Saltar al contenido

Etiqueta: seguridad

¿Como tener páginas web seguras?

Publicado por Miguel Useche el 14 de marzo de 2016

Internet es un medio de comunicación diseñado para que la información pudiese ser accedida de forma abierta y por cualquiera, pues en los inicios eran pocas las personas con acceso a la red. Pero fue evolucionando y se comenzó a transmitir información delicada como: datos personales, números de tarjeta de crédito, información bancaria, compras, entre otros. Asimismo, evolucionó para ofrecer páginas web seguras y brindar confianza a los usuarios frente a operaciones monetarias, información personal y más.

A continuación te daré unos breves consejos (todo este tema se puede expandir muchísimo) para tener una página web segura.

Alojarse en un servidor seguro

El primer paso es contar con un servidor seguro, esto se traduce principalmente en tener todo el software del sistema operativo y servicios actualizados, pues todos los días se descubren fallas de seguridad que los atacantes pueden correcciones de estas fallas y disminuyes consideradamente cualquier riesgo. Además debe estar configurado para ofrecer sólo los servicios necesarios, por ejemplo, si es solo un servidor web no debería estar el servicio de correo instalado (en caso que no se ofrezca) pues si se descubre un fallo en el mismo, puedes ser víctima de un ataque gracias a una aplicación que no era necesaria que estuviese en ejecución.

Es mandatario contar con un cortafuego (firewall) bien configurado, pues permite controlar las conexiones de red, el acceso al servidor o sistema y más. Este software es esencial para la seguridad, pues permite ocultar o proteger el acceso no autorizado de desconocidos, también de muchos tipos de ataques realizados por conexiones como los es DOS o DDOS donde muchas computadoras empiezan a solicitar más recursos de los que puedes proveer.

Si te parece muy compleja o técnica esta parte, entonces lo mejor es que pagues por un proveedor de alojamiento (hosting) como lo hago yo, de esta manera no pierdes tiempo en ello y te dedicas a otras cosas más importantes. Además, la mayoría de las empresas cuenta con personal capacitado para mantener todo el servidor seguro y recuperarlo ante cualquier desastre.

Cifrado de la comunicación

Cuando visitas una página, los datos deben ir desde tu equipo hasta el servidor donde está la página que vas a visitar, durante el camino existe la posibilidad de que tu información sea leída por terceros si ésta no está cifrada. Por ello debes asegurarte de implementar un protocolo de comunicación como HTTPS que permite transmitir la información de forma segura, pues si alguien tuviese acceso a interceptar tu data, no podrá leerla al estar cifrada (por lo tanto no es entendible).

En la misma compañía donde alojas tu página web segura, puedes solicitar un certificado TLS para implementar HTTPS y cifrar tus comunicaciones. Si andas corto de dinero, puedes utilizar el servicio Let’s Encrypt que te permite generar certificados de forma gratuita y respalda por grandes de Internet como Mozilla.

Páginas web seguras
Si tu navegador muestra HTTPS, tu conexión está cifrada

Tu página web segura o el software web

El software o la aplicación web es la parte donde se debe tener mayor cuidado, pues es la primera capa a la cual el usuario tiene acceso y generalmente donde se empieza a buscar vulnerabilidades. Aquí la principal norma es asumir que todo dato recibido por el usuario puede estar mal o ser maligno, por lo tanto se debe realizar comprobaciones sobre la seguridad de la data recibida: que el origen sea válido, contenido válido, contenido requerido y no se esté recibiendo otro tipos de cosas, entre otros.

El software también tiene que estar diseñado para soportar roles y separar las acciones de usuarios de administradores, e inclusive, cada sistema debería estar aislado para evitar la propagación de fallas o ataques. En realidad existen muchas cosas que se deben tomar en cuenta al desarrollar software, pero realizando auditorías y pruebas pueden verificar que todo esté funcionando bien.

