Etiqueta: https

Claves para conservar la seguridad durante las fiestas

Las vacaciones es el tiempo favorito de los empleados y hackers, por ello le compartimos algunos consejos de seguridad que lo ayudarán a protegerse.

Para evitar que su empresa se convierta en la víctima en estas fechas decembrinas, hemos reunido consejos de unos cuantos profesionales de seguridad para que los administradores de TI protejan los datos corporativos y recomendaciones para acortar los ciclos de prueba de los sistemas de seguridad.

Usar las vacaciones para realizar revisiones de programas y auditorías. En todas las organizaciones es muy probable que uno o dos empleados desempeñen funciones críticas de seguridad. Es necesaria una verificación periódica de los procedimientos para evitar incidentes o interrupciones de seguridad inesperados pero evitables.

En primer lugar, se deben revisar los procedimientos y procesos, ¿existen procesos documentados que coincidan con las responsabilidades cotidianas de todos los miembros del equipo? ¿están basados en las mejores prácticas? Por último, ¿están fácilmente disponibles y/o fáciles de encontrar?

Utilice este tiempo para analizar críticamente la madurez del equipo, desarrollar una hoja de ruta estratégica para el Año Nuevo y cerrar brechas críticas que normalmente pasan desapercibidas.

Utilice las vacaciones para probar su respuesta a incidentes y planes de recuperación de desastres

La clave de un programa de seguridad es tener una base sólida. Tener planes bien documentados de respuesta a incidentes es una necesidad crítica. Tener un juego de carpetas en una estantería no es suficiente. No sólo deben probarse los planes de respuesta a incidentes y los equipos que realizan esas tareas con frecuencia, sino que deben someterse a pruebas de estrés. Qué mejor momento para realizar las pruebas que durante un periodo de vacaciones.

Realizar una prueba de recuperación de desastres durante las vacaciones revelará las lagunas en los planes, la dotación de personal e identificará las áreas críticas para mejorar. Por no mencionar, en tiempos reales de interrupción o desastre, es poco probable que cada miembro de cada equipo esté disponible. Podrá detectar cómo los puntos fuertes y débiles de sus planes.

Realizar un “barrido”

En ocasiones se han encontrado dispositivos WiFi maliciosos en salas de conferencias pegadas debajo de los escritorios o disimuladas en la pared. Los criminales utilizarán estos dispositivos para analizar el tráfico de la red, crear falsas redes Wifi y acoplarse con cámaras para crear los dispositivos de espionaje perfectos. Mientras todo el mundo está fuera de la oficina, es un buen momento para hacer un barrido de conexiones de red inalámbrica desconocidas y buscar dispositivos sospechosos conectados.

No mezclar trabajo con ocio

Las fiestas son un buen momento para crear conciencia. Recuerde a los empleados que los dispositivos de la empresa deben utilizarse únicamente para trabajar.

Crear y colocar “trampas”

Cuando todo el mundo está de vacaciones es más fácil pillar a los delincuentes. Para los profesionales de la seguridad que sospechan que puede haber comportamientos maliciosos en el entorno físico, crear una trampa puede ser una manera de atrapar a los criminales en el acto. Se trataría de poner lo que parece datos importantes en un sistema, simplemente monitorear esa máquina y esperar a ver si se accede. Coloque un PC desbloqueado en un área abierta con videovigilancia, instale el software de monitorización en ella, vea si se tocan algunos archivos o si los usuarios hacen lo correcto e informan de ello.

E-Business Compromiso de correo electrónico (BEC)

Las empresas deben estar en alerta máxima ante las amenazas de Business Email Compromise (BEC) y Business Email Spoofing (BES) -el FBI asegura que esto tiene un altísimo costo para las organizaciones. Como se muestra en la última investigación de la Unidad 42 de Redes de Palo Alto, “SilverTerrier: La Próxima Evolución en el Delito Cibernético Nigeriano”, los protagonistas de la amenaza nigeriana están cada vez más organizados y han asumido BEC y BES con sofisticación sin precedentes en todo el mundo. La mayoría de los ataques con éxito usan vulnerabilidades conocidas y reemplazadas, por lo que asegúrese de que los sistemas y los dispositivos estén actualizados, muy por delante de los “bloqueos” de los sistemas empresariales de los trimestres o finales de año.

