A lo largo del pasado año hemos hablado de varios temas relacionados con la seguridad de un servidor, ya se trate de un servidor Web, de correo, cualquier otro tipo de hosting. A continuación os traigo un resumen de los consejos más destacados:

1. No permitas el login directo del root/administrador.
2. Asegúrate de que las contraseñas son seguras y cámbialas regularmente.
3. Usa un cortafuegos, como por ejemplo ModSecurity.
4. Chroot todos los usurios no-root para mantenerlos alejados de los directorios.
5. Utiliza escáners antivirus y filtros de spam.
6. Actualiza el software del servidor periódicamente.
7. Haz test de seguridad para detectar vulnerabilidades.
8. Intenta estar al día y sigue las últimas noticias del sector.
9. Utiliza SSL para hacer transacciones de datos más seguras.
10. Configura los permisos de la forma más estricta posible.

Fotografía | www.flickr.com

0 comentarios

Un test desarrollado por Domain Incite sobre los dominios de las 100 compañías más importantes según Deloitte ha demostrado que algunas de estas muestran vulnerabilidades de seguridad graves, a pesar de que invierten millones en sus operaciones IT.

El blog no ha dado el nombre de las 4 compañías que no llegaban a los niveles de seguridad mínimos, sin embargo, ha mencionado que las páginas de estas empresas son las que han experimentado más casos de infracción sobre marcas durante el presente lanzamiento de los gTLD. Otras 8 páginas corrían el riesgo de sufrir ataques, aunque llegaban a cumplir con unos mínimos de seguridad.

El test fue desarrollado usando la herramienta Cross-Pollination Check de IANA. De hecho, la herramienta es totalmente gratis y cualquiera puede usarla para comprobar el nivel de seguridad de su página.

0 comentarios

Se ha detectado que muchas páginas de videos que simulan la apariencia de YouTube están distribuyendo malware. El usuario, cuando llega a una de estas Webs y hace click sobre el botón “play” aparece un mensaje de instalación de un archivo llamado “media codec”. Cuando el usuario acepta la descarga, su ordenador es infectado automáticamente por malware.

Según el Equipo de Protección de eSoft, existen más de 135 mil páginas de este tipo actualmente y muchas de ellas pueden encontrarse simplemente haciendo una búsqueda en Google. Es cierto que la dirección de la Web mostrada en los navegadores no correspone con la de Youtube, obviamente, así que la detección de este tipo de páginas es muy sencilla, sin embargo, muchos usuarios no verifican la URL y son confundidos por la apariencia del site.

El “media codec” que los usuarios acaban instalando en su sistema es un troyano que da acceso a información privada e incluso toma el control de todo el sistema. Hoy en día, sólo 8 de 41 programas antivirus lo detectan, sin embargo, es muy probable que esta proporción cambie dentro de poco, ya que se está hablando bastante sobre el tema.

Fotografía | www.flickr.com

0 comentarios

A pesar de que el traslado a la nube ha sido progresivo y se ha hecho con mucha prudencia, somos muchos los usuarios de Internet que ya estamos apostando por ella sin apenas darnos cuenta, ya que somos usuarios de Gmail, Yahoo! Mail, Hotmail y otros sistemas de correo electrónico basados en la Web.

Por lo general, no es malo haber escogido esta opción como bandeja de correo, además ofrece mucha flexibilidad a los usuarios, sin embargo, existen 5 razones por las que deberíamos replantearnos este sistema de correo:

1. Una compañía comercial tiene las únicas copias de tus datos.
2. Si algún día decides cerrar algunas cuentas y conservar los mensajes, archivarlos puede ser un gran fastidio.
3. Si no puedes conectarte a Internet no tendrás acceso al correo.
4. Dependes totalmente de la compañía de email, que puede cambiar su software o incluso cerrar.
5. No puedes controlar la configuración del servidor de correo, exceptuando que te lo permita tu proveedor de servicios de email.