Ejemplo de páginas segura

Por ejemplo, una página web segura para jugar al blackjack online es Casino.com, sitio que cumple con estas normas. Pues para ofrecer su excelente servicio de juegos deben asegurarse que ninguno de los clientes va a hacer trampa y dañe la experiencia del juego. Su software está validado para detectar cualquier anomalía y protegerse ante ella, los servidores están bien asegurados en caso que alguien quisiera saltarse la protección de las aplicaciones, la comunicación se encuentra cifrada y validada a través de su certificado TLS, permitiendo tener una buena partida de apuestas en línea sin problemas.

Espero que con estos consejos entiendas lo mínimo para tener un sitio seguro, recuerda que es una breve introducción al tema, pues existen muchas cosas que se deben comprobar y aplicar, generalmente hecha por muchos profesionales del área. Y por más que quisiéramos, la seguridad total no existe sólo podemos reducir la probabilidad de ser atacados.

Deja un comentario

Aumenta la seguridad de tu sesión en WordPress

Publicado por Miguel Useche el 16 de marzo de 2015

Una de las principales preocupaciones de los usuarios de WordPress es el acceso al panel de administración, pues por defecto se encuentra en la ruta /wp-admin y está compuesto de un simple formulario que puede ser atacado por fuerza bruta. Por eso les voy a recomendar dos complementos para aumentar la seguridad de tu sesión en WordPress, al implementar autenticación de dos factores (Two Factor Authentication) y cambiar la ruta por defecto del formulario de inicio de sesión:

  • Rename WP Login: es un plugin muy liviano y sencillo, simplemente te permite definir una url personalizada para el formulario de inicio de sesión en la pantalla de enlaces permanentes, como por ejemplo https://tusitio.org/entrar-al-admin/. Aunque en el título dice que el plugin no tiene soporte, el autor se refiere a que no posee tiempo para resolver cualquier duda que se presente en los foros , sin embargo, acepta parches de código, nuevas funcionalidades, correcciones de bugs, entre otros. Por lo que puedes instalarlo sin preocuparte de que esté obsoleto.
  • Clef: un plugin recomendado por Manuel Camacho, consiste en una autenticación de 2 factores, es decir, aparte de brindar una información que solo tú conoces, debes dar información generada de un objeto que tienes contigo (el móvil o una tarjeta por ejemplo). En este caso, una vez que instalas el plugin la pantalla de inicio de sesión cambia a una especie de QR dinámico, el cual debes escanear con tu teléfono móvil a través de la aplicación Clef, una vez que reconoce el patrón único automáticamente inicia sesión en el sitio, lo chévere es que desde el teléfono controlas el tiempo de sesión e inclusive cerrarla remotamente. También se configurar para usar el inicio tradicional como respaldo en caso de que no tengas el teléfono contigo.

 

Utiliza Clef para aumentar seguridad de tu sesión en WordPress
Ejemplo de como funciona Clef

Con estos 2 sencillos plugins que puedes instalar y configurar en poco tiempo, podrás seguridad de tu sesión en WordPress, o mejor aún, el de tus clientes. Finalmente, si conocen alguna alternativa o desean compartir información adicional, no duden en dejar un comentario para mejorar la seguridad de nuestros sitios.

Editado el 15/06/2016: Ya el servicio de Clef no está disponible 🙁 puedes usar Google Authenticator para validar tus credenciales.

 

2 comentarios

Cypherpunks: Freedom and the Future of the Internet

Publicado por Miguel Useche el 23 de marzo de 2014

Por recomendación de Ghostbar empece a leer este libro, pues siempre me ha llamado la atención el mundo cypherpunk y al ver que Julian Assange era uno de los autores me animé aún mas.

El contenido del libro no es una historia o resumen de esta cultura, sino mas bien sobre la problemática mundial, de la violación de la privacidad de los ciudadanos por parte de sus gobiernos, y como la comunidad cypherpunk ha ayudado a enfrentar el problema. La forma de exponer esto, es a través de una serie de debates (no sé si hay un tipo de nombre para este tipo de narrativa) entre distintos miembros de Wikileaks, comentan su opinión del tema y muchas veces cuentan experiencias propias, las cuales ayudan a comprender que muchas cosas mencionadas, no son ciencia ficción sino ya ocurren actualmente en distintas partes del mundo.

