Seguridad

Información Tecnica, Seguridad

Cuando descuelgues una llamada de alguien que no conozcas NO digas SÍ.El timo del SÍ.

/

Hace unos días INCIBE advertía sobre un timo que ocurre a veces en llamadas por teléfono: el timo del SÍ. Es un tipo de phishing, llamado vishing porque es por voz. En este timo lo que hacen tanto timadores como vendedores sin escrúpulos es llamarte para intentar grabar tu voz dando confirmación con un SI. Muchos de nosotros contestamos al teléfono con este monosílabo. Debemos evitarlo. Otras veces, nos hace preguntas aparentemente inocentes, pero que tengan altas probabilidades de contestar con SÍ o similar. ¿Qué hacen con estas grabaciones? Pueden darnos de alta en servicios que no hemos solicitado, pueden dar de alta productos bancarios, y acceiones similares. Si tenemos la más mínima sospecha lo mejor es colgar. SI creemos que nos ha ocurrido, bloquear tarjetas (si están afectadas), cambiar contraseñas y denunciarlo a las fuerzas y cuerpos de seguridad del estado.

Seguridad

Normativa del uso de VPN en Sudamérica

/

Actualmente, un gran porcentaje de personas alrededor del mundo, utilizan una VPN en su día a día, pero aún no queda claro el aspecto de la legalidad del uso de la misma. Por ello, en este post vamos a desarrollar cuál es la normativa del uso de VPN en el caso específico de Sudamérica, por ejemplo si se puede acceder a una VPN en Argentina. Pero antes, te explicamos qué es una VPN y cuáles son sus principales ventajas. ¿Qué es una VPN? Una VPN (red privada virtual) es una herramienta que se emplea para proteger la identidad digital de los usuarios al navegar por Internet, donde se genera una conexión totalmente cifrada y segura. Si se conecta un dispositivo a una VPN concreta, dicho dispositivo se ubica en la misma red en la que se encuentra el servidor. Se puede emplear una VPN en una gran cantidad de casos, los más habituales son para acceder a películas en streaming, encontrar las mejores ofertas de alojamiento y de vuelos, teletrabajar. Beneficios de emplear una VPN Como principales beneficios al emplear una VPN tenemos los siguientes: Acceso a contenidos restringidos Al conectarte a una VPN podrás acceder a contenidos que estén restringidos en la ubicación geográfica en la que te encuentres, accediendo a servidores de otros países. Aumento de la seguridad Si utilizas una red wifi pública, tus datos se encontrarán desprotegidos antes amenazas de ciberseguridad. Por tanto, en este caso te aconsejamos que emplees una VPN para así aumentar la seguridad de tus datos personales, como información de acceso, datos bancarios… Acceso remoto Actualmente, cada vez más empresas optan por la modalidad de teletrabajo, por lo que para ellas el acceso remoto es imprescindible. Este factor es mucho más accesible al contar con una VPN. Anonimato Gracias al uso de una VPN se puede navegar de forma totalmente anónima, ya que tanto la identidad como la actividad que se realice se ocultará, por lo que se evita el rastreo del usuario. ¿Es legal utilizar una VPN? Es totalmente legal emplear una VPN, aunque existen algunos países en los que no, como por ejemplo Bielorrusia, Corea del Norte, Zimbabue, Turkmenistán e Irak. Además, en Rusia, Emiratos Árabes Unidos, Irán, Omán, Turquía y China su uso está restringido. Concretamente, respecto a Sudamérica nos encontramos con que es legal emplear una VPN, pero existe un caso que cuenta con pequeñas restricciones: Configuración de una VPN en Sudamérica A priori puedes pensar que el proceso para conectarte a una VPN en Sudamérica es complicado y costoso, pero no, no es así, tan solo tienes que seguir los siguientes pasos: No tengas miedo en emplear una VPN en Sudamérica, ya que como has podido comprobar, a excepción de Venezuela, es totalmente legal y no cuenta con restricciones.

Seguridad, Servidores, Sistemas, Trucos

Convertir un fichero .pem a .ppk . Por ejemplo para usar como passkey en conexiones ssh.

