridad a acelerar las ventanas de mantenimiento para implementar los kernels parcheados.

El alcance afectado puede extenderse más allá de las distribuciones donde AppArmor está habilitado de forma predeterminada. Cualquier distribución de Linux que integre AppArmor y envíe kernels desde la versión 4.11 en adelante podría estar expuesta, según la configuración y el nivel de parche. Las organizaciones deben seguir los avisos específicos de la distribución para conocer las versiones de los paquetes y los kernels corregidos.

Al momento de la publicación, los problemas no tenían identificadores CVE. Qualys señaló que la asignación de CVE para los problemas del kernel upstream generalmente sigue a las correcciones que aterrizan en las versiones estables del kernel y argumentó que los defensores no deben tratar la ausencia de CVE como una señal de menor riesgo.

Qualys dijo que ha desarrollado demostraciones de prueba de concepto que muestran una cadena de explotación para CrackArmor. No está publicando código de explotación, pero dijo que la mecánica subyacente sigue estando disponible para la validación independiente por parte de la comunidad de seguridad.

Impacto operativo

Estos problemas difieren de los errores explotables de forma remota porque requieren acceso local. Ese punto de apoyo podría provenir de una cuenta de usuario comprometida, un actor malicioso interno, una aplicación vulnerable que permita la ejecución de código como un usuario sin privilegios o un intento de escape de contenedor donde el atacante ya tiene derechos limitados en el host.

Si los perfiles de AppArmor protegen los servicios expuestos a la red, un atacante que pueda alterar o eliminar esos perfiles puede debilitar la defensa en profundidad. Qualys citó ejemplos como la eliminación de perfiles para servicios, incluidos rsyslogd o cupsd. También describió un escenario de denegación de servicio en el que se podría cargar un perfil «denegar todo» para sshd, bloqueando el acceso administrativo legítimo.

Qualys aconsejó monitorear los cambios inesperados en /sys/kernel/security/apparmor/ como un posible indicador de explotación. También recomendó priorizar la aplicación de parches para los activos orientados a Internet y verificar la integridad del perfil de AppArmor después de las actualizaciones.

Qualys dijo que sus propios productos y plataformas no se ven afectados. También lanzó un identificador de detección para los clientes y señaló una verificación de la versión del kernel como una forma de evaluar la exposición.

«Estos descubrimientos resaltan las brechas críticas en la forma en que confiamos en los supuestos de seguridad predeterminados. CrackArmor demuestra que incluso las protecciones más arraigadas pueden eludirse sin credenciales de administrador. Para los CISOs, esto significa que el parcheo por sí solo no es suficiente; debemos reexaminar toda nuestra suposición sobre lo que significan las configuraciones ‘predeterminadas’ para nuestra infraestructura», dijo Dilip Bachwani, Director de Tecnología de Qualys.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

GitHub Agentic Workflows: Automatización con IA en tus repositorios

by Editor de Tecnologia
written by Editor de Tecnologia

GitHub ha lanzado una vista previa técnica de Agentic Workflows, un proyecto de código abierto de GitHub Next que ejecuta automatización basada en intenciones dentro de los repositorios utilizando GitHub Actions y agentes de codificación.

Este proyecto está dirigido a tareas recurrentes que aún requieren juicio humano, como la clasificación de incidencias, la investigación de fallos en la integración continua, la corrección de la deriva de la documentación y el mantenimiento de la higiene del código. Los flujos de trabajo se escriben en Markdown plano y se ejecutan dentro de GitHub Actions.

Cómo funciona

Agentic Workflows se ejecutan junto con los GitHub Actions existentes. Un mantenedor del repositorio escribe un archivo Markdown que describe el resultado deseado y luego ejecuta el flujo de trabajo según un calendario o mediante un disparador manual.

Dependiendo de la configuración, los flujos de trabajo pueden utilizar diferentes motores de agentes de codificación, incluyendo Copilot CLI, Claude Code y OpenAI Codex. GitHub Actions sirve como la capa de ejecución, proporcionando registro, auditoría y acceso al contexto del repositorio.

Cada flujo de trabajo incluye configuración para disparadores, permisos, herramientas y salidas permitidas. Las instrucciones del agente residen en Markdown y un archivo de bloqueo se utiliza para la ejecución dentro de GitHub Actions.

