Etiqueta: https

Claves para conservar la seguridad durante las fiestas

Las vacaciones es el tiempo favorito de los empleados y hackers, por ello le compartimos algunos consejos de seguridad que lo ayudar谩n a protegerse.

Para evitar que su empresa se convierta en la v铆ctima en estas fechas decembrinas, hemos reunido consejos de unos cuantos profesionales de seguridad para que los administradores de TI protejan los datos corporativos y recomendaciones para acortar los ciclos de prueba de los sistemas de seguridad.

Usar las vacaciones para realizar revisiones de programas y auditor铆as. En todas las organizaciones es muy probable que uno o dos empleados desempe帽en funciones cr铆ticas de seguridad. Es necesaria una verificaci贸n peri贸dica de los procedimientos para evitar incidentes o interrupciones de seguridad inesperados pero evitables.

En primer lugar, se deben revisar los procedimientos y procesos, 驴existen procesos documentados que coincidan con las responsabilidades cotidianas de todos los miembros del equipo? 驴est谩n basados en las mejores pr谩cticas? Por 煤ltimo, 驴est谩n f谩cilmente disponibles y/o f谩ciles de encontrar?

Utilice este tiempo para analizar cr铆ticamente la madurez del equipo, desarrollar una hoja de ruta estrat茅gica para el A帽o Nuevo y cerrar brechas cr铆ticas que normalmente pasan desapercibidas.

Utilice las vacaciones para probar su respuesta a incidentes y planes de recuperaci贸n de desastres

La clave de un programa de seguridad es tener una base s贸lida. Tener planes bien documentados de respuesta a incidentes es una necesidad cr铆tica. Tener un juego de carpetas en una estanter铆a no es suficiente. No s贸lo deben probarse los planes de respuesta a incidentes y los equipos que realizan esas tareas con frecuencia, sino que deben someterse a pruebas de estr茅s. Qu茅 mejor momento para realizar las pruebas que durante un periodo de vacaciones.

Realizar una prueba de recuperaci贸n de desastres durante las vacaciones revelar谩 las lagunas en los planes, la dotaci贸n de personal e identificar谩 las 谩reas cr铆ticas para mejorar. Por no mencionar, en tiempos reales de interrupci贸n o desastre, es poco probable que cada miembro de cada equipo est茅 disponible. Podr谩 detectar c贸mo los puntos fuertes y d茅biles de sus planes.

Realizar un 鈥渂arrido鈥

En ocasiones se han encontrado dispositivos WiFi maliciosos en salas de conferencias pegadas debajo de los escritorios o disimuladas en la pared. Los criminales utilizar谩n estos dispositivos para analizar el tr谩fico de la red, crear falsas redes Wifi y acoplarse con c谩maras para crear los dispositivos de espionaje perfectos. Mientras todo el mundo est谩 fuera de la oficina, es un buen momento para hacer un barrido de conexiones de red inal谩mbrica desconocidas y buscar dispositivos sospechosos conectados.

No mezclar trabajo con ocio

Las fiestas son un buen momento para crear conciencia. Recuerde a los empleados que los dispositivos de la empresa deben utilizarse 煤nicamente para trabajar.

Crear y colocar 鈥渢rampas鈥

Cuando todo el mundo est谩 de vacaciones es m谩s f谩cil pillar a los delincuentes. Para los profesionales de la seguridad que sospechan que puede haber comportamientos maliciosos en el entorno f铆sico, crear una trampa puede ser una manera de atrapar a los criminales en el acto. Se tratar铆a de poner lo que parece datos importantes en un sistema, simplemente monitorear esa m谩quina y esperar a ver si se accede. Coloque un PC desbloqueado en un 谩rea abierta con videovigilancia, instale el software de monitorizaci贸n en ella, vea si se tocan algunos archivos o si los usuarios hacen lo correcto e informan de ello.

E-Business Compromiso de correo electr贸nico (BEC)

Las empresas deben estar en alerta m谩xima ante las amenazas de Business Email Compromise (BEC) y Business Email Spoofing (BES) -el FBI asegura que esto tiene un alt铆simo costo para las organizaciones. Como se muestra en la 煤ltima investigaci贸n de la Unidad 42 de Redes de Palo Alto, “SilverTerrier: La Pr贸xima Evoluci贸n en el Delito Cibern茅tico Nigeriano”, los protagonistas de la amenaza nigeriana est谩n cada vez m谩s organizados y han asumido BEC y BES con sofisticaci贸n sin precedentes en todo el mundo. La mayor铆a de los ataques con 茅xito usan vulnerabilidades conocidas y reemplazadas, por lo que aseg煤rese de que los sistemas y los dispositivos est茅n actualizados, muy por delante de los “bloqueos” de los sistemas empresariales de los trimestres o finales de a帽o.