Recuerde, usted es un objetivo durante la temporada de vacaciones

Usted es un objetivo durante todo el año, pero inevitablemente durante esta época del año, se producen más robos de portátiles y dispositivos. Mantenga los objetos de valor fuera de la vista, o mejor aún, fuera de su vehículo. Asegúrese de que los datos estén encriptados o trabaje con su personal de tecnología para verificar si no está seguro. Asegúrese de que las copias de seguridad de los datos corporativos tomados en discos duros externos se almacenan fuera para su custodia.

Preste especial atención a reparar sistemas operativos dentro de dispositivos especializados conectados a su red

¿Recuerda el episodio del Mr. Robot, donde Elliot planea destruir la instalación de Steel Mountain al entrar en su sistema de control climático? Un sistema de seguridad de software es tan seguro como su componente más débil, y muchas veces, dispositivos especializados como termostatos, consolas de planificador de salas de conferencias, incluso sistemas de videoconferencia pueden pasar por alto cuando se trata de parches. La clave aquí es no sólo actualizar los principales sistemas operativos como Windows, OSX y Linux cuando los parches están disponibles, pero asegúrese de que los sistemas operativos más pequeños dentro de los dispositivos especializados no se pasan por alto.

Los hackers pueden ir de compras online en vacaciones

De acuerdo con la National Retail Foundation, 2016 ventas de vacaciones en línea se prevé que aumenten entre 7 y 10% (más del doble de la previsión de aumento del 3.6% para las compras de vacaciones en general).

Recomendamos que los empleados vayan directamente al sitio web de un proveedor en lugar de hacer clic en el botón ‘Comprar ahora’ en un mensaje de correo electrónico promocional. Por ejemplo, un delincuente puede crear fácilmente un mensaje de correo promocional falso de Best Buy o Amazon para atraer clics directos para comprar artículos con un descuento especial. Podría ser víctima de un ataque cibernético de phishing infectando por un equipo de cómputo con ransomware o exploits.

Proteja los datos

El ataque ransomware es muy rápido. Incluso si los sistemas de seguridad avisan rápido, las vacaciones ofrecerán a los delincuentes una ocasión excelente. El ataque a Sony Pictures se destapó el 24 de noviembre, el lunes antes del Día de Acción de Gracias en Estados Unidos. Con la gente de vacaciones, no había nadie para tomar medidas ante las señales de alerta.

Un sólido mecanismo de copia de seguridad y recuperación es un excelente seguro contra ransomware. Es conveniente tener diversos tipos de copias de seguridad.

Implementar siempre SSL

Pre-cargar HSTS y establecer el sitio web de su organización HTTPS es fácil, y puede ayudar a prevenir ataques de Firesheep o Poodle. Para los sitios de comercio electrónico, estas medidas mantendrán a los clientes más seguros durante las compras navideñas. Se debe actualizar al mejor protocolo de seguridad posible (TLS 1.2) ya que es la versión más segura disponible.

No descuide las herramientas de DevOps

No sólo el sistema operativo y las aplicaciones necesitan parches en una organización. Comience el Año Nuevo con cada herramienta de desarrollo y eliminación de errores actualizada a la última versión también.

Ryan Francis

 

Hacker demuestra que es fácil atacar la red WiFi de una ciudad

Amihai Neiderman, es el jefe de investigación de la firma israelí de seguridad cibernética Equus Technologies, quiso encontrar una manera de comprometer esta red, lo realizó como un proyecto paralelo en su tiempo libre.

En un ejemplo perfecto de cómo las redes inalámbricas públicas pueden ser peligrosas para la privacidad y la seguridad, un hacker israelí demostró que podría haber tomado el control de la red Wi-Fi gratuita de una ciudad entera.

El ejecutivo de la firma, vio en su camino de regreso del trabajo un punto de acceso inalámbrico que no había visto antes. Resultó que el hotspot que vio, anunciado como “FREE_TLV”, formaba parte de la red Wi-Fi de toda la ciudad creada por la administración local de Tel Aviv, Israel. Esto hizo que Neiderman se preguntara: ¿Qué tan seguro es?.

