Etiqueta: Seguridad

Seguridad en la red: La apariencia no lo es todo
En un mundo globalizado e hiperconectado como es el actual, en el que tanto cualquier ordenador como un móvil, televisión, reloj e incluso el frigorífico o los altavoces están conectados a Internet, cualquier profesional de cierta edad y con un mínimo de conocimiento cultural sobre lo que significa «estar conectado» a una red, puede darse cuenta de que la seguridad no es algo que haya que tomarse a la ligera.
Para aquellos que gustan de ver series de televisión y han visto el capítulo de «Shut up and Dance» de Black Mirror, o la primera temporada de Mr. Robot, seguramente habrán visto que se pone el punto de mira sobre la posibilidad de que nos espíen a través de una webcam. Muchos son los que toman medidas sobre esto, motivo por el cual se suelen tapar la cámara y el micrófono para evitar ser espiado pero para otros, esto no es más que un acto paranoide basado en leyendas urbanas o casos aislados.
La seguridad en un entorno profesional debe ser conscientes que, cualquier empresa es un objetivo interesante para alguien que quiere aprovechar un fallo de seguridad. Desde un taxista hasta una gran empresa, tiene información que no desean hacer público y más concretamente, que sean del conocimiento de la competencia, motivo por el cual, existen conceptos como «contraseñas», «firewall», etc. y de esta manera, se evita que otras personas tengan la posibilidad de acceder a esa información vital.
(más…)
2017-03-17
La seguridad informática como responsabilidad común de todos
A menudo se confunden los términos de privacidad con los de seguridad. Quizá porque debido a algunos problemas de seguridad, se pierde privacidad al exponer los datos de los usuarios, datos personales, propios y confidenciales que los usuarios han confiado a una empresa u organización para que los vigile, cuide y proteja y que no caigan en malas manos que puedan hacer un uso descontrolado de ellos para, a saber qué objetivos.
Si me doy de alta en un servicio, relleno un usuario, mi e-mail y una contraseña para poder crearme un usuario en el sistema, mi fecha de nacimiento para garantizar que soy mayor de 18 años, dirección, teléfono, datos de mi tarjeta bancaria para pagar aquellos servicios que voy a utilizar, etc… y luego esta empresa, por un fallo de seguridad «supuestamente ajeno» a ellos, exponen mis datos a otras personas que a su vez venden a otras empresas, no solo es delito (al menos en Europa) si no que debería indemnizar de alguna forma a aquellos usuarios por negligencia sobre sus datos y posibles datos y perjuicios al «ceder» accidentalmente estos datos a terceros sin ningún tipo de control.
(más…)
2016-09-26
Elastix Business Edition
La gente de Palosanto acaba de anunciar la incorporación inmediata de un nuevo producto que seguro que dará mucho que hablar en los próximos meses, se trata de una versión comercial de Elastix conocida como Elastix Bussiness Edition.
El EBE (Elastix Bussiness Edition) se comercializará como un Addon para la versión de Elastix 4.0 (basada en CentOS 7) y tiene una serie de características que marcarán la diferencia con la versión Opensource, vamos a analizarlas:
(más…)
2016-07-28
Nuevas aplicaciones de comunicaciones cifradas
Desde el año pasado hasta hoy, me he fijado en la creciente aparición de aplicaciones con ciertas características comunes: compatibilidad Escritorio, Tablet, Móvil, Web, cifrado punto a punto, descentralización de los servidores y totalmente gratuito.
Estas aplicaciones permiten comunicar a personas de muchas formas: llamadas de voz, llamadas de vídeo, mensajes offline, mensajería instantánea, envío de iconos, localización, etc… al más puro estilo Whatsapp añadiendo además un sistema «alternativo».
Cualquiera que vea estas características, uno puede pensar que ya existen aplicaciones de este tipo: Whatsapp, Skype, Telegram, etc. y que para qué utilizar otros sistemas, pero justamente resulta llamativo que, existiendo estas opciones que utiliza todo el mundo, aparezcan nuevas con mucha fuerza y aunque no sean masivamente utilizadas.