Recuerde, usted es un objetivo durante la temporada de vacaciones

Usted es un objetivo durante todo el a帽o, pero inevitablemente durante esta 茅poca del a帽o, se producen m谩s robos de port谩tiles y dispositivos. Mantenga los objetos de valor fuera de la vista, o mejor a煤n, fuera de su veh铆culo. Aseg煤rese de que los datos est茅n encriptados o trabaje con su personal de tecnolog铆a para verificar si no est谩 seguro. Aseg煤rese de que las copias de seguridad de los datos corporativos tomados en discos duros externos se almacenan fuera para su custodia.

Preste especial atenci贸n a reparar sistemas operativos dentro de dispositivos especializados conectados a su red

驴Recuerda el episodio del Mr. Robot, donde Elliot planea destruir la instalaci贸n de Steel Mountain al entrar en su sistema de control clim谩tico? Un sistema de seguridad de software es tan seguro como su componente m谩s d茅bil, y muchas veces, dispositivos especializados como termostatos, consolas de planificador de salas de conferencias, incluso sistemas de videoconferencia pueden pasar por alto cuando se trata de parches. La clave aqu铆 es no s贸lo actualizar los principales sistemas operativos como Windows, OSX y Linux cuando los parches est谩n disponibles, pero aseg煤rese de que los sistemas operativos m谩s peque帽os dentro de los dispositivos especializados no se pasan por alto.

Los hackers pueden ir de compras online en vacaciones

De acuerdo con la National Retail Foundation, 2016 ventas de vacaciones en l铆nea se prev茅 que aumenten entre 7 y 10% (m谩s del doble de la previsi贸n de aumento del 3.6% para las compras de vacaciones en general).

Recomendamos que los empleados vayan directamente al sitio web de un proveedor en lugar de hacer clic en el bot贸n 鈥楥omprar ahora鈥 en un mensaje de correo electr贸nico promocional. Por ejemplo, un delincuente puede crear f谩cilmente un mensaje de correo promocional falso de Best Buy o Amazon para atraer clics directos para comprar art铆culos con un descuento especial. Podr铆a ser v铆ctima de un ataque cibern茅tico de phishing infectando por un equipo de c贸mputo con ransomware o exploits.

Proteja los datos

El ataque ransomware es muy r谩pido. Incluso si los sistemas de seguridad avisan r谩pido, las vacaciones ofrecer谩n a los delincuentes una ocasi贸n excelente. El ataque a Sony Pictures se destap贸 el 24 de noviembre, el lunes antes del D铆a de Acci贸n de Gracias en Estados Unidos. Con la gente de vacaciones, no hab铆a nadie para tomar medidas ante las se帽ales de alerta.

Un s贸lido mecanismo de copia de seguridad y recuperaci贸n es un excelente seguro contra ransomware. Es conveniente tener diversos tipos de copias de seguridad.

Implementar siempre SSL

Pre-cargar HSTS y establecer el sitio web de su organizaci贸n HTTPS es f谩cil, y puede ayudar a prevenir ataques de Firesheep o Poodle. Para los sitios de comercio electr贸nico, estas medidas mantendr谩n a los clientes m谩s seguros durante las compras navide帽as. Se debe actualizar al mejor protocolo de seguridad posible (TLS 1.2) ya que es la versi贸n m谩s segura disponible.

No descuide las herramientas de DevOps

No s贸lo el sistema operativo y las aplicaciones necesitan parches en una organizaci贸n. Comience el A帽o Nuevo con cada herramienta de desarrollo y eliminaci贸n de errores actualizada a la 煤ltima versi贸n tambi茅n.

Ryan Francis

 

Hacker demuestra que es f谩cil atacar la red WiFi de una ciudad

Amihai Neiderman, es el jefe de investigaci贸n de la firma israel铆 de seguridad cibern茅tica Equus Technologies, quiso encontrar una manera de comprometer esta red, lo realiz贸 como un proyecto paralelo en su tiempo libre.

En un ejemplo perfecto de c贸mo las redes inal谩mbricas p煤blicas pueden ser peligrosas para la privacidad y la seguridad, un hacker israel铆 demostr贸 que podr铆a haber tomado el control de la red Wi-Fi gratuita de una ciudad entera.

El ejecutivo de la firma, vio en su camino de regreso del trabajo un punto de acceso inal谩mbrico que no hab铆a visto antes. Result贸 que el hotspot que vio, anunciado como “FREE_TLV”, formaba parte de la red Wi-Fi de toda la ciudad creada por la administraci贸n local de Tel Aviv, Israel. Esto hizo que Neiderman se preguntara: 驴Qu茅 tan seguro es?.

