MI BLOG

Seguridad en las comunicaciones inalámbricas

por Mónica Berrueta Villegas

Las redes inalámbricas ofrecen soluciones para compartir información sin hacer uso de cables utilizando el aire como medio de transmisión.

Bluetooth

El bluetooth es la especificación que define un estándar global de comunicaciones inalámbricas. La tecnología bluetooth tiene un alcance de unos 10 metros. Por lo que se usa en la vida cotidiana tanto en teléfonos como relojes inteligentes, manos libres, dispositivos GPS,…

Los ciberataques qué emplean estas comunicaciones suelen utilizar antenas que amplían consideraban consideradamente el campo de acción.

  • Bluejacking. Consiste en el envío de SPAM al usuario.
  • Bluesnarfing. aprovecha las vulnerabilidades del protocolo para sustraer información del dispositivo atacado.
  • Bluebugging. Utiliza técnicas de ingeniería social para que la víctima acepte una conexión inicial para infectar el dispositivo con malware de control remoto. A partir de entonces, el usuario dispondrá de acceso remoto al teléfono del usuario y podrá utilizar sus funciones. 

La adopción de algunas medidas de seguridad sencillas pueden evitar los ataques.

  1. Activar el Bluetooth solo cuando sea necesario
  2. Cambiar el nombre del dispositivo
  3. No emparejar ni aceptar conexiones entrantes de dispositivos
  4. Verificar periódicamente la lista de dispositivos de confianza

Seguridad en redes wifi 

Las redes Wi-Fi utilizan una tecnología inalámbrica que realiza la conexión entre dispositivos situados en un área relativamente pequeña su alcance aproximadamente es de unos 100 metros.

El dispositivo que autentifica los usuarios y que emite la señal suele ser un router o punto de acceso por lo que la seguridad de las redes inalámbricas depende de ellos.

Algunas medidas de seguridad básicas que se pueden configurar en el router son: 

  • Personalizar la contraseña de acceso
  • Cambiar el SSID. Nombre del router
  • Desactivar el acceso por WPS
  • Filtrar las Mac 
  • Actualizar el firmware: software que controla los circuitos
  • Comprobar el historial de actividad
  • Utilizar el software de auditoría (herramientas)

Protección de las conexiones red

por Mónica Berrueta Villegas

En la actualidad, las redes de ordenadores están presente en todas partes. Estás redes proporcionan servicios tan variados como el acceso a Internet.

Un equipo conectado en red ofrece innumerables ventajas, aunque sus riegos también se multiplican, ya que cualquier vulnerabilidad puede convertirse en una amenaza.

Para asegurar una red informática, hay que establecer políticas de seguridad que se ajusten al diseño de la red, asignar firewalls, limitar el acceso a routers, inmunizar los equipos con soluciones antivirus adecuadas y mantener el software.

Cortafuegos

El cortafuegos, también denominado firewall, es un dispositivo hardware o software cuya finalidad es controlar la comunicación entre un equipo y la red. Se ha convertido en una de las principales defensas contra ataques informáticos y en una pieza clave para bloquear la salida de información del ordenador a Internet.

Todos los mensajes que entran o salen por el cortafuegos son examinados, de modo que aquellos que no cumplen los criterios de seguridad especificando las son bloqueados con el propósito de evitar los ataques de intrusos. Para ello, es necesario configurar las reglas que filtran el tráfico por los puertos, aceptando o bloqueando los paquetes inspeccionados.

El cortafuegos se instala en dispositivos que acceso a Internet, es decir, un servidor o un router.

Redes privadas virtuales

     Las redes privadas virtuales (VPN) son conexiones punto a punto a través de una red privada o pública en insegura, como Internet. Los clientes usan protocolos utilizados en TCP o IP denominados protocolos de túnel para realizar conexiones con una red privada. Una vez que el servidor VPN autentifica al usuario establecer una conexión cifrada y está puede ser de dos tipos.

  • VPN de acceso remoto. Se utilizan para que los usuarios tengan acceso a un servidor de una red privada con la infraestructura proporcionada por una red pública.      
  • VPN  de sitio a sitio. permite a las organizaciones conectar redes a través de Internet utilizando comunicaciones entre ellas.

Los sistemas operativos incluyen su propio servidor VPN una gran variedad de aplicaciones para ellos, por ejemplo, VPNBook. 

Certificados SSL/TLS de servidor web y HTTPS

Cuando se utiliza el cifrado basado en SSL/TLS junto al protocolo de navegación web HTTP, se crea un canal cifrado seguro denominado “HTTPS” . Este canal utiliza una clave únicamente conocida por el dispositivo y el servidor. 

