Seguridad

Navegadores, Seguridad, Trucos

Guardar las contraseñas en el navegador con “recordar contraseña” no es seguro. Os lo mostramos.

Seguimos viendo a la gente (clientes, lectores y gente que comenta en grupos de Facebook) guardar las contraseñas en el navegador. Algo que nos sorprende mucho. Ante la pregunta de “dónde guardas tus contraseñas” muchos responden “en el navegador”. Y si, es muy cómodo, pero creemos que no se dan cuenta de lo fácil que es sacar esas contraseñas. Es muy inseguro, y sólo debería hacerse en casos en los que la web no tiene importancia. Nunca en sitios web con información importantes (correo, redes sociales, medios de pago …). Y como la mejor muestra de esto es una demostración, os hemos grabado un vídeo de cómo se puede sacar la contraseña que está guardada en un navegador (cualquiera, Chrome, Firefox, el que sea…). He cronometrado y tardamos algo menos de 10 segundos en sacar una contraseña con este método. Y lo peor es que no necesitamos saber el usuario, ya nos lo da el navegador. Os podéis ir un segundo de vuestro puesto de trabajo u ordenador, y alguien que quiera la contraseña puede descubrirla, y volver a dejar todo como estaba sin que te des cuenta. Conclusión: No guardéis contraseñas mínimamente importantes en el navegador.

Noticias Informáticas, Redes Sociales, Seguridad

Timos a través de Bizum como el de la Seguridad Social.

Este verano, aprovechando el problema de los ERES, los pagos de la Seguridad Social etc se han estado propagando nuevos timos de la modalidad vishing. En este caso usando la plataforma de pagos Bizum y “supuestos” pagos de la Seguridad Social.Como la gente necesita dinero, y está desesperada, es el caldo de cultivo perfecto para estas estafas. Bizum es un método de pago por el que se puede asociar la cuenta bancaria a un numero de teléfono y hacer un pago a ese número, a otra persona, a través de la aplicación. Se está volviendo muy común entre particulares (muchos bancos no permiten a las empresas que los usen). Aprovechando esto, los “maleantes” han aprovechado esta aplicación y los ERTEs. El timo era el siguiente: Una persona, normalmente afectada por ERTE o con problemas con la Seguridad Social, recibe un mensaje de una supuesta trabajadora de la SS, indicando que está pendiente un pago, y que se va a usar la aplicación Bizum. Para poder recibir el pago, tienen que darse de alto en esta aplicación. Más tarde, reciben otro mensaje para realizar una transferencia de “confirmación” de la aplicación. Cuando la persona pincha en el enlace, se hace un pago a los estafadores. En verano se detuvieron a personas que estaban realizando estas estafas, pero este timo lleva ya tiempo realizándose, con diferentes excusas: Hace unos días salieron otros casos sobre “supuestas” ayudas a las tasas escolares. Cómo prevenir estos timos. Daros cuenta que las instituciones como la seguridad social no usan métodos de pago como Bizum. Es obvio..son inseguros (como véis) y además, ni vana poner un móvil asociado a una cuenta. En caso de duda, primero investigad. En seguida se ven timos como este con sólo “googlear”. Bloquead el número, no respondáis ni deis ninguna información. Recordad que, si habéis sido objeto de este timo, es que seguramente alguien ha visto que estabais en una situación económica necesitada. Han estado haciendo “ingeniería social”. No compartas esa información en Internet.