Medidas de seguridad

GitHub Next ha convertido las medidas de seguridad en un requisito fundamental para ejecutar agentes de forma continua en los repositorios. Los flujos de trabajo tienen permisos de solo lectura por defecto. Cualquier operación de escritura requiere una aprobación explícita a través de lo que GitHub denomina «salidas seguras».

Las salidas seguras se asignan a operaciones preaprobadas de GitHub, como la creación de una solicitud de extracción o la adición de un comentario a una incidencia. El diseño también incluye ejecución en sandbox, listas blancas de herramientas y aislamiento de red. GitHub Next posiciona estas medidas como protecciones contra comportamientos no deseados y la inyección de prompts.

El equipo contrastó este enfoque con la ejecución directa de herramientas de línea de comandos de agentes de codificación dentro de los flujos de trabajo YAML estándar de GitHub Actions. Argumenta que la ejecución directa puede otorgar permisos más amplios de los necesarios para una tarea, mientras que Agentic Workflows impone restricciones más estrictas y puntos de revisión más claros.

Informe del repositorio

Un ejemplo de flujo de trabajo genera un informe de estado diario para los mantenedores. Recopila la actividad reciente en incidencias, solicitudes de extracción, debates, lanzamientos y cambios de código, y luego produce recomendaciones y próximos pasos con enlaces a hilos relevantes.

El ejemplo se ejecuta según un calendario con acceso de lectura al contenido del repositorio, las incidencias y las solicitudes de extracción. Utiliza salidas seguras que le permiten crear una incidencia de GitHub con un prefijo y etiquetas específicos.

Primeros usuarios

GitHub Next afirma haber utilizado Agentic Workflows internamente en un programa intensivo de «dogfooding». El equipo construyó el proyecto en Go a pesar de tener una experiencia previa limitada, y luego creó un flujo de trabajo diario llamado «go-fan» para proporcionar retroalimentación continua sobre el código y el sistema.

GitHub también ha destacado el uso por parte de mantenedores de código abierto y empresas. Frenck Nijhof, mantenedor y ingeniero principal de Home Assistant, ha utilizado los flujos de trabajo para el análisis a gran escala de incidencias en todo el proyecto. Lo describió como una «amplificación del juicio que realmente ayuda a los mantenedores».

Carvana está utilizando Agentic Workflows en múltiples repositorios, según GitHub. Su liderazgo de ingeniería citó los controles y la adaptabilidad como razones clave para implementar la herramienta de forma más amplia en su base de código.

Alex Devkard, SVP de Ingeniería y Analítica de Carvana, afirma que la «flexibilidad y los controles integrados» son lo que le dan la confianza para implementar Agentic Workflows en sus sistemas complejos, y la empresa ya los está utilizando en varios repositorios.

Inteligencia Artificial Continua

GitHub Next vincula el proyecto a un esfuerzo de investigación más amplio que denomina Continuous AI. El concepto sitúa las tareas impulsadas por la IA en un ciclo continuo dentro del ciclo de vida del desarrollo de software, distinto de las canalizaciones de compilación, prueba y lanzamiento.

GitHub afirma que Agentic Workflows complementan la CI/CD existente en lugar de reemplazarla. Distingue los flujos de trabajo deterministas, como las compilaciones y las ejecuciones de pruebas, del trabajo más subjetivo que los mantenedores aún manejan manualmente, incluyendo la clasificación y las mejoras continuas de la calidad.

GitHub también señala que la ejecución de agentes de codificación puede generar costos de facturación. Para Copilot con la configuración predeterminada, dice que una ejecución típica incurre en dos solicitudes premium: una para el trabajo del agente y otra para una verificación de guardrail a través de salidas seguras.

GitHub Next describe la vista previa técnica como parte de un trabajo más amplio para gestionar el aumento del volumen de contribuciones y tareas de mantenimiento en lo que denomina la era de la IA, y se espera una mayor experimentación a medida que los equipos prueben cómo los flujos de trabajo continuos impulsados por agentes se ajustan a sus prácticas de repositorio.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Cobalt: Integración con Microsoft Teams para Pentesting Colaborativo

by Editor de Tecnologia
written by Editor de Tecnologia

Cobalt ha anunciado la integración de su plataforma de colaboración para pruebas de penetración con Microsoft Teams, disponible ahora a través de Microsoft Marketplace. Esta nueva funcionalidad ofrece a los clientes una vía adicional para implementar las herramientas de Cobalt directamente dentro de su entorno de Teams.