El navegador alerta a los usuarios de la presencia de un certificado SSL/TLS cuando se muestra un canadado y la dirección se convierte en en HTTPS. Si aparece el nombre de la empresa en color verde significa que el sitio web utiliza un certificado de de validación extendida (VE), lo que aporta mayor seguridad.

 

Privacidad de la información

por Mónica Berrueta Villegas

Se considera » información privada» toda aquella información protegida por la LOPD (Ley Orgánica de Protección de Datos ).

La enorme cantidad de datos personales que circula por las redes, unida a la capacidad de los sistemas informáticos para combinar y procesar la información, supone amenazas a la privacidad de los individuos.

Amenazas de privacidad

  • Sistemas operativos. Los sistemas operativos para poder funcionar reúnen información confidencial del usuario. Loa atacantes podrían aprovechar alguna vulnerabilidad en este software para obtener todos estos datos.
  • Contraseñas. El método más usado para la identificación de usuarios es la contraseña. Es importante generar contraseñas fuertes, con más de ocho caracteres, añadiendo letras y números,…
  • Registro de visitas web. Cada vez que se accede a una página web, el navegador proporciona datos sobre el usuario. Estos datos pueden ser usados fraudulentamente para obtener información y lanzar ciberataques.
  • Sesiones del navegador. Algunos buscadores permiten gestionar el historial o los marcadores desde cualquier lugar.
  • Cookies. Las cookies son utilizadas para obtener información acerca de los hábitos de navegación del usuario o sus datos personales. Esta información suele ser utilizada en fines publicitarios pero, también puede ser manipulada para fines fraudulentas.
  • Formularios. La web ofrece multitud de servicios online que en la mayoría necesitas registrarte a través de un formulario.
  • Redes sociales. Es un método sencillo y rápido para acceder a la información de los usuarios de las redes sociales.
  • Google. La principal fuente de ingresos de Google es la publicidad personalizada a cada usuario. Google utiliza un montón de servicios distintos, por lo que es capaz de reunir una gran cantidad de información sobre los usuarios. Una medida de protección es configurar las opciones de privacidad de los servicios de Google.

Antíespias

El espionaje se define como la obtención encubierta de datos confidencial. Esta práctica se considera un delito y esta penado por la ley.

Los programas espías o spyware se introducen en los dispositivos en forma de pequeñas aplicaciones que recopilan información del sistema y de los usuarios para enviar los ciberataques.

Los programas antíespias funcionan parecidos a los programas antivirus. Comparan los archivos analizados con una base de datos de software espía.

Borrar archivos de forma segura

Cuando se elimina un archivo de la papelera, es posible recuperar lo si se emplea en software. Sin embargo, esto compromete la privacidad cuando el usuario quiere eliminar archivos sin que nadie pueda tener acceso a ellos.

De la misma forma que existen programas para recuperar archivos, existen otros que garantizan la eliminación segura de archivos para que sean irrecuperables.

Navegación segura

por Mónica Berrueta Villegas

La navegación en páginas web, es uno de los servicios de Internet más utilizados. Tanto sus ventajas como sus riesgos son innumerables, ya que los usuarios pueden convertirse en víctimas de todo tipo. Para ello se deben seguir unas pautas.

LAS BUENAS PRÁCTICAS DE NAVEGACIÓN 

El uso adecuado del navegador y del sentido común son las mejores armas para no convertirse en víctimas de ciberataques.

  • Configurar el navegador adecuadamente: el navegador permite configurar diferentes niveles de seguridad como el control parental para la protección de menores. Aún así, es recomendable eliminar periódicamente la información del historial y de la memoria caché. 
  • No acceder a sitios web de dudosa reputación y evitar enlaces sospechosos: numerosos sitios web fraudulentos suelen promocionarse con descuentos, regalos,… con el propósito de captar usuarios. 
  • Aceptar únicamente las cookies deseadas: las cookies son pequeños archivos de texto con metadatos de una visita: identificadores de sesión, procedencia de la visita,duración de la misma,… (Ej: Facebook) 
  • Proteger los datos personales: no se deben facilitar datos personales en aquellas páginas que no sean de absoluta confianza y que no estén bajo el protocolo de seguro (HTTPS).
  • Descargar aplicaciones de sitios web oficiales: es preciso desconfiar de los sitios desconocidos que ofrecen descargas, ya que constituyen una de las principales vías de propagación de virus. Aunque se trate de una página de confianza cualquier archivo descargado debe pasar por un antivirus. 
  • Revisa el correo electrónico: revisa y utiliza lo con cautela, sospechando de los mensajes no esperados.Es recomendable activar la carpeta de detección de spam y revisar periódicamente.
  • Actualizar el sistema operativo y sus aplicaciones. Los ciberatacantes utilizan las vulnerabilidades detectadas de los programas informáticos para lanzar sus ataques. Por este motivo, es recomendable configurar las actualizaciones automáticas del equipo. 