Durante las próximas semanas, encontrar una manera de comprometer esta red y se enfocó en realizar el ataque de investigación en su tiempo libre. Primero conectó con la red a través de uno de los puntos de acceso repartidos por la ciudad y comprobó cuál era su nueva dirección IP. Esta es normalmente la dirección pública asignada al enrutador a través de la cual todos los clientes Wi-Fi acceden a Internet.

A continuación, desconectó y exploró esa dirección IP para los puertos abiertos. Encontró que el dispositivo estaba sirviendo una interfaz de conexión basada en web sobre el puerto 443 (HTTPS). Esta interfaz muestra el nombre del fabricante – Peplink – pero no otra información sobre el tipo o modelo del dispositivo. Se dio cuenta de que era necesario un análisis más profundo del firmware real del dispositivo. Identificar el dispositivo y encontrar el firmware exacto para descargar desde el sitio web del fabricante no fue fácil, porque Peplink crea y vende muchos tipos de dispositivos de red para diversas industrias.

Una vez que todo fue desempaquetado y cargado en un emulador, Neiderman pudo acceder a los scripts CGI (Common Gateway Interface) que formaban la interfaz web del enrutador. No tardó mucho tiempo hasta que el investigador encontró una vulnerabilidad de desbordamiento de búfer en el script CGI que manejaba el proceso de cierre de sesión. El defecto se podría explotar enviando una cookie de sesión muy larga al script y eso provocaría una explotación exitosa que resultaría de la ejecución de código arbitrario y el control total sobre el dispositivo.

Neiderman presentó sus descubrimientos y esfuerzos de ingeniería inversa el jueves en la conferencia de seguridad de DefCamp en Bucarest, Rumania. El investigador negó decir si realmente probó su hazaña en los enrutadores Peplink ya que eso podría darle un lío en problemas legales.

Finalmente, el hacker dijo que se impresionó bastante con la manera en la que la empresa había respondido ante su informe y cómo se encargaron de la vulnerabilidad.

Redacción

Las redes WiFi públicas son un gran peligro

En la actualidad los sistemas de comunicación han ganado un enorme protagonismo con la difusión de nuevos estándares como el 802.11 ac,  que son capaces de llegar a ofrecer al usuario velocidades superiores a las de las conexiones por cable.

Como en toda tecnología que crece a pasos agigantados, existe un riesgo alto en la seguridad con la que los usuarios acceden a sus datos. Numerosos sistemas detectan la presencia de la tarjeta radio de nuestro móvil (sin haberse asociado a un AP) para extraer información sobre nuestra localización, por lo que no es necesario conectarse a un Wi-Fi para dar cierta información.

En este caso, la información siempre tiene un carácter “anónimo”, ya que lo único que se puede tener visibilidad es de equipos con unas determinadas características (dirección MAC, etc.) que han entrado en el rango de acción del sistema Wi-Fi. Así, por ejemplo, la información que las empresas del segmento de retail consiguen es del tipo “¿Cuántos usuarios nuevos han visitado una tienda?” o “¿En frente de qué muestra se han parado?”, “¿Cuánto tiempo?”, etc.

Por ello suele ocurrir el principal problema, el cuál no se encuentra en las medidas de seguridad de la tecnología Wi-Fi sino en la propia conciencia del usuario, pues ¿qué ocurre cuando nos conectamos a una red Wi-Fi?

El procedimiento técnico toma el nombre de “asociación” entre nuestro dispositivo (estación) y el AP. A partir de este proceso, todo tráfico que generemos pasa a través del punto de acceso que radia el SSID al que nos hemos conectado. Según el escenario en el que nos encontremos, la privacidad puede quedar altamente comprometida.

