Etiquetaseguridad

Cómo poner un certificado SSL en tu blog y, además, gratis

Siempre he tenido curiosidad por tener un certificado SSL en mi blog, pero el coste de los certificados siempre me ha frenado. Satisfacer mi curiosidad no vale 75 dólares (o más) cada año.

Hace un par de semanas, en una cena con compañeros de Tetuan Valley, oí a un par de ellos hablar sobre las bondades de Let’s Encrypt. Se trata de una iniciativa de la Electronic Frontier Foundation que genera certificados SSL perfectamente válidos y gratuitos.

Al día siguiente, estuve leyendo la documentación de Let’s Encrypt y todo iba en la línea que comentaban.  El proceso de instalación y renovación de los certificados SSL gratuitos es tremendamente sencillo y completamente automatizable. Cuentan con un cliente para los principales sistemas operativos y servidores web que reduce el proceso a unos pocos comandos. Así que, si gestionas tu propio servidor, ya no tienes ningún motivo para pagar por tus certificados SSL, porque los de Let’s Encrypt te proporcionan el mismo nivel de seguridad y confianza, pero completamente gratis. Si tienes tu blog en un hosting compartido sin acceso total a la máquina, te interesa seguir leyendo. Seguir leyendo

Todos los bits son iguales

Ya estamos en el año 2014 y, sin embargo, aún abundan las empresas que fuerzan a sus clientes a reproducir comportamientos más propios de 1985. En los últimos meses, ¿cuántas veces has tenido que enviar, por correo electrónico, un documento firmado y escaneado?

Alguien te envía por email un documento para que lo aceptes pero te requiere que se lo devuelvas firmado. No le vale con que contestes al correo diciendo que estás de acuerdo, no, necesita ver tu firma. Pero, claro, lo que va a ver no es tu firma, sino tu firma escaneada. Quizás, ni eso: verá tu firma digitalizada e insertada en su documento, posteriormente guardado como PDF. Sin embargo, para muchos, los bits que representan tu firma garabateada en un PDF parecen ser mejores bits que los que codifican tu OK en un modesto email. Pero todos esos bits son iguales, en el fondo. Seguir leyendo

Heartbleed: una terrible vulnerabilidad informática

En los últimos días, las noticias sobre Heartbleed, la importante vulnerabilidad descubierta en la tecnología OpenSSL, ha ocupado tuits y titulares por doquier. Y no es para menos: se trata de un bug que puede ser usado de forma prácticamente continua, sin dejar huella, en uno de los sistemas de seguridad más extendidos en la Web.

Pero… ¿qué es Heartbleed?

Heartbleed es una vulnerabilidad descubierta en dos versiones concretas, 1.0.1 y 1.0.2-beta, de OpenSSL (ver más abajo) que permite a un atacante acceder a una pequeña porción (64 KiB) de la memoria del servidor web al que ataca. En esa pequeña porción de memoria puede haber cualquier cosa, en cada momento. El matiz peligroso está en que el atacante puede repetir su ataque tantas veces como quiera a lo largo del tiempo, consiguiendo 64 KiB de memoria distintos cada vez: para evitar otro tipo de ataques, la posición en la que se van guardando los datos en memoria va cambiando dinámicamente, así que sólo tienes que hacer un número ingente de ataques de 64 KiB y confiar en que las probabilidades te permitan pescar alguna información interesante, como un usuario y contraseña o una clave privada. Seguir leyendo

iupay promete demasiado… y me decepciona

Hace un par de semanas, se anunció a bombo y platillo el nacimiento de iupay, un servicio de pagos online promovido por las principales entidades financieras españolas y que era descrito por muchos como una alternativa a Paypal.

La maquinaria de comunicación detrás de iupay aseguró, allá por el 17 de febrero, un sólido y contundente impacto en los medios de comunicación, que se hicieron eco del lanzamiento de la nueva plataforma sin ahorrar en adjetivos positivos. Ya desde el anuncio inicial, hubo algo en todo esto que me dio mala espina. ¿Alternativa a PayPal? ¿En qué se diferencia? ¿Cómo van a conseguir tracción? En un vistazo rápido a su web, mis sospechas sobre la solidez de la nueva propuesta fueron en aumento. ¿Qué beneficios anuncian para los comercios? “Tus clientes se sentirán más seguros porque no tendrán que teclear su tarjeta de crédito.” ¿Y para los usuarios? “Creando tu cartera iupay tendrás siempre disponibles las tarjetas que añadas para comprar en Internet.” ¿Servicios de prevención del fraude? ¿Recibir pagos en tu cuenta? ¿Pagar sin necesidad de tener tarjeta? ¿Pagos entre particulares? Nada de nada. ¿Alternativa a PayPal? ¿En serio?

Seguir leyendo

© 2018 Manuel Delgado Tenorio

Subir ↑