Etiquetaseguridad

Cómo poner un certificado SSL en tu blog y, además, gratis

Siempre he tenido curiosidad por tener un certificado SSL en mi blog, pero el coste de los certificados siempre me ha frenado. Satisfacer mi curiosidad no vale 75 dólares (o más) cada año.

Hace un par de semanas, en una cena con compañeros de Tetuan Valley, oí a un par de ellos hablar sobre las bondades de Let’s Encrypt. Se trata de una iniciativa de la Electronic Frontier Foundation que genera certificados SSL perfectamente válidos y gratuitos.

Al día siguiente, estuve leyendo la documentación de Let’s Encrypt y todo iba en la línea que comentaban.  El proceso de instalación y renovación de los certificados SSL gratuitos es tremendamente sencillo y completamente automatizable. Cuentan con un cliente para los principales sistemas operativos y servidores web que reduce el proceso a unos pocos comandos. Así que, si gestionas tu propio servidor, ya no tienes ningún motivo para pagar por tus certificados SSL, porque los de Let’s Encrypt te proporcionan el mismo nivel de seguridad y confianza, pero completamente gratis. Si tienes tu blog en un hosting compartido sin acceso total a la máquina, te interesa seguir leyendo. Seguir leyendo

Todos los bits son iguales

Ya estamos en el año 2014 y, sin embargo, aún abundan las empresas que fuerzan a sus clientes a reproducir comportamientos más propios de 1985. En los últimos meses, ¿cuántas veces has tenido que enviar, por correo electrónico, un documento firmado y escaneado?

Alguien te envía por email un documento para que lo aceptes pero te requiere que se lo devuelvas firmado. No le vale con que contestes al correo diciendo que estás de acuerdo, no, necesita ver tu firma. Pero, claro, lo que va a ver no es tu firma, sino tu firma escaneada. Quizás, ni eso: verá tu firma digitalizada e insertada en su documento, posteriormente guardado como PDF. Sin embargo, para muchos, los bits que representan tu firma garabateada en un PDF parecen ser mejores bits que los que codifican tu OK en un modesto email. Pero todos esos bits son iguales, en el fondo. Seguir leyendo

Heartbleed: una terrible vulnerabilidad informática

En los últimos días, las noticias sobre Heartbleed, la importante vulnerabilidad descubierta en la tecnología OpenSSL, ha ocupado tuits y titulares por doquier. Y no es para menos: se trata de un bug que puede ser usado de forma prácticamente continua, sin dejar huella, en uno de los sistemas de seguridad más extendidos en la Web.

Pero… ¿qué es Heartbleed?

Heartbleed es una vulnerabilidad descubierta en dos versiones concretas, 1.0.1 y 1.0.2-beta, de OpenSSL (ver más abajo) que permite a un atacante acceder a una pequeña porción (64 KiB) de la memoria del servidor web al que ataca. En esa pequeña porción de memoria puede haber cualquier cosa, en cada momento. El matiz peligroso está en que el atacante puede repetir su ataque tantas veces como quiera a lo largo del tiempo, consiguiendo 64 KiB de memoria distintos cada vez: para evitar otro tipo de ataques, la posición en la que se van guardando los datos en memoria va cambiando dinámicamente, así que sólo tienes que hacer un número ingente de ataques de 64 KiB y confiar en que las probabilidades te permitan pescar alguna información interesante, como un usuario y contraseña o una clave privada. Seguir leyendo

iupay promete demasiado… y me decepciona

Hace un par de semanas, se anunció a bombo y platillo el nacimiento de iupay, un servicio de pagos online promovido por las principales entidades financieras españolas y que era descrito por muchos como una alternativa a Paypal.