Muchos ciberdelincuentes juegan con ingeniería social y despliegan una red Wi-Fi abierta en determinados sitios públicos. Por ejemplo, en un aeropuerto o una estación de tren. Es perfectamente lícito que empresas doten de infraestructura Wi-Fi gratuita en este tipo de espacios donde la gente se encuentra ante largos periodos de espera, por lo que es posible levantar una red WiFi con el nombre que usted quiera. Se trata, sin duda, del escenario perfecto para que los usuarios menos conscientes de los peligros de estas prácticas se conecten a una red Wi-Fi con nombres tales que “Free_WiFi” o “Guest_Hotspot”, entre otros

A partir del momento en el que se realiza dicha asociación, todo el tráfico de navegación que el usuario origine en su dispositivo puede ser perfectamente analizado con las herramientas adecuadas. Estamos hablando no solo de conocer páginas web que visite el usuario sino de contraseñas del usuario que en un alto porcentaje son reutilizadas para distintos servicios.

A pesar de que el tráfico importante (bancos, cuentas privadas, etc.) debe ser HTTPS y viajar debidamente cifrado, un atacante puede usar determinadas herramientas para extraer las contraseñas. Por ejemplo, son cada vez más frecuentes portales que levantan los delincuentes idénticos a las páginas originales (Gmail/Facebook, etc.) y que solicitan “reintroducir” las credenciales de usuario. Estos sitios obviamente no proceden ni de Facebook ni Gmail sino que han sido diseñados con el objetivo de que los usuarios dejen en dicha páginas sus contraseñas y datos personales.

En este escenario, conviene recordar que hay que ser muy cauto al conectarse a redes Wi-Fi desconocidas. Y que, en el caso de que utilicemos este tipo de conexiones, el usuario debe ser consciente de que al realizar esa conexión está abriendo la posibilidad de que se examine su tráfico, por lo tanto debería reflexionar sobre a qué tipo de páginas accede. En otras palabras, quizá sea una buena idea dejar para cuando estemos conectados a nuestra Wi-Fi de casa consultar el saldo de nuestra cuenta.

Redacción

Aumento de ataques DDoS relacionados con aplicaciones web

El último informe elaborado por Akamai, ofrece resultados interesantes sobre el número y la frecuencia de ataques de tipo DDoS, y los relacionados con aplicaciones web, los cuales se incrementaron notablemente en el primer trimestre del año.

Las últimas tendencias recogidas en el informe de seguridad sobre “El estado de Internet” del primer trimestre de 2016 de Akamai, señalan que los sectores retail y de juegos fueron el objetivo de la mayor parte de los ataques DDoS y a aplicaciones web. El informe viene a ofrecer una visión del panorama global de amenazas de seguridad en la nube y análisis a fondo de la actividad maliciosa observada en la plataforma inteligente de Akamai.

La firma hace dos trimestres destacó la modalidad de diagramas Sankey para medir rendimientos. Dichos gráficos ayudan a visualizar la energía, material o transferencia de costos entre los diferentes procesos. El gráfico no deja lugar a dudas sobre como los ataques DDoS de reflexión han mostrado una tendencia alcista en los últimos cinco trimestres. Los vectores más utilizados parecen estar en correlación con el número de dispositivos de internet que utilizan estos protocolos específicos de servicio para fines legítimos.

Durante el período del primer trimestre de 2016, la compañía de seguridad mitigó más de 4 500 ataques DDoS, un 125% más en comparación con el mismo trimestre correspondiente al año anterior. La mayoría de estos ataques se centraron en la reflexión con herramientas basadas en booter/stresser, los cuales hacen rebotar el tráfico de los servidores que ejecutan servicios vulnerables como SSDP, DNS, CHARGEN Y NTP para incrementar su repercusión.

Para finales de 2015, los ataques DDoS se convirtieron en la norma con una media de 24 ataques por cliente objetivo. La tendencia se ha mantenido este trimestre, con una media de 39 ataques cada uno. Este primer trimestre ha registrado un récord de números de ataques DDoS que excedía los 100 gigabits por segundo (Gbps). De hecho, el de mayor envergadura alcanzó su máximo en 289 Gbps con un total de 19 mega-ataques registrados.

akamai-control-trafico

Nuevo potencial en aplicaciones web

Los ataques a aplicaciones web aumentaron en casi un 26% en comparación con el cuatro trimestre de 2015. El sector retail sigue siendo el objetivo más popular, recibiendo un 43% de los mismos. En líneas generales, descendieron un 2% los ataques a aplicaciones web a través de HTTP, mientras que aumentaron un 236% los dirigidos a aplicaciones web a través de HTTPS.