De los temas me gustaron, fue al principio del libro donde promueve el cifrado de datos y hace comparaciones con la naturaleza, como funcionan las tarjetas de crédito y como todo es procesado en EEUU permitiendo espiarte desde cualquier parte del mundo (ahora entiendo la paranoia de Richard Stallman), como Gaddafi compraba satélites espías a Francia para usarlo en sus ciudadanos, entre otros. Ademas, por la situación que estamos pasando en Venezuela, me identifiqué con algunos puntos.

Cypherpunks: Freedom and the Future of the Internet
Portada del libro

Si les llama la atención la criptografía, deseas conocer como los gobiernos espían a sus ciudadanos, deseas apoyar Juliar Assange, crees en la protección y privacidad de tus datos, no puedes dejar de leer este libro. Así que búscalo en tu tienda favorita.

Deja un comentario

Ataques cibernéticos: cada día mas común entre nosotros

Publicado por Miguel Useche el 24 de junio de 2011

Hace unos años (digamos unos 10 a 15 años) escuchar una noticia sobre un ataque a una página, de virus peligroso recorriendo todo Internet, de liberación de información de las tarjetas de crédito y cosas similares, era algo de poca frecuencia. Recuerdo que si ocurría era ignorada por la mayoría debido al poco acceso a Internet por parte de la población y cuando veiamos esos «Hackers» en las películas la mayoría pensaba en personajes de ficción (en realidad son falsos, en la vida real todo es diferente) provenientes del futuro. Sin embargo, en los últimos meses he observado un auge en este tipo de noticias y mayor atención por las personas porque ahora son víctimas de estos ataques, por ejemplo tal vez el mas conocido recimiente, es el ataque a Playstation Network y demás servicios de Sony, donde dejaron inoperativo algunos de los servicios y robaron información de sus clientes como el número de sus tarjetas de crédito, mucha gente me preguntó si era peligroso, que podía hacer para protegerse y noté que eran personas con bajos conocimientos de informática.

Con el reciente surgimiento de grupos de personas con grandes conocimientos en seguridad informática como Luzsec y Anonymous (con ideales muy distintos), vemos como han logrado hacer que las personas y compañías tomen mayor seriedad sobre la seguridad informática, pues han visto como grandes empresas en las que confiaban su información debido a su reputación comercial, han caido en manos de los piratas quienes puden hacer cualquier cosas con los datos extraidos. Algunos ven estos grupos como ladrones, terroristas, peligrosos que desean acabar con los sistemas de compañías u organizaciones. Otros los vemos como salvadores, activistas (o mejor hacktivistas), curiosos que intentan demostrar la vulnerabilidad del uso de la tecnología en nuestras vidas.

Cosas como el ataque a Sony, Nintendo, Sega, los defaces a páginas del FBI, FOX, liberación de información de las embajadas de Estados Unidos, artículos que encontramos en Wikileaks, decodificación de videos secretos de la guerra de Iraq, entre otros. Son cosas que cada vez serán mas normales, pues al ir migrando mas actividades a Internet, aumentamos la probabilidad de sufrir las consecuencias de estos actos, pues ningún sistema es seguro y en la medida que almacenos información delicada, llamaremos la atención de curiosos.

No todo es malo ni estoy proponiendo evitar el uso de la tecnología, solo recomiendo tener cuidado de la información almacenada y verificar las compañías donde contratamos sus servicio; éstas deben tener buena reputación sobre la seguridad de sus datos, ofrecer soluciones en caso de ataques, fama, etc. Además, gracias a lo acontecimientos comentados anteriormente muchas empresas y organizaciones estan empezando a tomarse en serio la seguridad de sus sistemas, pues estan viendo como se hace mas popular el conocimiento del funcionamiento de sistemas (sobre todo en la parte de vulnerabilidades) y necesitan estar preparados para evitar ataques a sus máquinas.

Espero que en el futuro nuestros sistemas y software sean mas seguros, asi tendremos total confianza de usarlos. Sin embargo, espero también el surgimiento de grupos como Anonymous y Luzsec para seguir defendiendo nuestros derechos, liberando información como protestas ante ciertas acciones, atacando sistemas para alertar a las compañias e incrementen su seguridad para ofrecernos mejores servicios.

1 comentario