Durante las pr贸ximas semanas, encontrar una manera de comprometer esta red y se enfoc贸 en realizar el ataque de investigaci贸n en su tiempo libre. Primero conect贸 con la red a trav茅s de uno de los puntos de acceso repartidos por la ciudad y comprob贸 cu谩l era su nueva direcci贸n IP. Esta es normalmente la direcci贸n p煤blica asignada al enrutador a trav茅s de la cual todos los clientes Wi-Fi acceden a Internet.

A continuaci贸n, desconect贸 y explor贸 esa direcci贸n IP para los puertos abiertos. Encontr贸 que el dispositivo estaba sirviendo una interfaz de conexi贸n basada en web sobre el puerto 443 (HTTPS). Esta interfaz muestra el nombre del fabricante – Peplink – pero no otra informaci贸n sobre el tipo o modelo del dispositivo. Se dio cuenta de que era necesario un an谩lisis m谩s profundo del firmware real del dispositivo. Identificar el dispositivo y encontrar el firmware exacto para descargar desde el sitio web del fabricante no fue f谩cil, porque Peplink crea y vende muchos tipos de dispositivos de red para diversas industrias.

Una vez que todo fue desempaquetado y cargado en un emulador, Neiderman pudo acceder a los scripts CGI (Common Gateway Interface) que formaban la interfaz web del enrutador. No tard贸 mucho tiempo hasta que el investigador encontr贸 una vulnerabilidad de desbordamiento de b煤fer en el script CGI que manejaba el proceso de cierre de sesi贸n. El defecto se podr铆a explotar enviando una cookie de sesi贸n muy larga al script y eso provocar铆a una explotaci贸n exitosa que resultar铆a de la ejecuci贸n de c贸digo arbitrario y el control total sobre el dispositivo.

Neiderman present贸 sus descubrimientos y esfuerzos de ingenier铆a inversa el jueves en la conferencia de seguridad de DefCamp en Bucarest, Rumania. El investigador neg贸 decir si realmente prob贸 su haza帽a en los enrutadores Peplink ya que eso podr铆a darle un l铆o en problemas legales.

Finalmente, el hacker dijo que se impresion贸 bastante con la manera en la que la empresa hab铆a respondido ante su informe y c贸mo se encargaron de la vulnerabilidad.

Redacci贸n

Las redes WiFi p煤blicas son un gran peligro

En la actualidad los sistemas de comunicaci贸n han ganado un enorme protagonismo con la difusi贸n de nuevos est谩ndares como el 802.11 ac, 聽que son capaces de llegar a ofrecer al usuario velocidades superiores a las de las conexiones por cable.

Como en toda tecnolog铆a que crece a pasos agigantados, existe un riesgo alto en la seguridad con la que los usuarios acceden a sus datos. Numerosos sistemas detectan la presencia de la tarjeta radio de nuestro m贸vil (sin haberse asociado a un AP) para extraer informaci贸n sobre nuestra localizaci贸n, por lo que no es necesario conectarse a un Wi-Fi para dar cierta informaci贸n.

En este caso, la informaci贸n siempre tiene un car谩cter 鈥渁n贸nimo鈥, ya que lo 煤nico que se puede tener visibilidad es de equipos con unas determinadas caracter铆sticas (direcci贸n MAC, etc.) que han entrado en el rango de acci贸n del sistema Wi-Fi. As铆, por ejemplo, la informaci贸n que las empresas del segmento de retail consiguen es del tipo 鈥溌緾u谩ntos usuarios nuevos han visitado una tienda?鈥 o 鈥溌縀n frente de qu茅 muestra se han parado?鈥, 鈥溌緾u谩nto tiempo?鈥, etc.

Por ello suele ocurrir el principal problema, el cu谩l no se encuentra en las medidas de seguridad de la tecnolog铆a Wi-Fi sino en la propia conciencia del usuario, pues 驴qu茅 ocurre cuando nos conectamos a una red Wi-Fi?

El procedimiento t茅cnico toma el nombre de 鈥渁sociaci贸n鈥 entre nuestro dispositivo (estaci贸n) y el AP. A partir de este proceso, todo tr谩fico que generemos pasa a trav茅s del punto de acceso que radia el SSID al que nos hemos conectado. Seg煤n el escenario en el que nos encontremos, la privacidad puede quedar altamente comprometida.