Vuelve a repetirse el escenario de trimestres anteriores en los que Estados Unidos fue el origen de la mayoría de tráfico de ataques a aplicaciones web con el 43%, y también el objetivo más frecuente de dichos ataques con un 60%.

No podemos pasar por alto el tráfico y la actividad relativa a los bots. Mientras que los denominados bots buenos representaron el 40% del tráfico, el 50% de los bots tenía objetivos malintencionados y estaba implicado en campañas de extracción de información y actividades relacionadas.

Alfonso Casas

Google, Yahoo y Microsoft publican nuevo estándar de seguridad de email

El objetivo del nuevo mecanismo SMTP (Strict Transport Security es) asegurar que el tráfico de correo electrónico cifrado no es vulnerable a los ataques man-in-the-middle.

Los ingenieros de algunos de los mayores proveedores de servicios de correo electrónico de todo el mundo se han unido para mejorar la seguridad del tráfico de correo electrónico que atraviesa  Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1 & 1 Mail & Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.

El nuevo mecanismo se define en un borrador, el cual fue publicado la semana pasada para su consideración como un estándar de Internet Engineering Task Force (IETF).

El Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, se remonta a 1982 y no se construyó con ninguna opción de cifrado.

En 2002, gracias a esta razón, ay una extensión llamada STARTTLS fue añadida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Por desgracia, durante la década siguiente, no fue adoptado ampliamente la extensión, y el tráfico de correo electrónico intercambiados entre los servidores permaneció en gran parte sin cifrar.

Eso cambió después de 2013, cuando el exempleado  de la Agencia de Seguridad Nacional de Estados Unidos. Edward Snowden filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de la Unión Americana, Reino Unido y otros países.

En mayo de 2014, Facebook, que envía miles de millones de mensajes de correo electrónico de notificación a los usuarios todos los días, hizo una prueba y se encontró que el 58% de los mensajes de correo electrónico pasa a través de una conexión cifrada con STARTTLS. En agosto de ese mismo año, la tasa aumentó a 95%.

Hay un problema, sin embargo: a diferencia de HTTPS (conocido como HTTP Seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tráfico es mejor que nada. Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posición de interceptar el tráfico podría presentar el remitente de correo electrónico con cualquier certificado, incluso un firmado por uno mismo, y será aceptado, lo que permite para el tráfico a ser descifrados. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.

La nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estas dos cuestiones. Se ofrece a los proveedores de correo electrónico de los medios para informar a los clientes de que TLS que está disponible y se debe utilizar. También les dice cómo el certificado presentado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede ser negociada con seguridad.

Estas políticas  SMTP STS se definen a través de los registros DNS especiales añadidos al nombre de dominio del servidor de correo electrónico. El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas e informen sobre cualquier fallo. Los servidores también pueden informar a los clientes para esconder sus políticas SMTP STS durante un período específico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar políticas fraudulentas cuando intentan conectarse.

El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que está destinado a prevenir los ataques de HTTPS escondiendo la política HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexión de un cliente particular hacia el servidor se realizó sin ser interceptado; de lo contrario, una política fraudulenta podría haber sido escondida.

Datos publicados por Google, señala que el 83% de los mensajes de correo electrónico enviados por los usuarios de Gmail a otros proveedores de correo electrónico de todo el mundo están cifrados, pero sólo el 69% de los correos electrónicos entrantes de otros proveedores se reciben por más de un canal cifrado.

También hay grandes discrepancias en el cifrado de correo electrónico entre las regiones del mundo, con proveedores de correo electrónico en Asia y África la situación es mucho peor que la de los proveedores en Europa y Estados Unidos.

Lucian Constantin

 

Es detectada vulnerabilidad que afecta a uno de cada tres servidores con SSLv2

El protocolo SSLv2 nunca debió ser utilizado para cifrar las comunicación, así lo dejan ver expertos en seguridad, los cuales han descubierto una vulnerabilidad que permite a los atacantes escuchar las comunicaciones realizadas con servidores de tipo HTTPS.