/

Cuando quieres mejorar la seguridad de acceso a un recurso online, como un servidor, una de las maneras es con un certificado. Al generarlo, esto genera un fichero pem. Después, necesitas poder usarlo para conectarte, por ejemplo por ssh. Pero estas conexiones necesitan ficheros .ppk, llamados private key files. ¿Cómo conviertes un fichero .pem a un fichero .ppk? En este vídeo te lo enseñamos pero consiste en: En el ´vídeo también te mostramos cómo usarlo en una conexión de putty.

Diseño Web, Gestores de contenidos, Seguridad, Servidores, Sistemas

?BLOQUEAR una IP o el rango de un PAÍS, para proteger tu página web.

/

En ocasiones necesitamos bloquear la IP de un atacante a una página web. Porque nos esté añadiendo spam, malware, o ataques diversos a la web.Más frecuentemente aún es intentar bloquear un país o varios países (y esto se puede hacer por IPs asignadas a estos países). Algunos alojamientos tienen firewall (que puede implementar esto) …pero no todos. Podemos añadir firewalls a nuestras webs…pero no siempre ofrecen este servicio de manera gratuita. Y no siempre es interesante añadir plugins que no sean imprescindibles a una web. Hoy os enseñamos a hacerlo a través del fichero htacess de Apache. Cómo bloquear una IP o rango de IPs con el fichero htacess. Para poder bloquear una ip específica tenemos que añadir el siguiente código en el fichero htacess: Donde xxxx es la ip que queremos bloquear. Si quieremos bloquear un páis, necesitamos saber el rango de IPs de esos países. Para ello vamos a usar páginas que nos las proporcione: En esas páginas podemos elegir los países, y generar un listado de bloqueos usando el comando anterior. Os lo mostramos en el vídeo:

Código Worpdpress, Gestores de contenidos, Seguridad

Técnica de Enumeración de Usuarios en WordPress. Descubren tus administradores.

/

El número de ataques estos días a las páginas web de WordPress está siendo muy significativo.Hoy os dejamos una manera que tienen los hackers de descubrir los usuarios administradores de tu web de manera rápida: la enumeración de usuarios. Si alguien quiere probar descubrir el acceso de tu web “a lo bestia” (por fuerza bruta), necesita dos cosas: un usuario administrador y su contraseña. Si consiguen el usuario de manera fácil, tienen el 50% del trabajo hecho. Aunque no consigan entrar, estos ataques quitan recursos del servidor, que tiene que estar comprobar si son reales, si la combinación de usuario y contraseña coincide o no. Hay muchas maneras de descubrir los administradores de tu página en WordPress (otros días veremos otras), pero una de ellas es muy sencilla y es la que intentamos resolver hoy. Solución: enumeración de usuarios en WordPress. WordPress, por defecto, tiene varios sitios donde muestra usuarios: Las soluciones para estos problemas dependen de tu web, pero te damos ideas que suelen servir para todas: O un código en el functions.php de tu tema hijo o plugin de snippets (este no lo hemos probado) Os dejamos un vídeo que lo muestra.

