por admin | Ene 20, 2016 | General, Seguridad
Entre las prácticas más habituales utilizadas por los ciberdelincuentes para efectuar ataques sobre servidores web destacan la suplantación de identidad, la captura de datos y los denominados ataques de abrevadero. Mediante ataques de suplantación de identidad o spoofing se consigue la clonación de un sitio web de tal forma que los usuarios que acceden al mismo ponen a disposición del atacante las contraseñas y otros datos confidenciales. En otros casos se inyecta código maligno para registrar y capturar las pulsaciones de las teclas y conseguir los datos personales del usuario. Finalmente, a través de los ciberataques de abrevadero o watering hole se modifica un sitio web de confianza y cuando el visitante accede queda infectado por el código malicioso. Para prevenir este tipo de actuaciones y proteger el servidor web de los ciberataques es recomendable adoptar una serie de medidas que no tienen que ser necesariamente costosas ni complicadas de llevar a cabo: Control de acceso: Diseño de políticas e implementación de procesos de restricción de acceso, registro de los cambios, análisis de logs, protección de las claves de cifrado privadas y modificación periódica de las contraseñas. Centro de seguridad web: Creación de una página, en el propio sitio web, donde se informa y explican las medidas de protección que se adoptan sobre los datos que aportan los usuarios proporcionándoles mayor confianza. Sellos de calidad y confianza. Autoridad de certificación: Las autoridades de certificación varían en cuanto al rigor en la emisión de certificado y recursos y capacidades disponibles, conviene comprobar los niveles de seguridad y garantías de autenticación que proporcionan a la hora de decidirse por una u...
por admin | Oct 14, 2015 | General, Seguridad
El desarrollo del comercio electrónico viene determinado, entre otras razones, principalmente por el aumento de la confianza y seguridad que pueda tener el usuario al realizar las operaciones comerciales. Es de interés para y responsabilidad del negocio o tienda electrónica hacer de Internet un sitio más seguro y confiable, estimular y facilitar la actividad comercial y garantizar la protección de los consumidores mediante el aumento de confianza y la reducción del fraude. A día de hoy la única forma posible de conseguirlo es mediante el uso de certificación con validación extendida a través de certificados VE que garantizan que la tienda online corresponde a una empresa real y comprobada. En la actualidad se emiten tres tipos de certificados digitales para servidores, certificados con validación de dominio (VD), validación de empresa u organización (VO) y validación extendida (VE). La base de la certificación electrónica descansa sobre la tecnología SSL Secure Sockets Layer (Capa de Conexión Segura), desarrolla por Netscape, que permite enviar información cifrada por Internet mediante certificados digitales emitidos por un tercero de confianza, denominado autoridad de certificación, que comprueba los datos del solicitante del certificado. El certificado VD comprueba que el solicitante tiene derecho al uso del dominio y su emisión es inmediata, basta la respuesta del solicitante a un correo de la autoridad de certificación. No proporciona ningún tipo de información sobre la empresa o propietario del dominio. Los certificados VO se emiten cuando la autoridad de certificación comprueba además del domino, datos de la empresa tales como nombre, sede, propietario, etc. y que el solicitante pertenece a esta empresa. La emisión de un certificado de validación...
por admin | Sep 23, 2015 | General, Seguridad
Tradicionalmente el software se adquiría en las tiendas, en un soporte físico guardado en una caja y con un precinto que aseguraba al comprador que se trataba de un programa original y con un autor identificado, es decir, se garantizaba de alguna forma la integridad de la información y la autenticación de su autor. En la actualidad la provisión de software se realiza prioritariamente por Internet por lo que se tienen que utilizar procedimientos que garanticen igualmente que el código que se adquiere es el que ha generado su autor, verificándose su autoría e integridad por una autoridad de certificación, reconocida y de reputación, mediante certificación electrónica. Que se trate de una autoridad de certificación recocida resulta de gran importancia para la confianza del usuario. Los navegadores suelen reconocer inmediatamente a los certificados raíz, la posibilidad de que aparezcan advertencias de seguridad y avisos al utilizar otras autoridades de certificación pueden generar tales dudas e incertidumbres en el usuario que opte por abandonar el proceso de descarga. La firma de código genera confianza en el usuario. A pesar de que todavía se siguen manteniendo por los usuarios hábitos no aconsejables en la descargas (no leer las indicaciones, aceptar por defecto, etc.), también es cierto que se desconfía más de las aplicaciones no firmadas. Así mismo la firma de código permite que plataformas, operadoras y fabricantes de dispositivos admitan las aplicaciones en sus entornos de desarrollo, para muchas de ellas es condición indispensable. Así en el caso de las operadoras aplicaciones maliciosas o con errores pueden llegar a provocar interrupciones del servicio, robo de identidades, difusión de malware y hasta destrucción de...