Algunos servicios en nube ofrecen un entorno adecuado ofreciendo a los usuarios un sistema de email basado en la Web y servicios pop/imap. En estos casos los datos sí que son tuyos.

Fotografía | www.flickr.com

0 comentarios

Las herramientas de seguridad de cPanel te permitirán proteger las diferentes partes de tus páginas Web de accesos no autorizados. En el menú de la pestaña “Security Tools” (o Herramientas de Seguridad) encontraremos las siguientes opciones:

1. Password Protect Directories (Directorios Protegidos con Contraseña): Con esta herramienta podrás exigir una contraseña al usuario para permitirle el acceso a ciertas páginas de tu Web.
2. IP Deny Manager (Administrador de rechazo de IP): Te permitirá negar el acceso a ciertas direcciones IP.
3. HotLink Protection (Protección de enlaces entrantes): Con esta opción podrás prohibir a Webs externas que enlacen directamente a archivos de tu página.

Por último, te dejo una galería de imágenes con capturas de pantalla sobre cada una de estas herramientas y próximamente veremos un tutorial sobre cómo emplear estas herramientas de seguridad de cPanel de la forma más efectiva.

Continuar la lectura: ¿Cómo usar las herramientas de seguridad de cPanel?

0 comentarios

ICANN ha anunciado esta misma semana que Whit Diffie, especialista en criptografía, ocupará el puesto de vicepresidente de Información de Seguridad y Criptografía en la ICANN. A sus 65 años, trabajando como director de seguridad en Sun, intentará mejorar el sistema de seguridad de los nombres de dominios.

Diffie es famoso por ser coautor de un documento publicado en 1976 que ayudó a los matemáticos a desencriptar mensajes secretos. Es difícil predecir cuanto tiempo estará Diffie en la ICANN y cuales son los cometidos que le esperan, sin embargo, creo que este ha sido muy buen fichaje para la gran organización, ya que la seguridad en Internet es uno de los puntos más críticos del momento y dificulta su evolución.

Vía | www.cbsnews.com

0 comentarios

Ya hemos discutido varias veces la importancia de los certificados SSL, que permiten codificar información privada y autentificar identidades por Internet a través de sistemas complejos de encriptación. Pero, es esto todo lo necesario para recibir pagos por Internet. ¿De qué formas podemos hacer estas transacciones? Algunas opciones son PayPal y Google Checkout, sin embargo, antes de elegir cualquiera de estas opciones deberemos plantearnos lo siguiente:

1. ¿Cuáles son las condiciones de pago? ¿Tienes que alcanzar una cantidad mínima para que te permitan la transacción?
2. ¿Cuánto cuesta el servicio y qué porcentaje se llevan? ¿Hay tasas escondidas?
3. ¿Ofrecen las herramientas necesarias para integrar su sistema de pago en tu página Web?
4. ¿Qué dice la gente y las empresas sobre este sistema? ¿Se considera seguro?
5. ¿Aceptan la mayor parte de tarjetas de crédito? ¿Qué otras opciones de pago aceptan?

Fotografía | www.flickr.com

0 comentarios

Una de las vulnerabilidades que más aprovechan los hackers son las contraseñas débiles. Por triste que sea, estudios recientes sobre contraseñas han demostrado que las claves más usadas por la población general son tan penosas como 123456. Estas contraseñas no sirven para absolutamente nada, y tenemos que dejar de cometer estos errores. A continuación os traigo algunos trucos para crear contraseñas seguras y fáciles de recordar:

• Combina números y letras. Por ejemplo, puedes sustituir las vocales por números de forma que sea fácil recordar su relación.
• Os passwords tienen que tener 8 o 9 caracteres.
• Cambia siempre las contraseñas que te asignan por defecto cuando te registras en cualquier lado.
• No utilices palabras reales de diccionario ni nombres propios de persona muy populares.
• No utilices acrónimos que sean fáciles de descifrar.
• Utiliza diferentes contraseñas para cada cuenta en función de cómo de importante es para ti su privacidad.
• No utilices nombres que revelen información personal, como fechas de cumpleaños, nombre de tu mascota, etc.