Muchos ciberdelincuentes juegan con ingenier铆a social y despliegan una red Wi-Fi abierta en determinados sitios p煤blicos. Por ejemplo, en un aeropuerto o una estaci贸n de tren. Es perfectamente l铆cito que empresas doten de infraestructura Wi-Fi gratuita en este tipo de espacios donde la gente se encuentra ante largos periodos de espera, por lo que es posible levantar una red WiFi con el nombre que usted quiera. Se trata, sin duda, del escenario perfecto para que los usuarios menos conscientes de los peligros de estas pr谩cticas se conecten a una red Wi-Fi con nombres tales que 鈥淔ree_WiFi鈥 o 鈥淕uest_Hotspot鈥, entre otros

A partir del momento en el que se realiza dicha asociaci贸n, todo el tr谩fico de navegaci贸n que el usuario origine en su dispositivo puede ser perfectamente analizado con las herramientas adecuadas. Estamos hablando no solo de聽conocer p谩ginas web que visite el usuario sino de contrase帽as del usuario que en un alto porcentaje son reutilizadas para distintos servicios.

A pesar de que el tr谩fico importante (bancos, cuentas privadas, etc.) debe ser HTTPS y viajar debidamente cifrado, un atacante puede usar determinadas herramientas para extraer las contrase帽as. Por ejemplo, son cada vez m谩s frecuentes portales que levantan los delincuentes id茅nticos a las p谩ginas originales (Gmail/Facebook, etc.) y que solicitan 鈥渞eintroducir鈥 las credenciales de usuario. Estos sitios obviamente no proceden ni de Facebook ni Gmail sino que han sido dise帽ados con el objetivo de que los usuarios dejen en dicha p谩ginas sus contrase帽as y datos personales.

En este escenario, conviene recordar que hay que ser muy cauto al conectarse a redes Wi-Fi desconocidas. Y que, en el caso de que utilicemos este tipo de conexiones, el usuario debe ser consciente de que al realizar esa conexi贸n est谩 abriendo la posibilidad de que se examine su tr谩fico, por lo tanto deber铆a reflexionar sobre a qu茅 tipo de p谩ginas accede. En otras palabras, quiz谩 sea una buena idea dejar para cuando estemos conectados a nuestra Wi-Fi de casa consultar el saldo de nuestra cuenta.

Redacci贸n

Aumento de ataques DDoS relacionados con aplicaciones web

El 煤ltimo informe elaborado por Akamai, ofrece resultados interesantes sobre el n煤mero y la frecuencia de ataques de tipo DDoS, y los relacionados con aplicaciones web, los cuales se incrementaron notablemente en el primer trimestre del a帽o.

Las 煤ltimas tendencias recogidas en el informe de seguridad sobre “El estado de Internet” del primer trimestre de 2016 de Akamai, se帽alan que los sectores retail y de juegos fueron el objetivo de la mayor parte de los ataques DDoS y a aplicaciones web. El informe viene a ofrecer una visi贸n del panorama global de amenazas de seguridad en la nube y an谩lisis a fondo de la actividad maliciosa observada en la plataforma inteligente de Akamai.

La firma hace dos trimestres destac贸 la modalidad de diagramas Sankey para medir rendimientos. Dichos gr谩ficos ayudan a visualizar la energ铆a, material o transferencia de costos entre los diferentes procesos. El gr谩fico no deja lugar a dudas sobre como los ataques DDoS de reflexi贸n han mostrado una tendencia alcista en los 煤ltimos cinco trimestres. Los vectores m谩s utilizados parecen estar en correlaci贸n con el n煤mero de dispositivos de internet que utilizan estos protocolos espec铆ficos de servicio para fines leg铆timos.

Durante el per铆odo del primer trimestre de 2016, la compa帽铆a de seguridad mitig贸 m谩s de 4 500 ataques DDoS, un 125% m谩s en comparaci贸n con el mismo trimestre correspondiente al a帽o anterior. La mayor铆a de estos ataques se centraron en la reflexi贸n con herramientas basadas en booter/stresser, los cuales hacen rebotar el tr谩fico de los servidores que ejecutan servicios vulnerables como SSDP, DNS, CHARGEN Y NTP para incrementar su repercusi贸n.

Para finales de 2015, los ataques DDoS se convirtieron en la norma con una media de 24 ataques por cliente objetivo. La tendencia se ha mantenido este trimestre, con una media de 39 ataques cada uno. Este primer trimestre ha registrado un r茅cord de n煤meros de ataques DDoS que exced铆a los 100 gigabits por segundo (Gbps). De hecho, el de mayor envergadura alcanz贸 su m谩ximo en 289 Gbps con un total de 19 mega-ataques registrados.

akamai-control-trafico

Nuevo potencial en aplicaciones web

Los ataques a aplicaciones web aumentaron en casi un 26% en comparaci贸n con el cuatro trimestre de 2015. El sector retail sigue siendo el objetivo m谩s popular, recibiendo un 43% de los mismos. En l铆neas generales, descendieron un 2% los ataques a aplicaciones web a trav茅s de HTTP, mientras que aumentaron un 236% los dirigidos a aplicaciones web a trav茅s de HTTPS.