Investigadores de seguridad han descubierto una nueva debilidad que permite a los atacantes espiar sobre las comunicaciones encriptadas entre los usuarios y un servidor de tipo HTTPS. El problema aparece debido a que muchos servidores HTTPS todavía soportan el antiguo protocolo e inseguro SSL (Secure Sockets Layer) en su versión 2. De hecho, SSLv2 fue sustituido por SSLv3 en el año 1996, pero oficialmente no quedó obsoleto hasta el año 2011. A partir de entonces, SSLv3 fue reemplazado también por el más moderno TLS (Transport Layer Security) en sus versiones 1.0, 1.1 y 1.2.

El protocolo SSLv2 señala que nunca debió ser utilizado para cifrar las comunicaciones. Sin embargo, los expertos en seguridad no han detectado hasta ahora que este hecho suponga una amenaza seria en las configuraciones de servidores, debido a que los navegadores modernos y otros clientes TLS ya no lo usan. Esto no impide que los ciberdelincuentes puedan emplearlo para otros fines, señalan que uno de cada tres servidores puede verse afectados al seguir soportando dicho protocolo.

En base a un trabajo de investigación publicado recientemente, se ha demostrado que si un servidor HTTPS se apoya todavía en el protocolo SSLv2, está permitiendo que un atacante pueda explotar y descifrar las conexiones que se producen entre dicho servidor y sus clientes a pesar de que las conexiones estén empleando la versión más reciente y segura del protocolo TLS.

Estos ataques, apodados como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) tienen varios requisitos previos que deben cumplirse. En primer lugar, necesita que el servidor HTTPS comparta su clave privada con otro servidor que se basa en SSLv2, por ejemplo, un servidor de correo electrónico. Resulta bastante habitual que las organizaciones utilicen la misma clave privada o certificado para implementaciones TLS en ambos servidores, tanto en el Web como en el servidor de correo.

down-attack-diagram

Las conexiones observadas necesitan utilizar el algoritmo de intercambio de claves RSA durante la conversación entre ellos, pero esto no debe suponer problema alguno para los atacantes, dado que RSA sigue siendo el método de intercambio de claves más popular en las implementaciones TLS. Una vez que el atacante tiene las conexiones capturadas, debe conectarse al servidor a través del protocolo SSLv2 y enviar mensajes de reconocimiento diseñados específicamente.

-Alfonso Casas

 

Cinco herramientas para mantener tu privacidad online

Una de las grandes preocupaciones es la seguridad de los datos, así como la privacidad a la hora de manejar diferentes equipos y navegadores web, aquí te proponemos una serie de herramientas que te permitirán evitar los típicos exploradores de terceros.

A excepción de uno de los programas propuestos, también le compartimos para dispositivos móviles, los otros cuatro son de código abierto, por lo que pueden ser utilizados gratuitamente. En la mayoría de los casos, basta con descargarse el plug-in correspondiente para el navegador Web que utilice habitualmente. Algunos ofrecen funciones más avanzadas de personalización para poder fijar los ajustes en cada caso.

Privace Badger

Privacy Badger es una extensión utilizada para navegadores Firefox y Chrome, la cual permite bloquear la mayoría de los anuncios que tienen un carácter invisible, aquellos que realizan un seguimiento de las páginas que visitamos, todo ello sin nuestro consentimiento. Privacy Badger agrega una capa adicional de protección, incluso aunque ya tengamos algún software dedicado para esta finalidad, lo cual viene bien debido a que algunos bloqueadores no vienen configurados de manera predeterminada.

La herramienta se configura de manera rápida, con tres sencillos ajustes mostrados en colores verde, amarillo y rojo. El rojo bloquea el anuncio, mientras que el amarillo hace que las cookies no sean utilizadas por el rastreador. El verde significa que dejamos vía libre. Siempre es posible anular la configuración por bloques individuales, o hacer una pausa de privacidad cuando lo consideremos oportuno.