La integración se integra dentro de la plataforma Cobalt Offensive Security y establece una conexión bidireccional entre los pentesters de Cobalt y los equipos de sus clientes a través de los canales de Microsoft Teams. Cobalt afirma que esta integración conecta a los pentesters, clientes y gestores de proyectos técnicos en el mismo entorno de Teams que las organizaciones ya utilizan para sus comunicaciones internas. La compañía considera este lanzamiento como parte de una estrategia más amplia que también incluye una integración con Slack.

Listado en Marketplace

Microsoft Marketplace funciona como un catálogo de software en la nube, aplicaciones de inteligencia artificial y agentes que operan con productos de Microsoft. Los proveedores lo utilizan para distribuir complementos e integraciones que los clientes pueden implementar y gestionar en sus entornos de Microsoft.

La integración de Cobalt en Teams ahora aparece junto a otras herramientas de seguridad y TI vendidas a través del ecosistema comercial de Microsoft. Los clientes pueden descubrir e implementar la integración a través del Marketplace y gestionarla directamente en Microsoft Teams.

El producto se centra en la colaboración durante el proceso de pruebas de penetración, entregando los hallazgos de las pruebas a través de canales de colaboración como Microsoft Teams, en lugar de esperar a un informe final.

Mensajería bidireccional

Según Cobalt, la integración con Teams soporta comunicación bidireccional, lo que la diferencia de otras soluciones que mantienen las comunicaciones con los clientes dentro de un portal separado.

La compañía explica que la integración envía notificaciones a Teams y permite la discusión de los problemas a medida que surgen, proporcionando además visibilidad sobre el progreso de la prueba de penetración. Microsoft Teams cuenta con más de 320 millones de usuarios activos mensuales y una adopción superior al 90% entre las empresas Fortune 100, lo que la convierte en un entorno común para que los equipos de seguridad y los desarrolladores compartan actualizaciones.

«La mayoría de los proveedores de PTaaS (Penetration Testing as a Service) solo pueden ofrecer un canal de comunicación unidireccional a través de su propio portal, pero la integración de Cobalt con Microsoft Teams proporciona una forma fluida y eficiente para que tanto los pentesters como los clientes gestionen los compromisos directamente dentro de su conjunto de herramientas existente sin cambiar de contexto», afirma Deepak Dalvi, Jefe de Producto de Cobalt.

Dalvi también comentó sobre los plazos de remediación, indicando: «Esto conduce a una remediación más rápida, ya que los equipos reciben alertas inmediatas sobre los hallazgos en su sistema de comunicación y pueden actuar sobre ellos inmediatamente después del descubrimiento.»

Flujo de trabajo operativo

Cobalt describe varias funciones para la integración, incluyendo notificaciones en tiempo real sobre nuevos hallazgos, actualizaciones de estado y comentarios. También soporta conversaciones directas entre los pentesters y los equipos de seguridad de los clientes dentro de los canales de Teams.

La compañía asegura que la integración aumenta la transparencia al proporcionar visibilidad inmediata del progreso de la prueba de penetración y los detalles de las vulnerabilidades, vinculando este modelo de comunicación con ciclos de remediación acelerados a través de una retroalimentación más rápida entre los testers y los equipos de los clientes.

Cobalt presenta la integración como una forma de mantener el trabajo dentro de los procesos existentes, permitiendo que las comunicaciones en Teams se integren con otras conversaciones operativas en lugar de obligar al personal a cambiar de herramientas durante un compromiso.

Modelo de Pentesting

Cobalt opera con un modelo de pruebas de penetración como servicio. La compañía afirma que los clientes pueden acceder a la comunidad Cobalt Core de pentesters, que cuenta con más de 500 expertos en seguridad.

También indica que los clientes pueden lanzar una «prueba de penetración dirigida por expertos» en tan solo 24 horas, caracterizando sus servicios como rápidos, escalables y fiables.

La integración se alinea con una tendencia más amplia en las operaciones de seguridad, donde los proveedores entregan alertas y hallazgos en las herramientas que los equipos de desarrollo, TI y seguridad ya utilizan. En muchas organizaciones, las plataformas de colaboración como Teams o Slack actúan como la primera línea para la discusión de la priorización y la asignación de tareas.

