Everything from:seguridad

Cómo poner un certificado SSL en tu blog y, además, gratis
Siempre he tenido curiosidad por tener un certificado SSL en mi blog, pero el coste de los certificados siempre me ha frenado. Satisfacer mi curiosidad no vale 75 dólares (o más) cada año.

Hace un par de semanas, en una cena con compañeros de Tetuan Valley, oí a un par de ellos hablar sobre las bondades de Let’s Encrypt. Se trata de una iniciativa de la Electronic Frontier Foundation que genera certificados SSL perfectamente válidos y gratuitos.

Al día siguiente, estuve leyendo la documentación de Let’s Encrypt y todo iba en la línea que comentaban. El proceso de instalación y renovación de los certificados SSL gratuitos es tremendamente sencillo y completamente automatizable. Cuentan con un cliente para los principales sistemas operativos y servidores web que reduce el proceso a unos pocos comandos. Así que, si gestionas tu propio servidor, ya no tienes ningún motivo para pagar por tus certificados SSL, porque los de Let’s Encrypt te proporcionan el mismo nivel de seguridad y confianza, pero completamente gratis. Si tienes tu blog en un hosting compartido sin acceso total a la máquina, te interesa seguir leyendo.Sigue leyendo el artículo…

Todos los bits son iguales
Ya estamos en el año 2014 y, sin embargo, aún abundan las empresas que fuerzan a sus clientes a reproducir comportamientos más propios de 1985. En los últimos meses, ¿cuántas veces has tenido que enviar, por correo electrónico, un documento firmado y escaneado?

Alguien te envía por email un documento para que lo aceptes pero te requiere que se lo devuelvas firmado. No le vale con que contestes al correo diciendo que estás de acuerdo, no, necesita ver tu firma. Pero, claro, lo que va a ver no es tu firma, sino tu firma escaneada. Quizás, ni eso: verá tu firma digitalizada e insertada en su documento, posteriormente guardado como PDF. Sin embargo, para muchos, los bits que representan tu firma garabateada en un PDF parecen ser mejores bits que los que codifican tu OK en un modesto email. Pero todos esos bits son iguales, en el fondo.Sigue leyendo el artículo…

Heartbleed: una terrible vulnerabilidad informática
En los últimos días, las noticias sobre Heartbleed, la importante vulnerabilidad descubierta en la tecnología OpenSSL, ha ocupado tuits y titulares por doquier. Y no es para menos: se trata de un bug que puede ser usado de forma prácticamente continua, sin dejar huella, en uno de los sistemas de seguridad más extendidos en la Web.

Pero… ¿qué es Heartbleed?

Heartbleed es una vulnerabilidad descubierta en dos versiones concretas, 1.0.1 y 1.0.2-beta, de OpenSSL (ver más abajo) que permite a un atacante acceder a una pequeña porción (64 KiB) de la memoria del servidor web al que ataca. En esa pequeña porción de memoria puede haber cualquier cosa, en cada momento. El matiz peligroso está en que el atacante puede repetir su ataque tantas veces como quiera a lo largo del tiempo, consiguiendo 64 KiB de memoria distintos cada vez: para evitar otro tipo de ataques, la posición en la que se van guardando los datos en memoria va cambiando dinámicamente, así que sólo tienes que hacer un número ingente de ataques de 64 KiB y confiar en que las probabilidades te permitan pescar alguna información interesante, como un usuario y contraseña o una clave privada.Sigue leyendo el artículo…

iupay promete demasiado… y me decepciona

Hace un par de semanas, se anunció a bombo y platillo el nacimiento de iupay, un servicio de pagos online promovido por las principales entidades financieras españolas y que era descrito por muchos como una alternativa a Paypal.

La maquinaria de comunicación detrás de iupay aseguró, allá por el 17 de febrero, un sólido y contundente impacto en los medios de comunicación, que se hicieron eco del lanzamiento de la nueva plataforma sin ahorrar en adjetivos positivos. Ya desde el anuncio inicial, hubo algo en todo esto que me dio mala espina. ¿Alternativa a PayPal? ¿En qué se diferencia? ¿Cómo van a conseguir tracción? En un vistazo rápido a su web, mis sospechas sobre la solidez de la nueva propuesta fueron en aumento. ¿Qué beneficios anuncian para los comercios? «Tus clientes se sentirán más seguros porque no tendrán que teclear su tarjeta de crédito.» ¿Y para los usuarios? «Creando tu cartera iupay tendrás siempre disponibles las tarjetas que añadas para comprar en Internet.» ¿Servicios de prevención del fraude? ¿Recibir pagos en tu cuenta? ¿Pagar sin necesidad de tener tarjeta? ¿Pagos entre particulares? Nada de nada. ¿Alternativa a PayPal? ¿En serio?

Sigue leyendo el artículo…

Tu política personal de contraseñas

Hace un par de meses, la masiva filtración de tres millones de datos de usuarios de Adobe volvió a poner de manifiesto una máxima que nunca hemos de olvidar: el usuario común no es consciente de los elevados riesgos que corre usando contraseñas simples.

Ni siquiera cuando confías tu contraseña a una empresa aparentemente seria, como Adobe, puedes estar seguro de que la vayan a tratar con la diligencia debida. Por eso, es fundamental contar con una política personal de contraseñas que sea tan práctica como robusta.

De nuestra política de contraseñas pueden depender cosas tan variadas, pero tan valiosas, como nuestra identidad en las redes sociales, nuestros documentos más importantes y, no olvidemos, el acceso a nuestras cuentas corrientes y tarjetas de crédito.

Mi propuesta siempre ha sido la misma: un esquema de tres capas, con contraseñas seguras en todos los casos pero buscando la practicidad:

Sigue leyendo el artículo…
Seguridad de los datos de marketing
En un entorno en el que las decisiones sobre tecnología están basculando desde el departamento de sistemas hacia el de marketing, cabe preguntarse si la información que se genera en esa área está convenientemente protegida.

Recientemente, he tenido la oportunidad de comprobar, de manera muy cercana, los múltiples problemas a los que se enfrenta un usuario cualquiera para proteger sus datos, incluso cuando mantiene una buena política de copia de seguridad. El iPhone de mi mujer dejó de funcionar estando de viaje en el extranjero: cuando no tienes cerca tu ordenador y las wifis a las que tienes acceso no son más que conexiones gratuitas, lentas y poco fiables, copiar o restaurar casi 7GB de información se convierte en tarea imposible. Un claro ejemplo de cómo incluso a la mejor política sobre el papel se le encuentran puntos débiles en cuanto se la expone a la más diversa realidad.

Todo esto me ha llevado a pensar en el gran tema que afecta a los directivos de marketing de la actualidad: como ya dije hace unas semanas, el director de marketing es cada día más un decisor y gestor de tecnología. Si bien todos reconocemos que resulta esencial que el CMO se coordine con la división tecnológica de su organización para optimizar decisiones y operaciones y evitar el caos, lo cierto es que esto no es posible en todos los escenarios: no son pocas las organizaciones actuales en las que ni siquiera existe un rol específico equivalente al CIO, sino que las decisiones de negocio y tecnología emanan, desde la fundación, de una misma persona.Sigue leyendo el artículo…