Voy a hablar concretamente de unas interesantes herramientas que he conocido estos últimos días, pero seguro que hay muchas más:
(más…)
2016-07-22
Windows 10: La tentación es muy fuerte…
Microsoft lanza una nueva versión, como en las últimas 4 que ha sacado, parece que no va a haber más, que esta va a ser la última, la definitiva, una gratuita-y-única versión instalable en todo tipo de sistemas, desde móviles, pasando por tablets, gafas de realidad virtual hasta servidores en la nube, una única versión en todos los sistemas. Ya con tranquilidad, paciencia y algo de espíritu crítico, nos damos cuenta que los medios de comunicación hacen de las suyas y no son suficiente los alardes de los «evangelizadores» de Microsoft, si no que la propia prensa ya pone su granito de arena. Vemos que eso de una única versión tampoco es cierto, de hecho tendremos hasta 7 versiones diferentes de Windows 10. Que lo de «gratuita», tampoco… los precios rondarán los 120€ la versión básica pero que si actualizamos, el primer año será gratuito, pero luego sí que habrá que pagar.
No obstante, el artículo no está orientado a hacer una crítica de Windows 10 y que no es cierto todo lo que los rumores apuntaban, si no en dedicarle unos minutos a hacer una reflexión interesante, sobre la privacidad, seguridad y la tentación que tiene el hecho de ser el dueño de un sistema operativo que en apenas 2 años estará instalado en miles de millones de sistemas (entre móviles, tablets, portátiles, PC, etc…) y no incluir un código de 4Kb que permita acceder remotamente y de manera silenciosa a cualquier de estos sistemas, acceder a su cámara sin encender el led correspondiente, calcular posición y enviarla a un servidor nodo para monitorizar posición, velocidad, etc.
(más…)
2015-06-09
Cómo bloquear la aplicación Skype a otro usuario con 8 caracteres *Actualizado*
Se acaba de publicar un «epic fail» de Skype que provoca que, si chateas con un usuario de Skype y escribes ocho caracteres especiales, la aplicación Skype de quien recibe esos 8 caracteres se bloquea y ya no puede volver a arrancar mientras esos caracteres estén en el historial algo que estará siempre ya que Skype guarda en los servidores remotos el historial de todas las conversaciones.
Este bug parece que afecta a versiones de Windows, Android e IOS, y sólo se salvan las versiones de Linux y de Mac. Seguramente sea corregido en unos días, pero mientras dure este bug, la molestia es considerable para quien recibe dicho mensaje. (más…)
2015-06-03
Seguridad: Cómo cifrar y descifrar archivos en Linux
Uno de los campos donde quizá siempre me he considerado un aficionado (por mucho que lea y estudie sobre ello) es en de los algoritmos de cifrado, quizá por que hay tantos y las explicaciones tan enrevesadas, que uno pierde el hilo fácilmente, pero recuerdo de alguna que otra asignatura donde se veían algunos de estos algoritmos, que, además de cifrar cadenas, existen herramientas orientadas a cifrar archivos y cuya seguridad es tan absoluta, que un ordenador podría tardar «teóricamente» miles de millones de años en descifrarla por fuerza bruta.
Otro de los motivos por lo que me llama la atención este tipo de algoritmos es porque nos permite proteger un archivo de forma que, en el caso improbable de que caiga en malas manos (nos roben el móvil, obtengan nuestras contraseñas, etc.) pueden permanecer a buen recaudo con la tranquilidad de que nadie más que nosotros puede descifrarlo.
Para ello, este artículo «chuleta» me sirve como recordatorio de cómo cifrar un archivo de una forma bastante segura pese a que en algún sitio ya se avisa que el algoritmo AES-256 no es tan seguro como se pensaba, pero sigue siendo de los más seguros, razón por la cual fue el utilizado por Julian Assange para cifrar el famoso archivo Insurance.AES256 que según decían, contenía más de 250.000 documentos confidenciales y secretos de Estados Unidos y cuya contraseña publicaría si a él le ocurría algo haciéndose público para todo el mundo.