Cobalt señala que su integración con Slack sirvió como precedente para la adición de Teams, afirmando que el lanzamiento de Teams refleja el éxito de la oferta de Slack y amplía las opciones de comunicación durante los compromisos.

Cobalt ha declarado que continuará expandiendo las integraciones con herramientas de colaboración como parte de su dirección de producto.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Capture The Bug: Expansión en EEUU y Nombramientos Clave

by Editor de Tecnologia
written by Editor de Tecnologia

Capture The Bug ha incorporado a tres líderes tecnológicos sénior con base en Estados Unidos a su Consejo Asesor Ejecutivo, en preparación para una mayor expansión en Norteamérica.

La compañía de ciberseguridad, fundada en Hamilton, señaló que estos nombramientos reflejan la evolución de las prácticas de seguridad entre las organizaciones de software. Muchas empresas están abandonando los ciclos anuales de pruebas de penetración y adoptando enfoques de pruebas continuas, alineados con los frecuentes lanzamientos de software.

Los nuevos asesores se encuentran en San Francisco, Silicon Valley y el área metropolitana de Filadelfia. Capture The Bug indicó que aportan experiencia de organizaciones y productos como Reddit, Microsoft, GitHub, Azure, Copilot y Visa.

Capture The Bug fue fundada por Ankita Dhakar. La empresa ofrece Pruebas de Penetración como Servicio (PTaaS). PTaaS se posiciona como una alternativa a las pruebas de penetración puntuales, ofreciendo un modelo de pruebas de seguridad continuas, lideradas por expertos e integradas en los flujos de trabajo de ingeniería.

Dhakar vinculó este modelo con el ritmo de cambio del software en muchas organizaciones.

«La mayoría de los modelos de pruebas de seguridad fueron diseñados para un mundo donde el software cambiaba unas pocas veces al año», afirmó Dhakar, Co-Fundadora y CEO de Capture The Bug. «Hoy en día, los equipos de ingeniería lanzan código semanalmente o incluso diariamente. El riesgo cambia constantemente, pero las pruebas no han seguido el ritmo. PTaaS existe para cerrar esa brecha, integrando la experiencia en seguridad directamente en la forma en que los equipos construyen y lanzan software.»

Lanzamiento comercial

Capture The Bug lanzó comercialmente su plataforma en 2024. Anteriormente, operó durante varios años como una consultora de ciberseguridad. Durante ese período, la compañía trabajó con CTOs y CISOs en Nueva Zelanda y Australia, lo que influyó en el diseño de su plataforma y la validación de su enfoque en términos de requisitos de ingeniería y cumplimiento.

La empresa explicó que los nuevos asesores se centrarán en la escalabilidad de la plataforma, la preparación para empresas, la gobernanza y la entrada en el mercado estadounidense. Estos nombramientos coinciden con la continua construcción de la plataforma y el equipo de Capture The Bug desde Nueva Zelanda.

Nuevos asesores

Ninad Narkhede se ha unido como Socio Estratégico del Consejo. Capture The Bug señaló que anteriormente fue Global Head of Cloud Engineering en Visa y actualmente trabaja como CTO en Apoddo. Se espera que asesore sobre la preparación para empresas, la madurez de la gobernanza y las expectativas de seguridad de las grandes organizaciones.

Ellen K. Pao se ha unido como asesora enfocada en liderazgo, gobernanza y resiliencia organizacional. Capture The Bug indicó que Pao es la ex CEO de Reddit, una inversora en tecnología y autora de Reset. Su nombramiento está vinculado a los planes de la empresa para escalar a nivel internacional.

James Tramel se ha unido como Asesor Estratégico y Líder Comercial en Estados Unidos. Capture The Bug señaló que es un ex líder de productos de Microsoft en GitHub, Azure y Copilot. Su función incluye la adopción empresarial, las asociaciones y el crecimiento comercial en Norteamérica.

Dhakar afirmó que estas incorporaciones reflejan el enfoque de la empresa al ingresar a un mercado más amplio.

«Estos asesores han construido plataformas a escala global y comprenden lo que los clientes empresariales esperan en términos de seguridad, confiabilidad y gobernanza», dijo Dhakar. «Su participación nos ayuda a crecer de manera responsable en el mercado estadounidense, manteniendo al mismo tiempo el enfoque en los resultados que importan a los equipos de ingeniería y seguridad.»