por admin | Abr 23, 2014 | cloud, General, Seguridad
El desarrollo del ciberespacio, entendido como el conjunto de infraestructuras de tecnologías de la información, Internet, redes y sistemas de la información y de telecomunicaciones, presenta una serie de riesgos y amenazas que se materializan en la ejecución de ciberataques caracterizados por su bajo coste (recursos fácilmente accesibles o gratuitos), fácilmente ejecutables (sin necesidad de grandes conocimientos técnicos y desde cualquier lugar), de gran efectividad e impacto y reducido riesgo para el atacante (facilidad de ocultación y marco legal disperso o inexistente). Para hacer frente a esta situación en diciembre de 2013 se aprobó la Estrategia de Ciberseguridad Nacional. Por su interés publicamos en este artículo un resumen del documento cuyo propósito es fijar unas directrices generales para el uso seguro del ciberespacio que garantice la seguridad y el progreso nacional. Se basa en un liderazgo y coordinación asumida por el Presidente del Gobierno; en una responsabilidad compartida entre agentes públicos, privados con responsabilidades en la materia y la implicación de los ciudadanos en la ciberseguridad; en un principio de proporcionalidad, racionalidad y eficacia en la gestión de los riesgos para proporcionar confianza en las TIC y evitar trabas al desarrollo de nuevos servicios y finalmente en la cooperación internacional para la adopción de medidas eficaces. Si bien se trata de alcanzar un objetivo global, hacer un uso seguro de las TIC fortaleciendo las capacidades de defensa, detección y respuesta a los ciberataques; se definen estos otros seis objetivos siguientes: Garantizar que todos los sistemas TIC de las Administraciones Públicas tienen el nivel adecuado de ciberseguridad y resiliencia. Impulsar la seguridad de los sistemas TIC en el sector empresarial...
por admin | Abr 2, 2014 | cloud, General
Existen una serie de factores que hay que tener en cuenta cuando se adopta la decisión de migrar a la nube, uno de ellos son los costes y especialmente la aparición de costes ocultos que pueden tener un impacto notable en la relación coste beneficio de los servicios cloud. En este artículo intentaremos descubrir y analizar cuáles son estos. Tradicionalmente las adquisiciones de hardware y software están debidamente presupuestadas y planificadas. La nube implica un cambio en las prácticas presupuestarias puesto que los gastos TI se diluyen en los presupuestos totales de la empresa propiciando que el departamento TI pudiera asumir o cargar con costes generales de la estructura empresarial. Para el salto a la nube hay que evaluar los costes y los beneficios potenciales. Uno de los atractivos más poderosos de la nube son los precios de los servicios cloud, pero existen unos costes imprescindibles, en algunos casos considerables, de transición, integración, etc. Un informe de Gartner sobre los servicios cloud publicado en abril de 2011 alertaba a los responsables de TI sobre las medidas para la gestión de los riesgos inherentes y gastos inesperados de la transición a la nube; entender los cambios que suponen y llevar a cabo planes realistas de adquisiciones y contratos cloud que puedan reducir el riesgo y contemplar que los costes están incluidos en el ciclo de vida de los servicios de aprovisionamiento constituido por una estrategia de compras, una selección adecuada de proveedores, el proceso de contratación y la gestión y gobernabilidad del servicio. Tanto el trasiego y movimiento de gran cantidad de datos como su almacenamiento durante tiempos prolongados pueden...
por admin | Nov 28, 2013 | cloud, General
Se tiende a pensar que en la mayoría de los casos la adopción de una estrategia cloud tiene como objetivo último bajar costes principalmente, sin embargo puede llegar a ser un error considerar esto como elemento decisorio único. Cloud supone mucho más, puesto que afecta a cambios profundos en las empresas desde el punto de vista de infraestructuras TIC y estructuras organizativas. Pensemos en organizaciones que hasta hace muy poco ofrecían acceso wifi como valor añadido y que en estos momentos ya se trata de una infraestructura necesaria, o tecnologías básicas hace unos años que en la actualidad están superadas. La realidad es que la nube no sólo sirve para disminuir costes proporcionando mayor eficiencia, sino que aporta una ventaja competitiva considerable mediante la innovación estratégica de la empresa, la mejora de decisiones y mayor y profunda colaboración con empleados, clientes y partners de la empresa. Para comprender esta ventaja competitiva podemos observar las consecuencias de los diferentes servicios cloud. Desde el punto de vista de la agilidad y velocidad del negocio se pueden disponer de las infraestructuras TIC en escasos minutos y del desarrollo y despliegue de aplicaciones en pocos días proporcionando soluciones innovadoras inmediatas como respuesta a las necesidades y requerimientos de los clientes. Afecta a la capacitación mediante la reorganización del departamento TI que pasa a ser proveedor de servicios para la organización, libera de tiempo a los desarrolladores de forma que se pueden centrar más en el negocio y proporciona el software que necesitan los usuarios en el preciso momento. Respecto a la economía, la estandarización permite ahorro, disposición de los recursos liberados para acometer...