Curiosidades TIC, Información Tecnica, Seguridad

PASSKEYS o Llaves de Acceso. EL FIN DE LAS CONTRASEÑAS. Te las explicamos

/

La semana pasada Google anunció que activaba las Passkeys para las cuentas privadas de Google. Ya se pueden generar passkeys para dispositivos en las cuentas no comerciales. Y el artículo tenía de título “El principio del fin de las contraseñas“. Esto realmente parece que va a ser así, muchas grandes empresas (Paypal, Apple, Google, Microsoft, Amazon, Intel, Visa,etc…) se han puesto de acuerdo, siguiendo las directrices comunes del Fido Alliance, para implementar estas Llaves de acceso y desechar las contraseñas definitivamente. ¿Por qué librarse de las contraseñas? Las contraseñas no son seguras, desde hace mucho tiempo. Por muchísimas razones. Por un lado las tienen dos partes (el usuario y el servicio), lo que multiplica las opciones de ataque. Además, una o las dos partes guarda dicha contraseña en Internet (peligroso). Por otro lado, dependemos de la contraseña que ponga el usuario y, como el cerebro humano no es perfecto, estos (en vez de usar gestores de contraseñas) usan contraseñas sencillas, usan siempre la misma, la escriben en post-it, las pegan debajo de los teclados….el ser humano es un gran defecto en este sistema. Se han hecho mejoras a este sistema, como la autenticación de múltiple factor (obligatoria en muchos servicios). Pero tiene sus fallos (SIM swapping etc), para muchos no es cómoda y, por lo tanto, todavía hay muchísimos usuarios que no la usan en los servicios donde no es obligatoria. Hay que tener en cuenta que un gran porcentaje de los intentos de acceso a las cuentas diariamente son ataques. Con el sobrecargo de tráfico que produce y los problemas económicos para las empresas al tener que contrarrestarlo y arreglar sus efectos. SOLUCIÓN: CIFRADO ASIMÉTRICO. CLAVE PÚBLICA Y CLAVE PRIVADA. En los años 1976-1977, gente como Ralph Merkel, Whitfield Diffie y Martin Hellman (algoritmo de Diffie-Hellman) y Ron Rivest, Adi Shamir y Leonard Adleman (algoritmo RSA) sentaron las bases para lo que se conoce como cifrado asimétrico. Este ya te lo explicamos un día, pero hemos hecho un vídeo resumen en menos de un minuto que os dejamos aquí: Este es el cifrado que se usan constantemente en Internet, cada vez que accedes a una web, usando certificados públicos y privados SSL tanto de la web como de tu navegador, para la comunicación entre páginaweb-navegador y navegador-páginaweb. Y este es el método que se usa en el objetivo del artículo de hoy: las Passkeys o Llaves de Acceso (no me gusta el nombre en español). Passkeys: cómo funcionan. Como hemos dicho más arriba las Passkeys se basan en el cifrado asimétrico. Cada vez que quieras usar un servicio (Gmail, Facebook, Instagram) por primera vez en un dispositivo, este te va a dar la opción, si no lo tienes, de crear un Passkey. Esto es importante, se guarda en tu dispositivo (también se puede guardar en el KeyChain de Apple y pronto en gestores de contraseñas). El servicio guardará una clave pública para ti en su sistema (que si has visto el vídeo anterior no importa que esté en Internet) y una clave privada en tu dispositivo. Esta clave privada no la sabe el usuario, sólo el dispositivo. no se transmite por Internet, no se comparte….acabamos de reducir muchísimo las opciones de ataque.Para primera generación de clave pública/clave privada en un dispositivo, tienes que darle autenticación extra, por ejemplo confirmarlo con autentificación biométrica, o con el patrón de desbloqueo de tu dispositivo, para asegurar que eres tú. Cuando vayas a acceder al servicio, de manera oculta para el usuarios, este mandará un mensaje cifrado con tu clave pública que sólo la clave privada de tu dispositivo puede descifrar. Si lo hace…entras. Así que, otra de las ventajas, es que sólo tienes que introducir el usuario para acceder a un servicio. El resto ocurre en el fondo, entre el servicio y el hardware de tu dispositivo. Acabamos de eliminar dos de los grandes problemas de las contraseñas: el usuario (y cómo gestiona las contraseñas) y el tener claves importantes en Internet (la pública es la única que está y no importa). Te lo explicamos en este vídeo. Esto hace preguntarse varias cuestiones….algunas de las cuales se irán respondiendo según se implante el sistema. Pero ya hay respuestas para otras. Lo que está claro es que el sistema viene para quedarse. Y que parece que va a disminuir las opciones de que accedan a nuestros servicios, y mejorar la experiencia de usuario.

Gestores de contenidos, Seguridad, Trucos

Desactivar el protocolo XMPL-RPC en WordPress por seguridad.

/

Hemos notado un gran número de ataques en clientes al protocolo xml-rpc de WordPress. Hoy os enseñamos a desactivarlo para evitar estos ataques. El protocolo xml-rpc lo activó hace unos años WordPress para comunicar e interactuar con tu WordPress vía http. Lo usan las aplicaciones móviles y ciertos plugins como Jetpack. Pero pronto se dieron cuenta “los malos” que ellos podían usarlo también. Y lo hacen con frecuencia. Así que parece lógico desactivarlo (salvo casos muy puntuales). Porque, aunque no te entre alguien por ahí, te pueden “tirar” la web con ataques de Denegación de Servicio DoS (los explicamos otro día). Y, si no se cae la web, al menos tantas peticiones a este protocolo la ralentizan (cosa que puede afectarte al SEO). Cómo desactivar el protocolo XML-RPC en WordPress. En Internet hay varios métodos, algunos no funcionan bien, otros no son ´óptimos. Obviamente puedes tener un plugin de seguridad que tenga esta función, y activarla. Pero siempre decimos que no nos gusta sobrecargar las webs con plugins si no son necesarios. Hay una solución que es añadiendo un código del tipo add_filter de WordPress. Pero a nosotros no nos ha funcionado. Y tampoco sería la mejor opción, porque estamos encargando a la web que realice estas tareas de denegar accesos, y eso es cargarla con más procesos. Lo ideal es que el servidor web rechace el acceso a ese protocolo antes de llegar a la web. En el vídeo bajo estas líneas os mostramos cómo hacerlo con Apache (la mayoría lo tendréis), pero también os dejamos un código (que no hemos probado) para hacerlo con Nginx. Apache. Añade esto en tu htaccess. Si tienes Nginx el código (para el fichero de configución) similar debería ser (recuerda hacer un reload) Te lo mostramos en el siguiente vídeo:

Seguridad, Sistemas, Soporte

Windows 10 y 11: cómo comprobar si tienes actualizaciones pendientes y actualizarlos.

/

Hoy compartimos un vídeo básico, pero es que todos hemos aprendido alguna vez y hay usuarios que pueden tener esta duda. Os hemos recordado varias veces la importancia de mantener actualizados vuestros sistemas: porque los atacantes usan fallos en esos tres sitios, y al actualizarlos tapas agujeros y reduces las posibilidades de que entre malware (virus, spyware, adware etc). También os hemos enseñando maneras de actualizar los drivers o el software de vuestro sistema. Hoy, en este vídeo, os enseñamos a comprobar si tenéis vuestro Windows actualizado, con los parches al día, y cómo instalar si tenéis alguno pendiente. Tanto en Windows 10 como en Windows 11.

Seguridad, Sistemas, Trucos

Cómo obtener la contraseña Wifi guardada en un ordenador Windows por línea de comandos.

/

Hace unos días estábamos en la oficina de un cliente montando nuevos ordenadores, y no nos había dejado la contraseña de Wifi. Como era más rápido que tratar de contactar con el cliente, sacamos la contraseña de uno de los otros ordenadores con Windows de la oficina que se había conectado a esa Wifi. En este caso lo hicimos por línea de comandos (terminal cmd o Powershell), que tiene la ventaja de poder mostrar la contraseña de cualquier wifi a la que se haya conectado ese ordenador, esté o no conectado a esa red en ese momento. Otro día os mostramos cómo hacerlo desde Windows directamente. Estos son los pasos que seguimos para obtener la contraseña. Obtener la contraseña de un Wifi guardada en un ordenador Windows por CMD. Donde vamos a sustituir Wi-Fi name por el nombre del perfil que hemos apuntado en el comando anterior. Veremos que nos aparece una pantalla con un campo llamado Contenido de la clave que contiene la clave de dicha Wifi. ´Como veis es MUY sencillo. Y además es otra razón para no dejar nuestro ordenador portátil desprotegido. Cualquiera puede obtener rápidamente cualquier contraseña de wifi almacenada en nuestro ordenador. Os lo mostramos en este vídeo:

Seguridad, Sistemas, Soporte

Correos de phishing detectados suplantando a la Agencia Tributaria. ¡No pinchéis!

/

Como todos los años cuando llega la campaña de la renta, hemos detectado una campaña de phishing (notificaciones que intentan que pinches en un enlace) con spoofing (suplantación de identidad) que aparenta venir de la Agencia Tributaria. Estos son algunos ejemplos de correos de ese tipo, muchos provienen del dominio correo.aeat.es . Esto es una manera de trabajar común en los ataques de phishing donde cambian una sola letra del correo para que parezca legítimo. Podéis ver más información sobre casos de phishing en la propia web de la Agencia Tributaria. Como siempre os damos las recomendaciones básicas sobre el phishing. Este tipo de agencias sólo mandan las notificaciones para que te conectes a su web y abras las notificaciones desde ahí. Sin enlaces y isn adjuntos. En caso de duda entra en tu panel de la Agencia con tu cuenta (DNI, certificado etc) y miras si tienes notificaciones. No pinches nunca en ningún enlace de un correo mínimamente sospechoso. En caso de duda, borra el correo. Tienes más consejos sobre correos fraudulentos en este vídeo.

Scroll al inicio