Vuelve a repetirse el escenario de trimestres anteriores en los que Estados Unidos fue el origen de la mayor铆a de tr谩fico de ataques a aplicaciones web con el 43%, y tambi茅n el objetivo m谩s frecuente de dichos ataques con un 60%.

No podemos pasar por alto el tr谩fico y la actividad relativa a los bots. Mientras que los denominados bots buenos representaron el 40% del tr谩fico, el 50% de los bots ten铆a objetivos malintencionados y estaba implicado en campa帽as de extracci贸n de informaci贸n y actividades relacionadas.

Alfonso Casas

Google, Yahoo y Microsoft publican nuevo est谩ndar de seguridad de email

El objetivo del nuevo mecanismo SMTP (Strict Transport Security es) asegurar que el tr谩fico de correo electr贸nico cifrado no es vulnerable a los ataques man-in-the-middle.

Los ingenieros de algunos de los mayores proveedores de servicios de correo electr贸nico de todo el mundo se han unido para mejorar la seguridad del tr谩fico de correo electr贸nico que atraviesa聽 Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1 & 1 Mail & Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electr贸nico definir pol铆ticas y normas para el establecimiento de comunicaciones por correo electr贸nico cifrados.

El nuevo mecanismo se define en un borrador, el cual fue publicado la semana pasada para su consideraci贸n como un est谩ndar de Internet Engineering Task Force (IETF).

El Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electr贸nico entre clientes de correo electr贸nico y servidores, as铆 como de un proveedor a otro, se remonta a 1982 y no se construy贸 con ninguna opci贸n de cifrado.

En 2002, gracias a esta raz贸n, ay una extensi贸n llamada STARTTLS fue a帽adida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Por desgracia, durante la d茅cada siguiente, no fue adoptado ampliamente la extensi贸n, y el tr谩fico de correo electr贸nico intercambiados entre los servidores permaneci贸 en gran parte sin cifrar.

Eso cambi贸 despu茅s de 2013, cuando el exempleado聽 de la Agencia de Seguridad Nacional de Estados Unidos. Edward Snowden filtr贸 documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de la Uni贸n Americana, Reino Unido y otros pa铆ses.

En mayo de 2014, Facebook, que env铆a miles de millones de mensajes de correo electr贸nico de notificaci贸n a los usuarios todos los d铆as, hizo una prueba y se encontr贸 que el 58% de los mensajes de correo electr贸nico pasa a trav茅s de una conexi贸n cifrada con STARTTLS. En agosto de ese mismo a帽o, la tasa aument贸 a 95%.

Hay un problema, sin embargo: a diferencia de HTTPS (conocido como HTTP Seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electr贸nico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tr谩fico es mejor que nada. Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posici贸n de interceptar el tr谩fico podr铆a presentar el remitente de correo electr贸nico con cualquier certificado, incluso un firmado por uno mismo, y ser谩 aceptado, lo que permite para el tr谩fico a ser descifrados. Adem谩s, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.

La nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estas dos cuestiones. Se ofrece a los proveedores de correo electr贸nico de los medios para informar a los clientes de que TLS que est谩 disponible y se debe utilizar. Tambi茅n les dice c贸mo el certificado presentado debe ser validado y lo que deber铆a ocurrir si una conexi贸n TLS no se puede ser negociada con seguridad.

Estas pol铆ticas聽 SMTP STS se definen a trav茅s de los registros DNS especiales a帽adidos al nombre de dominio del servidor de correo electr贸nico. El protocolo proporciona mecanismos para que los clientes validen autom谩ticamente estas pol铆ticas e informen sobre cualquier fallo. Los servidores tambi茅n pueden informar a los clientes para esconder sus pol铆ticas SMTP STS durante un per铆odo espec铆fico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar pol铆ticas fraudulentas cuando intentan conectarse.

El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que est谩 destinado a prevenir los ataques de HTTPS escondiendo la pol铆tica HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexi贸n de un cliente particular hacia el servidor se realiz贸 sin ser interceptado; de lo contrario, una pol铆tica fraudulenta podr铆a haber sido escondida.

Datos publicados por Google, se帽ala que el 83% de los mensajes de correo electr贸nico enviados por los usuarios de Gmail a otros proveedores de correo electr贸nico de todo el mundo est谩n cifrados, pero s贸lo el 69% de los correos electr贸nicos entrantes de otros proveedores se reciben por m谩s de un canal cifrado.

Tambi茅n hay grandes discrepancias en el cifrado de correo electr贸nico entre las regiones del mundo, con proveedores de correo electr贸nico en Asia y 脕frica la situaci贸n es mucho peor que la de los proveedores en Europa y Estados Unidos.