Diseño Web, Gestores de contenidos, Seguridad

Los plugins de backup, copia de seguridad, que más usamos en WordPress

Hace unos días un cliente nos ha contactado porque la empresa que les gestionaba la web no les había configurado una copia de seguridad. Y querían una solución. Les contamos lo que vamos a contaros hoy aquí. Las copias de seguridad de una web en WordPress puedes tenerlas de dos maneras: Si tienes control de tu servidor (un servidor dedicado) puedes tener sistemas de copia de seguridad externos, con copias incrementales, con gestores de copias etc. Por ejemplo nosotros tenemos un servidor dedicado a las copias de seguridad, con un programa que gestiona las mismas, así como sus recuperaciones.Es más cómodo, más seguro y es independiente de WordPress. Funciona aunque éste no funcione o esté dañado, y permite recuperar las páginas de nuevo independientemente de tu CRM. Lo más normal es que no cumplas el punto 1, porque estés usando un alojamiento (hosting) compartido. En ese caso, puedes usar plugins de backup (copia de seguridad). De hecho, siempre recomendamos hacerlo aunque dispongas del punto 1. Porque nunca hace daño tener dos sistemas de respaldo. Y porque los propios usuarios pueden usar este sistema y, muchas veces, recuperar la web, o hacer copias antes de un cambio, sin tener que llamar a los técnicos. La copia de seguridad que se configure en el plugin puede ser externa (mejor) o interna (en los propios directorios del alojamiento). La segunda opción es peor…pero a veces no queda más remedio. Hoy os hablamos de los plugins de copia de seguridad que más usamos en diferentes proyectos para que podáis tenerlos como referencia rápida. Plugins de backup para WordPress. BackWPup: Es el plugin que más usamos, y más tiempo llevamos usando, sin duda. Te permite crear diferentes tareas perfectamente configurables. Por ejemplo puedes crear una tarea mensual, una semanal, una completa, una sólo de base de datos… las opciones son enormes.Puedes elegir de qué hacer la copia (ficheros o base de datos), dónde (en el alojamiento o en sistemas externos), cada cuanto, excluir ficheros o directorios y mucho más.Además, puedes crear alertas que te avisen cuando haya errores.Restaurar: te permite descargar la copia de seguridad y subirla manualmente. Algo que para la mayoría de los usuarios puede ser peor…pero a los desarrolladores nos gusta. Updraft Plus: nuestra segunda opción. Cuando el anterior no funciona porque la tarea se queda colgada, usamos este. Está pensado para usar servicios externos pero también permite hacer copias de seguridad locales. Si quieres uno sencillo de usar puede ser una buena opción porque permite crear respaldos, y restaurar, con un sólo clic. Y luego también te deja personalizarlos al máximo.Rápido, fácil y sencillo. Por eso tiene tanto éxito.Restaurar: puedes restaurara ficheros o base de datos de manera conjunta o independientemente y desde la interfaz del plugin. BackupGuard: el plugin permite hacer copias de seguridad locales y en la nube, y restaurarlas de manera sencilla. Con muchas opciones de respaldo. Vaultpress: sistema de copia de seguridad de Jetpack. Es de pago pero permite copias de seguridad a tiempo real o diarias y puede ser interesante para webs críticas. Estos son de los que más nos fiamos y hemos probado. Si, en el futuro, probamos más, los incluiremos aquí.

Correo, Seguridad, Sistemas

Regla anti spoofing de nombres en Office 365

Hace unos días escribimos cómo crear una regla anti spoofing de dominio para correos de Office 365. Spoofing de dominio es el caso en que suplantan una dirección de tu organización, de algún dominio que te pertenezca. La dirección que aparece en el remitente es una dirección aparentemente tuya. Es el más típico y peligroso (porque para identificarlo hay que leer las cabeceras del correo). Pero existe otro tipo de spoofing que también es dañino en las organizaciones por “culpa” de Outlook: el spoofing de nombres (Display Name Spoofing). En este caso el correo llega de una dirección externa y, debería ser fácil de identificar. PERO Outlook oculta la dirección de correo del remitente y muestra sólo el nombre. Lo que aparece en el campo FROM. Los usuarios sólo ven el nombre, a menos que pinchen en él. Y lo malo es que tu puedes crear una cuenta de correo cualquiera y ponerte el nombre que te de la gana. Es decir, que tu dirección puede ser Pepito@gmail.com y en tu campo De: (From) puedes poner que eres Bill Gates, o Donald Trump. No requiere el más mínimo conocimiento. Si este cambio lo haces con el nombre del director de una empresa, y la persona que lo recibe no comprueba la dirección de e-mail, podemos tener un disgusto. No confiemos en la suerte y automaticemos estas alertas para reducir riesgos. Cómo crear la regla anti spoofing de nombres. Va a ser muy similar a las que creamos en el artículo anterior: Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange En la barra de la izquierda pincha en Flujo de Correo. En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla. Pincha en Más opciones debajo de las condiciones. Ponle el nombre que quieras (anti spoofing o similar). En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar. Pincha en “Agregar condición“. Escoge “Un encabezado de mensaje”->”Incluye cualquier de estas palabras” . Ponemos en el campo (“El encabezado”) From (tiene que estar en inglés porque viene así en el encabezado) y en “Incluye” ponemos el nombre de la gente que pueden ser impersonalizadas (los directivos por ejemplo). Pon todos porque se va a mirar si es uno O el otro (no a la vez). Pincha en “Agregar condición“. Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”. Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula el nombre de un directivo de la empresa y se envía a alguien de nuestra organización). Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]). Pinchamos en “Agregar Acción“. Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“. En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo: En “Seleccionar uno” escoger “Encapsular”. Hecho…ya tenemos una protección ante el spoofing de nombres.