NAVEGACIÓN PRIVADA

Es una medida de privacidad para que el navegador no almacene la información que se genera al navegar. Esta medida de seguridad solo afecta al equipo, ya que no permite ocultar la actividad de navegación ni al servidor, ni al proveedor de servicios de Internet ni a los sitios web que se visitan. El uso de esta medida permite alejar a curiosos pero no a atacantes expertos. 

PROTEGER LA PRIVACIDAD EN LA RED CON UN PROXY 

Los servidores proxy actúan como intermediarios entre los equipos de los usuarios y los sitios web que se visitan. De este modo, las páginas visitadas sólo pueden captar datos del proxy, no del usuario. 

Existen varios servidores proxy gratuitos. Estos funciona bien cuando consultan páginas web, pero a la hora de descargar archivos multimedia son bastante lentos. 

NAVEGACIÓN ANÓNIMA   

La navegación anónima evita el seguimiento de sitios web que intentan obtener información de los usuarios y mantener el anonimato en comunicaciones que requieren la máxima privacidad. 

TOR ( software libre )anonymoX (Firefox)
Oculta dirección IP y la asigna a cualquier otra parte del mundo Modifican la IP visible de los usuarios por una IP genérica de sus servidores

Estas redes anónimas están diseñadas para proteger la privacidad. Aunque la web visitada no tengan acceso a los datos de los usuarios, estos quedan registrados en los servidores anónimos, del mismo modo que los operadores pueden identificar cualquier llamada oculta. 

Firma electrónica y certificado digital

por Mónica Berrueta Villegas

En la sociedad de la información , los usuarios pueden realizar tareas cotidianas por medio de las nuevas tecnologías. Para ello, hay que contar con mecanismos que garanticen la autenticidad de ellos , integridad y la confidencialidad. Los principales mecanismos son:

FIRMA ELECTRÓNICA

La firma electrónica es el conjunto de datos asociados a un documento electrónico que permite realizar la identificación del firmante de forma inequívoca ya que se requiere de una clave privada que únicamente conoce el firmante. Además, asegura la integridad del documento firmado comprobando que el documento digital firmado es el mismo que el original y el no repudio que certifica que los datos utilizados por el firmante son únicos y exclusivos. 

Al firmar digitalmente  un documento electrónico, se le confiere una validez jurídica equivalente a la que proporciona la firma manuscrita. Este mecanismo tiene ciertas ventajas como el no requerir una presencia física y que no se puede falsificar. Este documento debe conservarse y cualquier impresión debe contener un código seguro de verificación ( CSV) que permite contrastar la copia impresa con el original electrónico.

Firma de documentos electrónicos 

 El firmante genera, mediante una función hash, un resumen que es utilizado como huella digital del mensaje. El resultado que se obtiene de este resumen, se denomina “firma digital” y se enviará adjunta al mensaje original. 

Cualquier receptor del mensaje puede comprobar su autoría descifrando la firma digital con la clave pública del firmante, lo que dará como resultado el resumen del mensaje. 

Para comprobar que el contenido no ha sido modificado desde su creación, se aplica la función hash al documento original por medio de la comprobación del resultado obtenido con el resumen. Si ambos coinciden, el documento queda verificado, pero, en caso contrario se considera que el documento es erróneo o ha sido modificado.

¿Cómo se firma un documento?

  • Utilizar una aplicación en el dispositivo. Son aplicaciones de firma que se descargan en el equipo.
  • Firmar directamente en Internet. Utilizada para firmar formularios o solicitudes. Otra forma mediante el sitio oficial VALIDe. 

En cualquier caso es necesario, disponer de un certificado digital como el que incluye el DNI electrónico.

EL  CERTIFICADO DIGITAL

El certificado digital es un documento electrónico cuya misión es validar y certificar que una firma electrónica coincide con con la de un usuario. Contiene la información necesaria para firmar electrónicamente e identificar a su propietario con sus datos.

El certificado digital identifica a una persona o entidad con dos claves complementarias, una pública y otra privada. Se diferencian en que la privada está pensada para estar siempre bajo el control del firmante mientras que la pública se puede repartir o enviar a otros usuarios. 

Autoridades de certificación

Son aquellas instituciones de confianza responsables de emitir y revocar los certificados digitales utilizados en la firma electrónica, ya que, de otro modo, no contarían con las garantías de seguridad para los que han sido diseñadas. Los documentos están firmados por el firmante y por la autoridad de certificación para afirmar que la firma es la del usuario. 

En España, los certificados electrónicos emitidos por entidades públicas son el DNI electrónico y el de la Fábrica Nacional de Moneda y Timbre, Real Casa de la Moneda.