Lucian Constantin

 

Es detectada vulnerabilidad que afecta a uno de cada tres servidores con SSLv2

El protocolo SSLv2 nunca debi贸 ser utilizado para cifrar las comunicaci贸n, as铆 lo dejan ver expertos en seguridad, los cuales han descubierto una vulnerabilidad que permite a los atacantes escuchar las comunicaciones realizadas con servidores de tipo HTTPS.

Investigadores de seguridad han descubierto una nueva debilidad que permite a los atacantes espiar sobre las comunicaciones encriptadas entre los usuarios y un servidor de tipo HTTPS. El problema aparece debido a que muchos servidores HTTPS todav铆a soportan el antiguo protocolo e inseguro SSL (Secure Sockets Layer) en su versi贸n 2. De hecho, SSLv2 fue sustituido por SSLv3 en el a帽o 1996, pero oficialmente no qued贸 obsoleto hasta el a帽o 2011. A partir de entonces, SSLv3 fue reemplazado tambi茅n por el m谩s moderno TLS (Transport Layer Security) en sus versiones 1.0, 1.1 y 1.2.

El protocolo SSLv2 se帽ala que nunca debi贸 ser utilizado para cifrar las comunicaciones. Sin embargo, los expertos en seguridad no han detectado hasta ahora que este hecho suponga una amenaza seria en las configuraciones de servidores, debido a que los navegadores modernos y otros clientes TLS ya no lo usan. Esto no impide que los ciberdelincuentes puedan emplearlo para otros fines, se帽alan que uno de cada tres servidores puede verse afectados al seguir soportando dicho protocolo.

En base a un trabajo de investigaci贸n publicado recientemente, se ha demostrado que si un servidor HTTPS se apoya todav铆a en el protocolo SSLv2, est谩 permitiendo que un atacante pueda explotar y descifrar las conexiones que se producen entre dicho servidor y sus clientes a pesar de que las conexiones est茅n empleando la versi贸n m谩s reciente y segura del protocolo TLS.

Estos ataques, apodados como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) tienen varios requisitos previos que deben cumplirse. En primer lugar, necesita que el servidor HTTPS comparta su clave privada con otro servidor que se basa en SSLv2, por ejemplo, un servidor de correo electr贸nico. Resulta bastante habitual que las organizaciones utilicen la misma clave privada o certificado para implementaciones TLS en ambos servidores, tanto en el Web como en el servidor de correo.

down-attack-diagram

Las conexiones observadas necesitan utilizar el algoritmo de intercambio de claves RSA durante la conversaci贸n entre ellos, pero esto no debe suponer problema alguno para los atacantes, dado que RSA sigue siendo el m茅todo de intercambio de claves m谩s popular en las implementaciones TLS. Una vez que el atacante tiene las conexiones capturadas, debe conectarse al servidor a trav茅s del protocolo SSLv2 y enviar mensajes de reconocimiento dise帽ados espec铆ficamente.

-Alfonso Casas

 

Cinco herramientas para mantener tu privacidad online

Una de las grandes preocupaciones es la seguridad de los datos, as铆 como la privacidad a la hora de manejar diferentes equipos y navegadores web, aqu铆 te proponemos una serie de herramientas que te permitir谩n evitar los t铆picos exploradores de terceros.

A excepci贸n de uno de los programas propuestos, tambi茅n le compartimos para dispositivos m贸viles, los otros cuatro son de c贸digo abierto, por lo que pueden ser utilizados gratuitamente. En la mayor铆a de los casos, basta con descargarse el plug-in correspondiente para el navegador Web que utilice habitualmente. Algunos ofrecen funciones m谩s avanzadas de personalizaci贸n para poder fijar los ajustes en cada caso.

Privace Badger

Privacy Badger es una extensi贸n utilizada para navegadores Firefox y Chrome, la cual permite bloquear la mayor铆a de los anuncios que tienen un car谩cter invisible, aquellos que realizan un seguimiento de las p谩ginas que visitamos, todo ello sin nuestro consentimiento. Privacy Badger agrega una capa adicional de protecci贸n, incluso aunque ya tengamos alg煤n software dedicado para esta finalidad, lo cual viene bien debido a que algunos bloqueadores no vienen configurados de manera predeterminada.

La herramienta se configura de manera r谩pida, con tres sencillos ajustes mostrados en colores verde, amarillo y rojo. El rojo bloquea el anuncio, mientras que el amarillo hace que las cookies no sean utilizadas por el rastreador. El verde significa que dejamos v铆a libre. Siempre es posible anular la configuraci贸n por bloques individuales, o hacer una pausa de privacidad cuando lo consideremos oportuno.