Artículos subvencionados, Seguridad, Sistemas, Trucos

Conectar un firewall Fortigate con Windows Active Directory.

Si has instalado en tu red un firewall de Fortigate (muy recomendable) y tienes un Windows Server, es interesante conectar ambos. De esta manera, por ejemplo, puedes crear usuarios de VPN que sean los de Active Directory, o poner reglas de bloqueo o de exclusión para grupos de AD. Te permite no tener duplicidad de cuentas, y gestionar las mismas desde el servidor.Hoy os enseñamos a conectar ambos sistemas. Cómo conectar un firewall Fortigate con Windows Active Directory. Lo que tenemos que hacer es entrar en el Fortigate y: Acceder a User & Device > LDAP Servers > Create New. Poner el nombre, la IP del servidor y el puerto (389 por defecto). En Common Name Identifier poned: sAMAccountName En Distinguished Name poned: dc=dominio,dc=local Nota: supongo que es dominio.local tu dominio Bind Type: Regular Pon tu usuario en format Administrador@dominio.local Pon la contraseña Si le das a Test Connectivity o Test User Credentials debería dar un tic verde de Successful. Con esto ya debería estar. Dale a Ok y lo guardas. Nota: En teoría puedes poner en Common Name Identifier: cn (como viene por defecto), y entonces el username tiene que ser en formato DN (cn=Administrator,CN=Users,DC=empresa1,DC=dominio,DC=local), pero a mi me funcionó la configuración anterior mejor. Una vez añadida la conectividad con el servidor de Active Directory, puedes ir a User & Device > User Groups para crear los grupos que necesites usando el active directory (por ejemplo usuarios de VPN, usuarios con permisos especiales etc). Cada grupo puede usar un CN del AD diferente. Para más información de lo que puedes hacer con esta conexión con el AD puedes ver este enlace.

Niños, Seguridad

Control parental gratuito con OpenDNS.