Si necesitas ayuda para crear contraseñas siempre puedes usar un generador de contraseñas gratuito online. Te permitirá especificar cómo de larga quieres que sea tu contraseña, tipos de caracteres y similares.

0 comentarios

Hace unos meses hablábamos del importante ataque que recibió Google y por el cual la compañía decidió dejar de apoyar a China. Hoy se ha publicado en el New York Times que los ataques fueron mucho más graves de lo que se creía, ya que llegaron a alcanzar su sistema de contraseñas de Gmail, aunque aseguran que no robaron datos de los usuarios.

El sistema atacado se llama Gaia, y después del ataque Google anunció que mejoraría sus sisttema de seguridad, pero sigue empleando Gaia, aunque ahora lo llaman Single Sign-On.

La ironía del asunto es que la puerta de entrada de los atacantes fue el Messenger (de Microsoft) de uno de los empleados de Google, que accedió a una Web que instaló un virus en su sistema que luego transmitió a la central de Google.

Vía | www.nytimes.com
Fotografía | www.flickr.com

0 comentarios

Varios registradores de nombres de dominios han sido acusados por el ICANN a causa del incumplimiento del contrato. La semana pasada, la agencia californiana contactó a estos cuatro registradores y les aviso de que debía resolver estas infracciones en los 15 días siguientes. Si esta mala conducta no se resolvía, los registradores se enfrentarían al cierre de sus servicios.

Tres de las firmas – Western United Domains, Inc., Mobiline USA d.b.a DomainBonus.com, y DropNation.com – fueron citados a causa de la custodia de la información WHOIS. La cuarta firma, Alantron BLTD, no ha conseguido hacer públicos los datos WHOIS de sus clientes.

Es más que probable que en los próximos días ICANN proceda de forma legal y cesen los registros de estas firmas, al menos por un periodo de tiempo considerable. Veremos que nuevas noticias nos llegan sobre el caso.

Vía | www.domainnamewire.com
Fotografía | www.flickr.com

0 comentarios

Según un estudio reciente elaborado por Symantec, China es el país donde más malware se origina de todo el mundo. De hecho, China es la responsable del 28.2% de la producción del malware existente en la red.

Después de China, el país que más se acerca a estas cifras es Rumania, creadora del 21.1% del malware total. Luego viene Estados Unidos, en tercera posición, cubriendo el 13.8%. Symantec encontró resultados bastante sorprendentes, puesto que parece ser que la mayoría de malware parece venir de los servidores de email norteamericanos.

Otro detalle interesante de los resultados de este estudio es que gran parte de esta producción está dirigida a públicos muy específicos. Las personas con títulos como “director, oficial, vice presidente y director ejecutivo” tienen a recibir mucho más spam, así como los trabajadores del sector público y las industrias de defensa.

Fotografía | www.flickr.com

0 comentarios

Citando algunas estadísticas recientes publicadas por la ICANN que confirmaban que ¾ de la información WHOIS no es precisa, la Agencia de Crimen Organizado de Inglaterra (SOCA) está exigiendo una precisión rigurosa y más regulada.

SOCA ha declarado que es demasiado fácil para un crimen organizado falsificar la información de contacto de un dominio y quiere que la ICANN ponga más dificultades en este sentido. De este modo, aseguran que sería mucho más fácil seguir la pista a los scammers, phishers, y otros criminales de Internet.

La verificación de los datos de cada uno que registre de un dominio podría contribuir a la estabilidad del Web, así como la implementación de unas penas asociadas a los diferentes modelos de crimen online. Sin embargo, no parece muy fácil llegar a este punto, ya que los criminales siembre encontrarán un bug o una trampa con la que burlar al sistema.

Fotografía | www.flickr.com

0 comentarios