Consejo existente

Estos nuevos nombramientos se suman a los miembros existentes del consejo asesor. Capture The Bug indicó que su consejo asesor ya incluye al Dr. Vimal Kumar, Profesor Titular y Jefe del Laboratorio de Ciberseguridad de la Universidad de Waikato, y a Sarah (Forbes) Webb, ex líder de Amazon y actual COO de la empresa de tecnología legal LawVu.

Capture The Bug ha trabajado con empresas SaaS de rápido crecimiento y organizaciones que cotizan en bolsa en Nueva Zelanda y Australia desde el lanzamiento de la plataforma. Entre sus clientes se encuentran LawVu, Paysauce, EROAD, Parkable, Yabble, Whip Around, Cotiss y Blackpearl Group.

La compañía afirmó que su plataforma ha respaldado más de 200 compromisos de seguridad en Nueva Zelanda y en el extranjero.

Resultados para los clientes

Capture The Bug citó comentarios de los clientes sobre los plazos de remediación. Según la empresa, los clientes que utilizan la plataforma informan que las vulnerabilidades se resuelven alrededor de un 40% más rápido en comparación con los enfoques tradicionales de pruebas de penetración.

La compañía atribuyó este cambio a la colaboración en tiempo real entre ingenieros y expertos en seguridad, en lugar de los informes de auditoría retrasados. También señaló que el modelo reduce los hallazgos repetidos durante las auditorías y reduce los costos de seguridad a largo plazo.

Capture The Bug indicó que ya cuenta con clientes en Australia, Estados Unidos e India, y continúa desarrollando su plataforma en Nueva Zelanda.

Dhakar afirmó que la compañía planea desafiar las suposiciones sobre dónde se construyen las plataformas globales de ciberseguridad.

«Existe la percepción de que las plataformas globales de ciberseguridad deben construirse en Silicon Valley con grandes equipos y amplios recursos de capital», dijo Dhakar. «Estamos demostrando que se puede construir una empresa de seguridad de clase mundial desde Nueva Zelanda con un equipo pequeño y enfocado, manteniéndose cerca de los problemas de los clientes y resolviéndolos lo suficientemente bien como para competir a nivel mundial.»

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Tecnología

Financiación construcción: Riverchain soluciona la brecha de capital

by Editor de Tecnologia
written by Editor de Tecnologia

Las cadenas de suministro de la construcción siguen estructuralmente desalineadas con la financiación bancaria tradicional. Los ciclos de pago son largos, la documentación está fragmentada y la tensión de liquidez afecta a toda la cadena. Los retrasos en los pagos de 60 a 90 días son comunes, y algunos se extienden considerablemente más dependiendo de la estructura del proyecto y los términos contractuales.

Este desequilibrio crea una brecha de financiación que los bancos tradicionales tienen dificultades para abordar de manera eficiente. Los cobros de proyectos de construcción a menudo son difíciles de evaluar rápidamente, mientras que los prestamistas informales intervienen con tipos de interés que pueden superar el 20%, exacerbando la tensión financiera en lugar de resolverla. El resultado es un mayor riesgo de ejecución en los proyectos de construcción.

Riverchain se creó para abordar directamente esta brecha. Fundada en 2022, la empresa se centra específicamente en soluciones de capital de trabajo para la industria de la construcción, en lugar de posicionarse como una plataforma genérica de blockchain o financiación comercial.

Eddie Lin, director de tecnología de producto de Riverchain, describió el problema como arraigado en la confianza, el tiempo y la verificación. La financiación a menudo no está disponible no porque los proyectos carezcan de valor, sino porque la información es difícil de validar de manera consistente entre las contrapartes fragmentadas y los flujos de trabajo en papel a lo largo de los ciclos del proyecto.

La respuesta de Riverchain ha sido diseñar estructuras de financiación y tecnología en torno a cómo operan los proyectos de construcción, introduciendo soluciones y herramientas a medida que la industria se digitaliza progresivamente.

Estructura de financiación, precios y lógica económica

La actividad de financiación de Riverchain se centra en instrumentos a corto plazo y autoliquidables, principalmente el factoring de cuentas por cobrar y préstamos a corto plazo. Los plazos típicos oscilan entre 30 y 60 días y están alineados con los hitos y los ciclos de pago.