HTTPS Everywhere

Creada por Electronic Frontier Foundation (EFF) se trata de otra extensi贸n para los usuarios de los navegadores Firefox, Opera, as铆 como Firefox para dispositivos m贸viles Android, la cual hace que la navegaci贸n en p谩ginas web sea m谩s segura gracias al cifrado de la informaci贸n enviada y recibida entre dicho navegador y las URL que soportan el protocolo HTTPS.

Para entenderlo, lo que hace la herramienta es reescribir todas las peticiones hechas bajo HTTP y las traslada a peticiones HTTPS. Ahora bien, el plug-in solo trabaja cuando utilizas contenidos bajo dominios con HTTPS.

Ublock Origin

Ublock Origin es un bloqueador de anuncios de c贸digo abierto y lo puede encontrar como extensi贸n para Firefox y Chrome. Se ha hecho muy popular entre los usuarios por su escaso uso de la CPU con lo que apenas consume recursos del sistema cuando se encuentra activa. Adem谩s de sus capacidades de bloqueo, Ublock Origin tambi茅n permite a los usuarios leer y crear filtros adicionales a partir de otros archivos, con una amplia lista de funciones entre las que elegir. De cara a su uso entre usuarios avanzados, tambi茅n permite sacar el m谩ximo partido por su gran personalizaci贸n ofrecida.

Purify ad Blocker

Considerado como el mejor bloqueador de anuncios para iOS, quiz谩 porque fue de los primeros en llegar para los usuarios de Apple, as铆 como para el navegador Safari. No es gratuito, pero es posible encontrarlo en la tienda App Store por tan solo 99 centavos de d贸lar, con un uso limitado en el tiempo. Es utilizado para navegar por las p谩ginas web con la tranquilidad ya que no nos aparecer谩n ventanas emergentes ni sufriremos un rastreo de nuestra navegaci贸n, lo que reduce el uso de datos m贸viles y mejora la velocidad. Tambi茅n podemos establecer una lista blanca de sitos web favoritos. Tambi茅n es posible bloquear scripts, fuentes personalizadas, as铆 como im谩genes.

TOR

De las siglas The Onion Router (TOR) se trata de un software gratuito que usa una red abierta con la finalidad de permitir que podamos mejorar la privacidad y seguridad en la red. Es otra herramienta interesante, ya que si le preocupa el rastreo de sus datos por parte de terceros. Todos aquellos datos que env铆e, son transportados a trav茅s de diversos puntos, con lo que logra ocultar la verdadera fuente desde la que se origin贸 la comunicaci贸n.

-Alfonso Casas

Bing encriptar谩 el tr谩fico de todas sus b煤squedas

bing_redise_aDesde hace m谩s de a帽o y medio Bing ha ofrecido el protocolo HTTPS como una opci贸n, sin embargo, el famoso buscador de Microsoft lo har谩 por default a todas las consultas realizadas. Con esta acci贸n Bing proporciona una capa extra de protecci贸n a los usuarios, ayud谩ndoles a que sus movimientos online se encuentren lejos del ojo hacker.

Gracias a esta nueva implementaci贸n Microsoft se encuentra a la par del mercado de b煤squedas. En 2011, Google empez贸 a cifrar las b煤squedas por defecto, para los usuarios que usaran su cuenta de Google. En 2013, modific贸 esta conducta al utilizar protocolo HTTPS en todas sus b煤squedas. Yahoo hizo lo propio en 2014 al cifrar el tr谩fico de b煤squedas desde su p谩gina de inicio.

Este cambio tambi茅n influye en el modo en que los webmasters obtienen informaci贸n sobre las b煤squedas que llevan a sus sitios web. La compa帽铆a seguir谩 ofreciendo una referencia para que los operadores de sitios web y de marketing puedan ver el tr谩fico cifrado que proviene del buscador de Microsoft, pero no proporcionar谩 el t茅rmino exacto de b煤squeda que llev贸 a la gente a una p谩gina.

Bing Webmaster Tools seguir谩 proporcionando las palabras clave agregadas y datos de clasificaci贸n para que los operadores de sitios web pueden realizar un seguimiento de lo que atrae a los usuarios a sus sitios web. Los anunciantes podr谩n ver qu茅 b煤squedas activas desencadenaron sus anuncios en Bing con el Search Query Terms Report, que tambi茅n proporciona informaci贸n m茅trica como n煤mero de clicks, impresiones o conversaciones.

Blair Hanley Frank, IDG News Service

驴El gobierno de Estados Unidos usar谩 para todos sus sitios https?

https(1)

El gobierno de la uni贸n americana ordena el uso del protocolo HTTPS en todos sus sitios y servicios en l铆nea聽p煤blicos聽para finales de 2016.