Web App

por Mónica Berrueta Villegas
Vídeo resumen

Se denomina Web App o aplicación web a la versión de una página web que se optimiza para poder ser utilizada desde los teléfonos móviles. Su principal característica es que se adapta a cualquier dispositivo y se pueden abrir prácticamente desde todos los navegadores, independientemente de su sistema operativo.

Las Web App únicamente necesitan un navegador para funcionar; por lo tanto, al no requerir de una descarga desde cualquier tienda de aplicaciones (Play Store, App Store…), no ocupará memoria en los dispositivos móviles (característica muy importante de cara al usuario). Y a su vez, al no requerir de actualizaciones, los usuarios siempre visualizarán la última versión de la aplicación. Estas aplicaciones se basan en HTML, CSS o JavaScript.

Ejemplos de Web App

  1. Google Web App: Todos los servicios que ofrece Google puedes encontrarlos en Web App. Desde Google Maps, hasta su buscador o el gestor de correo electrónico Gmail o Calendar. De hecho, la experiencia que ofrecen al usuario es muy similar a la de sus Apps nativas (  las que se desarrollan específicamente para cada sistema operativo ).
  2. Amazon: puedes ver su web app en la tienda online, en Amazon Video y Amazon Music. Como pasas con Google, la experiencia es muy similar a la que podrías obtener a través de su App nativa.
  3. FilmAffinity: esta web de referencia sobre cine y televisión no dispone de App nativa. En su lugar cuenta con una web app que ofrece a los usuarios todas las características propias de su página web: votar en las películas, consultar críticas, comentar…

Ventajas:

  • Multiplataforma: es compatible para todos los dispositivos.
  • Como no necesita ninguna descarga para usarla, para el usuario supone un ahorro de tiempo y espacio en su dispositivo.
  • Como ya hemos explicado anteriormente, sus actualizaciones son inmediatas.
  • Son menos afectados por los virus (aunque no son inmunes a ellos).

Desventajas:

  • Su uso requiere de conexión a internet.
  • Al ser ejecutada en un navegador web puede tener ciertas limitaciones.

Información

Gestores de contenido

por Mónica Berrueta Villegas

+ ¿Qué son los gestores de contenidos?

– Son la herramienta con la que muchos nos encontramos para subir texto, fotografías o vídeos a un sitio web, propio o ajeno.

+ ¿Qué significa CMS?

– Las siglas CMS, en inglés Content Management System, hacen referencia a los gestores de contenido.

+ ¿ Cuales son los gestores de contenidos más utilizados?

+ ¿ Qué gestor de contenidos es el más usado en la actualidad?

– Con un 29,2% de uso y un dominio de mercado de casi un 60%, WordPress es el CMS más utilizado en la mayoría de sitios web.

De código abierto, gratuito, modular y compatible con cientos de plugins y temas, es un CMS fácil de instalar, actualizado cada poco tiempo y con constantes mejoras en forma de complementos, la mayoría gratuitos.

Nacido en 2003 como CMS especializado en blogs, en la actualidad sirve para toda clase de páginas web e incluso aplicaciones online gracias a su versatilidad.

+ ¿Qué CMS es el menos utilizado utilizado dentro de los más populares?

– Es Shopify, otro CMS enfocado al comercio electrónico.

Lanzado en 2004, Shopify facilita la creación y diseño de páginas web enfocadas a tiendas online mediante asistentes, módulos y plantillas que podemos personalizar o simplemente colocar en nuestro propio site.

A diferencia de WordPress, Shopify esta únicamente enfocado a un grupo cerrado de público ya que su uso es totalmente comercial.

+ ¿ Que ventajas y desventajas tienen los gestores de contenido?

VENTAJAS

  • Gran documentación para resolver nuestras dudas.
  • Actualización del contenido y el mantenimiento: la actualización de nuestros datos o productos lo podemos realizar nosotros mismos, dado su sencillez.
  • Cada cierto tiempo los desarrolladores van mejorando la plataforma, con  lo cual, se irán crean nuevas actualizaciones y funcionalidades.

DESVENTAJAS

  • Tenemos que preocuparnos de realizar el mantenimiento, actualizaciones, funcionalidades, etc.
  • Menor Flexibilidad: con el software libre no podemos hacer lo que nos de la gana aunque este sea muy elástico.
  • Otro punto es el código fuente que se genera (código sucio), esto quiere decir que es más pesado y menos optimizado, posicionamiento web, etc…  que un desarrollo a medida.

OPINIÓN PERSONAL

Desde mi punto de vista, creo que los gestores de contenido son una buena herramienta para crear y editar de manera fácil y sencilla una página web. Además, estos CMS contienen muchas plantillas y opciones para crear una página web casi completamente a tu gusto.

Información