Lin explicó que los precios reflejan la dinámica operativa de los proyectos de construcción. Dependiendo de la calidad del proyecto, la credibilidad de la contraparte y el historial de pagos, las facilidades de crédito privadas de Riverchain tienen tipos de interés anualizados que oscilan entre un dígito y dos dígitos, ofreciendo una alternativa para las empresas de construcción que puedan tener limitaciones para acceder a la financiación bancaria tradicional.

Hasta la fecha, Riverchain ha apoyado a más de 115 proyectos de construcción y ha facilitado aproximadamente 100 millones de dólares en capital desplegado. Más allá del volumen de financiación, Lin señaló que también se crea valor económico cuando la financiación mejora la fiabilidad de la ejecución en lugar de simplemente reducir los costes de financiación.

Disciplina de riesgo y diseño de evaluación de riesgos

La gestión de riesgos en Riverchain está estructurada en torno a tres capas: evaluación a nivel de entidad, evaluación de riesgos a nivel de proyecto y seguimiento continuo. Lin explicó que una parte importante de la lógica de evaluación de riesgos de Riverchain es la integración de datos de construcción dentro de un marco más amplio diseñado para capturar las complejidades de las operaciones de los subcontratistas en proyectos a gran escala.

La evaluación del proyecto incorpora los términos del contrato, los historiales de pago, el rendimiento y la calidad del comprador, así como la aplicabilidad legal de las cuentas por cobrar. Cuando están disponibles, los datos financieros se complementan con la documentación del proyecto y fuentes de datos alternativas que pueden validarse de forma independiente.

El seguimiento continuo se centra en los eventos de pago y el progreso del proyecto en lugar de en las métricas de crédito estáticas. Esto permite a Riverchain ajustar la exposición de forma dinámica a medida que evolucionan las condiciones del proyecto, manteniendo una supervisión disciplinada del riesgo a lo largo del ciclo de vida del proyecto.

Este enfoque refleja una decisión deliberada de priorizar la disciplina de evaluación de riesgos y la preservación del capital por encima de la rápida expansión del balance.

La tecnología como habilitador de la confianza y la eficiencia

En Riverchain, la tecnología funciona como un habilitador de la transparencia, la confianza y la eficiencia operativa dentro del ecosistema de financiación de la construcción. Lin señaló que la industria de la construcción ha experimentado una transformación digital constante, apoyada por iniciativas gubernamentales, marcos políticos en evolución y la creciente adopción de soluciones tecnológicas de construcción en toda la cadena de valor.

Aunque Riverchain ha implementado aplicaciones de blockchain en varias iniciativas, la empresa ha centrado sus esfuerzos de desarrollo en tecnologías que ofrecen un valor inmediato y tangible a las partes interesadas del proyecto. Las prioridades actuales se centran en la validación de datos, la integración segura de flujos de trabajo y la mejora del flujo de financiación a través de los proyectos.

Lin enfatizó que el enfoque de Riverchain es agnóstico a la tecnología: la innovación se aplica selectivamente para mejorar la confianza en la evaluación de riesgos y la fiabilidad operativa, no para ser una característica destacada.

Incentivos del ecosistema y consideraciones de expansión

El modelo de Riverchain alinea los incentivos entre los subcontratistas, los contratistas principales y los financiadores. Los subcontratistas obtienen un acceso más rápido al capital de trabajo, mientras que los contratistas principales se benefician de una mayor fiabilidad de la ejecución y una reducción del riesgo downstream.

Geográficamente, las operaciones principales de Riverchain siguen estando en Hong Kong, donde la brecha de financiación de la construcción se estima en 53.800 millones de HKD (aproximadamente 6.900 millones de dólares). La expansión al sudeste asiático está en marcha, con Singapur establecido como base para la evaluación y Malasia y Tailandia en consideración.

La inteligencia artificial se utiliza con cautela para apoyar la extracción de datos, el reconocimiento de patrones y la eficiencia en la evaluación de riesgos, pero Lin enfatizó que los datos limpios y validados siguen siendo la base.

Ejecución disciplinada por encima de la ambición digital

El enfoque de Riverchain refleja un compromiso con la disciplina tecnológica, centrándose en la aplicación práctica en lugar de la innovación abstracta. La experiencia de la empresa demuestra que las herramientas digitales pueden mejorar la confianza en la evaluación de riesgos y la eficiencia operativa cuando se aplican de forma reflexiva, sin exagerar su potencial transformador.