El progreso聽del protocolo https dar谩聽legitimidad a la comunicaci贸n de los sitios gubernamentales de Estados Unidos,聽adem谩s聽encriptar谩 el env铆o y recepci贸n de datos, con esto se聽ayudar谩 a la protecci贸n ante intrusos聽y p谩ginas ap贸crifas. Este protocolo, su聽uso est谩 indicado mediante el icono de un candado verde en la barra de direcciones del navegador web, durante varios a帽os se ha utilizado este indicativo en p谩ginas bancarias, aunque聽ha aumentado su uso en gran medida durante聽los 煤ltimos a帽os.

La aplicaci贸n de esta medida de seguridad desemboca por las revelaciones que ha hecho Edward聽Snowden聽sobre el espionaje que realiza el Gobierno Estadounidense por lo que resulta algo l贸gico que se est茅n implementando estas medidas de seguridad. Es por esto que el estado norteamericano聽est谩 procurando聽hacer m谩s dif铆cil que terceras personas聽infrinjan聽en sus medios de comunicaci贸n, de esta forma聽la interacci贸n con los sitios聽del gobierno ser谩聽mucho m谩s segura para la poblaci贸n.

Tony Scott, CIO de Estados Unidos, a rectificado聽una orden para desarrollar el Https y el uso del HTTP聽Strict聽Transport聽Security (HSTS), que es un sistema en el cual聽le da聽instrucciones al navegador web para conectarse siempre a un sitio web a trav茅s del protocolo HTTPS , esto bloquea la redirecci贸n a un sitio inseguro de un usuario.

-Martyn聽Williams, IDG News聽Service

La seguridad en internet dentro del HTTPS

Cualquiera que ha utilizado Internet ha visto la barra direcci贸n de su navegador y notado una serie de letras que son 鈥楬TTP鈥 o 鈥楬TTPS鈥. A primer vistazo puede parecer que la 煤nica diferencia es la letra S.

El Protocolo de Transferencia de Hipertexto (HTTP por sus siglas en ingl茅s) es un protocolo de comunicaci贸n que forma la base de Internet. Cuando se ingresa la URL que se desea visitar en la barra de direcciones del navegador, se env铆a un comando HTTP al servidor Web relevante dando instrucciones de mandar una p谩gina Web particular.

La primera versi贸n documentada fue publicada en 1991. A medida que continu贸 el trabajo en el protocolo hubo mayor conciencia acerca de la importancia de la seguridad en las comunicaciones en Internet. De esa preocupaci贸n result贸 el Protocolo de Transferencia Segura de Hipertexto, conocido generalmente por su abreviaci贸n HTTPS.

T茅cnicamente HTTPS realmente no es un protocolo; en realidad es una capa de HTTP sobre el protocolo SSL/TLS. SSL significa Secure Sockets Layer y junto con TransportLayer Security (TLS) es un protocolo criptogr谩fico dise帽ado para proteger el tr谩fico en Internet. Esencialmente, SSL y TLS usan llaves de codificaci贸n p煤blicas y secretas para intercambiar una llave de sesi贸n para encriptar datos mandados de un cliente a un servidor. Tanto TLS como SSL utilizan certificados X.509 para autenticar la m谩quina con la que se comunican e intercambiar una llave.

La codificaci贸n bidireccional de las comunicaciones entre el cliente y el servidor ofrece una barrera para proteger los datos de los ojos de los atacantes. Esto mantiene a raya los ataques de intermediarios donde un maleante se conecta con ambas partes y se mete entre ellas, interceptando efectivamente las comunicaciones e inyectando tr谩fico nuevo.

Aunque todo eso es bueno muchos sitios en la Web a煤n usan HTTP en lugar de HTTPS por muchas razones. A menudo una de las principales razones es que HTTPS puede hacer lentos los sitios web lo cual no es totalmente falso. Pero mientras que cargar un sitio web sobre HTTPS no hace a los sitios m谩s r谩pidos eso se puede resolver de muchas maneras.

El resultado final de este proceso es una capa extra de protecci贸n para los datos contra los ojos de los atacantes o de gobiernos. Durante los 煤ltimos a帽os la preocupaci贸n por la privacidad incit贸 a empresas como Google y Yahoo! a utilizar la codificaci贸n y HTTPS para proteger los resultados de b煤squeda y de los usuarios de su servicio de correo web. Las mismas preocupaciones llevaron a ElectronicFrontierFoundation y al Proyecto TOR a trabajar en conjunto para ofrecer la extensi贸n HTTPS Everywhere a los usuarios de Google Chrome y de Mozilla Firefox.

Esas son muchas diferencias resumidas en una sola letra. Pero al final la 鈥楽鈥 en HTTPS es m谩s que una letra 鈥 es una l铆nea delgada que separa la privacidad de la exposici贸n en la Internet.