En nuestro caso, seguro que no tenemos una información tan valiosa, pero igualmente, tras el aumento de lugares de terceros donde subir archivos (Dropbox, Amazon, Google, Microsoft, Apple, Mega, etc…) siempre es recomendable que, si no queremos lamentar el día que veamos un titular del tipo: «Hackers han accedido a XXXXXXX y han obtenido todas las contraseñas de los usuarios» y obtengan acceso a todos nuestros datos, es mejor tenerlos cifrados y a buen recaudo.
Por supuesto, lo ideal es no disponer de datos privados en un almacenamiento generalista, pero si aún así lo hacemos, tenerlos cifrados no nos costará tanto con este tutorial.
(más…)
2015-06-01
Cómo generar una contraseña segura
Uno de los grandes problemas que nos encontramos al conectar un sistema a la red (Internet) es sin duda, los distintos ataques a los que tenemos que hacer frente. Por desgracia, no hay una persona como tal jugando con direcciones IP buscando a alguien a quien atacar, eso hoy día ha sido delegado a un ejército de sistemas «zombies» repartidos por todo el globo de forma que los ataques sean distribuidos, automatizados, rápidos y efectivos.
El momento de generar una contraseña se suele tomar a la ligera y es algo bastante importante plantear:
Primero, necesitamos una contraseña que sea fácil de recordar para poder escribirla siempre que nos la pidan.
Por otro lado, la contraseña debe ser difícil de obtener mediante fuerza bruta, (aunque el uso de GPU para desencriptar contraseñas, unido a algoritmos distribuidos en cientos de máquinas, puede reducir el tiempo para descifrar la contraseña en apenas unos minutos), de manera que cada vez hay más sitios que utilizan sistemas de autentificación en dos pasos o bien te exigen poner una contraseña con letras, números, simbolos, mayúsculas, y una longitud mínima de 15 caracteres.
Existen sistemas mnemotécnicos para ayudarnos a recordar contraseñas fuertes, pero lo que mucha gente empieza a hacer es disponer de un archivo donde guardar todas las contraseñas fuertes que utilizan y hacer uso del «copy+paste» para evitar recordarlas. Hay otras personas que utilizan contraseñas aleatorias y hacen uso del «he olvidado la contraseña» para evitar recordar semejante cadena. Sea como fuere, el uso de contraseñas fuertes es algo obligatorio incluso para algo rápido y sencillo.
En VoIP, vamos a ver que la cosa es mucho más sencilla…
(más…)
2015-05-29
Presentación del SIP Firewall de Elastix
Si no pudiste ver la presentación del SIP Firewall de Palosanto, Avanzada7 acaba de publicarla íntegramente para todos aquellos interesados:

2015-02-24
Cómo solucionar el error: ssl_error_no_cypher_overlap
Debido al descubrimiento de que el algoritmo SSLv3 no es seguro, hubo una carrera a contrarreloj para eliminar este algoritmo de todo sistema y pasar a utilizar el algoritmo TLS que sí es seguro. Tanto es así, que los navegadores han dado un paso más allá, prohibiendo conectarnos a sistemas que funcionen con SSL y forzándonos a utilizar TLS. No obstante, existen sistemas que, o bien por traer un firmware antiguo, bien por que no tienen una actualización correcta o bien por que son demasiado antiguos, únicamente soportan SSL, de manera que es imposible conectarnos con un navegador actualizado y obtendremos un mensaje de error «ssl_error_no_cypher_overlap» como el de la siguiente imagen:
Por suerte, existe una manera de permitirnos acceder aunque sea a este dispositivo aunque sea para actualizar el firmware y que empiecen a utilizar el algoritmo TLS, así que vamos a utilizar el navegador Firefox y modificaremos temporalmente una variable que nos permitirá acceder al dispositivo.
(más…)
2015-02-13