En lugar de perseguir objetivos de digitalización amplios, Riverchain se concentra en la validación selectiva, la evaluación de riesgos disciplinada y la financiación a corto plazo para abordar las ineficiencias estructurales dentro de las cadenas de suministro de la construcción.

Al basar las elecciones tecnológicas en las realidades de la industria, Riverchain ha construido un modelo que prioriza la certeza de la ejecución y el control del riesgo por encima de las narrativas de escala, al tiempo que deja espacio para una expansión disciplinada a medida que evolucionan los paisajes normativos, operativos y de financiación.

0 comments
0 FacebookTwitterPinterestLinkedinEmail
Negocio

Acciones de Seguros a Evitar: MetLife, Kemper y Assured Guaranty

by Editora de Negocio
written by Editora de Negocio

Las compañías de seguros son el pilar fundamental de la gestión de riesgos, proporcionando protección esencial y seguridad financiera a individuos y empresas. Sin embargo, las preocupaciones sobre una posible desaceleración económica y un deterioro potencial de las reclamaciones han mantenido un sentimiento cauteloso en el mercado. En los últimos seis meses, el rendimiento del sector ha sido plano, mientras que el S&P 500 ha aumentado un 14,1%.

Dada la sensibilidad de muchas empresas del sector a eventos catastróficos y ciclos económicos, se recomienda un enfoque prudente al invertir en acciones de seguros. A continuación, presentamos tres acciones de seguros que, según nuestro análisis, es mejor evitar.

Capitalización de mercado: 51.830 millones de dólares.

Fundada en 1863 por un grupo de empresarios neoyorquinos durante la Guerra Civil, MetLife (NYSE:MET) es una empresa global de servicios financieros que ofrece seguros, anualidades, beneficios para empleados y servicios de gestión de activos a particulares y empresas en todo el mundo.

¿Por qué no recomendamos MET?

  1. Las primas netas ganadas solo han crecido un 2,1% anual en los últimos cinco años, quedando por detrás de otras compañías de seguros debido a la limitación de su escala para expandir su negocio.

  2. El crecimiento de las ganancias en los últimos dos años no ha alcanzado el promedio del grupo de pares, con un aumento anual del beneficio por acción (EPS) de solo el 10%.

  3. El valor contable por acción ha disminuido un 11,6% anual en los últimos cinco años, lo que indica que las tendencias del sector asegurador están perjudicando su desempeño en este ciclo.

A $78.67 por acción, MetLife cotiza a 2x el valor en libros (P/B) proyectado. Descubre en nuestro informe de investigación gratuito por qué existen mejores oportunidades que MET.

Capitalización de mercado: 2.310 millones de dólares.

Originalmente conocida como Unitrin hasta su cambio de marca en 2011, Kemper (NYSE:KMPR) es una sociedad de tenencia de seguros que ofrece productos de seguros de automóviles, hogar, vida y otros seguros a particulares y empresas en todo Estados Unidos.

¿Por qué evitamos KMPR?

  1. Las ofertas de seguros se han enfrentado a vientos en contra en este ciclo, lo que se refleja en el estancamiento de las primas netas ganadas en los últimos cinco años.

  2. El rendimiento en los últimos cinco años muestra que cada venta ha sido menos rentable, ya que el beneficio por acción ha disminuido un 4,7% anual, peor que sus ingresos.

  3. Las disminuciones anuales del 7,3% en el valor contable por acción durante los últimos cinco años demuestran que su gestión de capital ha tenido dificultades durante este ciclo.

Kemper cotiza a $39.46 por acción, o 0.9x el valor en libros (P/B) proyectado. Consulta nuestro informe de investigación en profundidad gratuito para obtener más información sobre por qué KMPR no cumple con nuestros estándares.

Capitalización de mercado: 4.080 millones de dólares.

Desde su fundación en 2003, Assured Guaranty (NYSE:AGO) ha servido como red de seguridad financiera para más de 11 billones de dólares en pagos de servicio de la deuda, proporcionando productos de protección crediticia que garantizan los pagos programados de bonos municipales, proyectos de infraestructura y obligaciones de financiación estructurada.

0 comments
0 FacebookTwitterPinterestLinkedinEmail