HTTPS Everywhere

Creada por Electronic Frontier Foundation (EFF) se trata de otra extensión para los usuarios de los navegadores Firefox, Opera, así como Firefox para dispositivos móviles Android, la cual hace que la navegación en páginas web sea más segura gracias al cifrado de la información enviada y recibida entre dicho navegador y las URL que soportan el protocolo HTTPS.

Para entenderlo, lo que hace la herramienta es reescribir todas las peticiones hechas bajo HTTP y las traslada a peticiones HTTPS. Ahora bien, el plug-in solo trabaja cuando utilizas contenidos bajo dominios con HTTPS.

Ublock Origin

Ublock Origin es un bloqueador de anuncios de código abierto y lo puede encontrar como extensión para Firefox y Chrome. Se ha hecho muy popular entre los usuarios por su escaso uso de la CPU con lo que apenas consume recursos del sistema cuando se encuentra activa. Además de sus capacidades de bloqueo, Ublock Origin también permite a los usuarios leer y crear filtros adicionales a partir de otros archivos, con una amplia lista de funciones entre las que elegir. De cara a su uso entre usuarios avanzados, también permite sacar el máximo partido por su gran personalización ofrecida.

Purify ad Blocker

Considerado como el mejor bloqueador de anuncios para iOS, quizá porque fue de los primeros en llegar para los usuarios de Apple, así como para el navegador Safari. No es gratuito, pero es posible encontrarlo en la tienda App Store por tan solo 99 centavos de dólar, con un uso limitado en el tiempo. Es utilizado para navegar por las páginas web con la tranquilidad ya que no nos aparecerán ventanas emergentes ni sufriremos un rastreo de nuestra navegación, lo que reduce el uso de datos móviles y mejora la velocidad. También podemos establecer una lista blanca de sitos web favoritos. También es posible bloquear scripts, fuentes personalizadas, así como imágenes.

TOR

De las siglas The Onion Router (TOR) se trata de un software gratuito que usa una red abierta con la finalidad de permitir que podamos mejorar la privacidad y seguridad en la red. Es otra herramienta interesante, ya que si le preocupa el rastreo de sus datos por parte de terceros. Todos aquellos datos que envíe, son transportados a través de diversos puntos, con lo que logra ocultar la verdadera fuente desde la que se originó la comunicación.

-Alfonso Casas

Bing encriptará el tráfico de todas sus búsquedas

bing_redise_aDesde hace más de año y medio Bing ha ofrecido el protocolo HTTPS como una opción, sin embargo, el famoso buscador de Microsoft lo hará por default a todas las consultas realizadas. Con esta acción Bing proporciona una capa extra de protección a los usuarios, ayudándoles a que sus movimientos online se encuentren lejos del ojo hacker.

Gracias a esta nueva implementación Microsoft se encuentra a la par del mercado de búsquedas. En 2011, Google empezó a cifrar las búsquedas por defecto, para los usuarios que usaran su cuenta de Google. En 2013, modificó esta conducta al utilizar protocolo HTTPS en todas sus búsquedas. Yahoo hizo lo propio en 2014 al cifrar el tráfico de búsquedas desde su página de inicio.

Este cambio también influye en el modo en que los webmasters obtienen información sobre las búsquedas que llevan a sus sitios web. La compañía seguirá ofreciendo una referencia para que los operadores de sitios web y de marketing puedan ver el tráfico cifrado que proviene del buscador de Microsoft, pero no proporcionará el término exacto de búsqueda que llevó a la gente a una página.

Bing Webmaster Tools seguirá proporcionando las palabras clave agregadas y datos de clasificación para que los operadores de sitios web pueden realizar un seguimiento de lo que atrae a los usuarios a sus sitios web. Los anunciantes podrán ver qué búsquedas activas desencadenaron sus anuncios en Bing con el Search Query Terms Report, que también proporciona información métrica como número de clicks, impresiones o conversaciones.

 

Blair Hanley Frank, IDG News Service

¿El gobierno de Estados Unidos usará para todos sus sitios https?

https(1)

El gobierno de la unión americana ordena el uso del protocolo HTTPS en todos sus sitios y servicios en línea públicos para finales de 2016.