La maquinaria de comunicación detrás de iupay aseguró, allá por el 17 de febrero, un sólido y contundente impacto en los medios de comunicación, que se hicieron eco del lanzamiento de la nueva plataforma sin ahorrar en adjetivos positivos. Ya desde el anuncio inicial, hubo algo en todo esto que me dio mala espina. ¿Alternativa a PayPal? ¿En qué se diferencia? ¿Cómo van a conseguir tracción? En un vistazo rápido a su web, mis sospechas sobre la solidez de la nueva propuesta fueron en aumento. ¿Qué beneficios anuncian para los comercios? “Tus clientes se sentirán más seguros porque no tendrán que teclear su tarjeta de crédito.” ¿Y para los usuarios? “Creando tu cartera iupay tendrás siempre disponibles las tarjetas que añadas para comprar en Internet.” ¿Servicios de prevención del fraude? ¿Recibir pagos en tu cuenta? ¿Pagar sin necesidad de tener tarjeta? ¿Pagos entre particulares? Nada de nada. ¿Alternativa a PayPal? ¿En serio?

Seguir leyendo

Tu política personal de contraseñas

Hace un par de meses, la masiva filtración de tres millones de datos de usuarios de Adobe volvió a poner de manifiesto una máxima que nunca hemos de olvidar: el usuario común no es consciente de los elevados riesgos que corre usando contraseñas simples. Ni siquiera cuando confías tu contraseña a una empresa aparentemente seria, como Adobe, puedes estar seguro de que la vayan a tratar con la diligencia debida. Por eso, es fundamental contar con una política personal de contraseñas que sea tan práctica como robusta.

De nuestra política de contraseñas pueden depender cosas tan variadas, pero tan valiosas, como nuestra identidad en las redes sociales, nuestros documentos más importantes y, no olvidemos, el acceso a nuestras cuentas corrientes y tarjetas de crédito.

Mi propuesta siempre ha sido la misma: un esquema de tres capas, con contraseñas seguras en todos los casos pero buscando la practicidad:

  1. En el nivel superior, se encuentra la contraseña de nuestra cuenta de correo electrónico principal. Esta es la cuenta que usamos habitualmente y a la que están vinculados nuestros servicios principales. Esta contraseña ha de ser robusta, pero suficientemente fácil como para que la podamos recordar y teclear a menudo. Hemos de hacer el esfuerzo de memorizarla, porque podemos necesitarla en circunstancias y ubicaciones de lo más diverso pero, aún así, debe ser compleja: no menos de ocho caracteres (cuantos más, mejor) con símbolos, números, mayúsculas, minúsculas y ninguna relación con nuestros datos básicos ni con términos de uso común. Debe ser aleatoria, no basada en patrones. Además, debes cambiarla a menudo y nunca, repito, nunca usarla en ningún otro sitio. Cámbiala tras introducirla en algún ordenador o red en el que no puedas confiar plenamente. Es la llave de tus más preciados secretos y, posiblemente, de tu caja de caudales, así que tómatelo en serio. Seguir leyendo

Seguridad de los datos de marketing

En un entorno en el que las decisiones sobre tecnología están basculando desde el departamento de sistemas hacia el de marketing, cabe preguntarse si la información que se genera en esa área está convenientemente protegida.

Recientemente, he tenido la oportunidad de comprobar, de manera muy cercana, los múltiples problemas a los que se enfrenta un usuario cualquiera para proteger sus datos, incluso cuando mantiene una buena política de copia de seguridad. El iPhone de mi mujer dejó de funcionar estando de viaje en el extranjero: cuando no tienes cerca tu ordenador y las wifis a las que tienes acceso no son más que conexiones gratuitas, lentas y poco fiables, copiar o restaurar casi 7GB de información se convierte en tarea imposible. Un claro ejemplo de cómo incluso a la mejor política sobre el papel se le encuentran puntos débiles en cuanto se la expone a la más diversa realidad.

Todo esto me ha llevado a pensar en el gran tema que afecta a los directivos de marketing de la actualidad: como ya dije hace unas semanas, el director de marketing es cada día más un decisor y gestor de tecnología. Si bien todos reconocemos que resulta esencial que el CMO se coordine con la división tecnológica de su organización para optimizar decisiones y operaciones y evitar el caos, lo cierto es que esto no es posible en todos los escenarios: no son pocas las organizaciones actuales en las que ni siquiera existe un rol específico equivalente al CIO, sino que las decisiones de negocio y tecnología emanan, desde la fundación, de una misma persona. Seguir leyendo