El progreso del protocolo https dará legitimidad a la comunicación de los sitios gubernamentales de Estados Unidos, además encriptará el envío y recepción de datos, con esto se ayudará a la protección ante intrusos y páginas apócrifas. Este protocolo, su uso está indicado mediante el icono de un candado verde en la barra de direcciones del navegador web, durante varios años se ha utilizado este indicativo en páginas bancarias, aunque ha aumentado su uso en gran medida durante los últimos años.

La aplicación de esta medida de seguridad desemboca por las revelaciones que ha hecho Edward Snowden sobre el espionaje que realiza el Gobierno Estadounidense por lo que resulta algo lógico que se estén implementando estas medidas de seguridad. Es por esto que el estado norteamericano está procurando hacer más difícil que terceras personas infrinjan en sus medios de comunicación, de esta forma la interacción con los sitios del gobierno será mucho más segura para la población.

Tony Scott, CIO de Estados Unidos, a rectificado una orden para desarrollar el Https y el uso del HTTP Strict Transport Security (HSTS), que es un sistema en el cual le da instrucciones al navegador web para conectarse siempre a un sitio web a través del protocolo HTTPS , esto bloquea la redirección a un sitio inseguro de un usuario.

-Martyn Williams, IDG News Service

La seguridad en internet dentro del HTTPS

Cualquiera que ha utilizado Internet ha visto la barra dirección de su navegador y notado una serie de letras que son ‘HTTP’ o ‘HTTPS’. A primer vistazo puede parecer que la única diferencia es la letra S.

El Protocolo de Transferencia de Hipertexto (HTTP por sus siglas en inglés) es un protocolo de comunicación que forma la base de Internet. Cuando se ingresa la URL que se desea visitar en la barra de direcciones del navegador, se envía un comando HTTP al servidor Web relevante dando instrucciones de mandar una página Web particular.

La primera versión documentada fue publicada en 1991. A medida que continuó el trabajo en el protocolo hubo mayor conciencia acerca de la importancia de la seguridad en las comunicaciones en Internet. De esa preocupación resultó el Protocolo de Transferencia Segura de Hipertexto, conocido generalmente por su abreviación HTTPS.

Técnicamente HTTPS realmente no es un protocolo; en realidad es una capa de HTTP sobre el protocolo SSL/TLS. SSL significa Secure Sockets Layer y junto con TransportLayer Security (TLS) es un protocolo criptográfico diseñado para proteger el tráfico en Internet. Esencialmente, SSL y TLS usan llaves de codificación públicas y secretas para intercambiar una llave de sesión para encriptar datos mandados de un cliente a un servidor. Tanto TLS como SSL utilizan certificados X.509 para autenticar la máquina con la que se comunican e intercambiar una llave.

La codificación bidireccional de las comunicaciones entre el cliente y el servidor ofrece una barrera para proteger los datos de los ojos de los atacantes. Esto mantiene a raya los ataques de intermediarios donde un maleante se conecta con ambas partes y se mete entre ellas, interceptando efectivamente las comunicaciones e inyectando tráfico nuevo.

Aunque todo eso es bueno muchos sitios en la Web aún usan HTTP en lugar de HTTPS por muchas razones. A menudo una de las principales razones es que HTTPS puede hacer lentos los sitios web lo cual no es totalmente falso. Pero mientras que cargar un sitio web sobre HTTPS no hace a los sitios más rápidos eso se puede resolver de muchas maneras.

El resultado final de este proceso es una capa extra de protección para los datos contra los ojos de los atacantes o de gobiernos. Durante los últimos años la preocupación por la privacidad incitó a empresas como Google y Yahoo! a utilizar la codificación y HTTPS para proteger los resultados de búsqueda y de los usuarios de su servicio de correo web. Las mismas preocupaciones llevaron a ElectronicFrontierFoundation y al Proyecto TOR a trabajar en conjunto para ofrecer la extensión HTTPS Everywhere a los usuarios de Google Chrome y de Mozilla Firefox.

Esas son muchas diferencias resumidas en una sola letra. Pero al final la ‘S’ en HTTPS es más que una letra – es una línea delgada que separa la privacidad de la exposición en la Internet.