Hace unos días un amigo me llamó porque sus hijos habían venido corriendo porque “un señor estaba diciendo cosas raras en el ordenador”. A través de un juego (de los que juegan todos los chicos a esas edades), un jugador les había pasado un enlace por chat. Ese enlace llevaba a una web de chats aleatorios, y les debió tocar un desequilibrado. Obviamente el tema era preocupante, y una llamada de alarma para implantar una solución: un control parental. Como consejo general, todos los que tenemos niños deberíamos implementar controles en los dispositivos con conexión a Internet. Ellos no son conscientes de los peligros, ni de los contenidos no adecuados existentes. Con unas simples limitaciones evitamos problemas.Esto (en mi opinión), también debería implementarse para restringir su uso (puede llegar a ser una adicción para ellos).Como padres es nuestra labor establecer límites. Cuando me puse a mirar cómo estaba el tema del control parental, vi que había cambiado respecto a artículos que escribimos hace años. Ahora la mayoría de programas son de pago. Solución: control parental cambiando los DNS a OpenDNS. La solución por la que nos decantamos fue cambiar los DNS (podéis ver aquí qué son los DNS) por los de OpenDNS (ahora propiedad del gigante de las comunicaciones CISCO). ¿Qué es lo que pretendemos con esto? Como los DNS son “las páginas amarillas” a las que van los dispositivos para traducir nombres de dominio a direcciones IP (que son las que usan los ordenadores), se pueden usar muy eficazmente para bloquear ciertas páginas y direcciones de Internet. Nosotros cogemos gestión de esas páginas amarillas y censuramos (de hecho OpenDNS tiene un gran listado de direcciones censuradas) las que no queremos. ¿Cómo se implementa? Siempre que cambiamos los DNS tenemos dos opciones: Cambiarlo en el router (o dispositivo que haga el DHCP, porque también asigna los DNS de los equipos). Si lo hacemos ahí, automáticamente todos los dispositivos de nuestra red tendrán los nuevos DNS. Es más sencillo, más cómodo y más difícil de quitar (porque los niños tendrían que saber modificar la configuración del router).Si no queremos algún ordenador con control parental, sólo tenemos que cambiar los DNS de ese dispositivo.Nosotros, en este caso, optamos por el segundo método porque el router casero de Vodafone no dejaba cambiar los DNS.Cómo hacerlo en el router depende de cada modelo, así que no lo mostramos. Pero es entrar en la configuración avanzada, LAN y DHCP. Ahí veréis los DNS que asigna junto a la red y el rango de IPs. Cambiarlo manualmente en cada equipo. Es más laborioso en teoría. Pero en una casa los niños usarán pocos dispositivos. El gran problema de este método es que, cuando el niño aprende informática, puede deshacer el cambio (entonces tendríamos que crearles cuentas que no sean de administrador y no darles permiso a sus cuentas). OpenDNS: ventajas. Como hemos dicho la solución que escogimos fue OpenDNS. Porque es gratuita, porque lleva tiempo, es muy fiable y porque permite personalizar los DNS (añadir restricciones o eliminarlas). Sus DNS tienen listados de sitios no adecuados (que personalizan y actualizan). OpenDNS tiene dos modalidades gratuitas. En la sencilla OpenDNS Family Shield, no tenemos que crear cuenta. Sólo cambiar los DNS de los equipos a los “protegidos”, y dejar que estos nos protejan. Aquí tenéis un manual. En la segunda opción,OpenDNS Home, la que recomendamos. tienes que crear una cuenta gratuita (registrarte). Pero merece la pena porque con tu cuenta puedes poner el nivel de protección, habilitar o deshabilitar tipos de restricciones, y bloquear (o permitirlos) sitios específicos.Esta es la que mostramos en el vídeo. La configuración es parecida a la anterior, pero los DNS cambian. Aquí podéis ver cómo configurar OpenDNS en varios dispositivos: https://www.opendns.com/setupguide/ Podéis comprobar que estáis protegidos con OpenDNS intentando entrar en los siguientes sitios (que deberían producir un aviso de bloqueo por CISCO. https://welcome.opendns.com/ http://www.internetbadguys.com/ Vïdeo sobre cómo usar OpenDNS como control parental. Aquí os dejamos un vídeo sobre cómo usar OpenDNS como control parental.

Información Tecnica, Seguridad, Sistemas

Diferencia entre tap y tun en OpenVPN

Cuando queremos crear una conexión de VPN, y elegimos como solución (buena) OpenVPN, tenemos una decisión que tomar: usar tap o tun. El problema es que no se explica bien estas opciones, ni las ventajas de cada una. Hoy os lo explicamos. ¿Qué diferencia hay entre una configuración tap o tun? TAP. Al elegir la configuración TAP, lo que se hace es crear una “interfaz virtual de Ethernet” . Esta es la interfaz que crea el programa de OpenVPN cuando lo instalas en tus interfaces de red y puedes ver porque pone TAP y se activa al conectarse la VPN. Es, por tanto, una VPN de nivel 2 en el modelo OSI, de la capa de enlace de datos. Esta VPN crea un bridge entre dos LANS, y funciona en parte como un switch. Tiene las mismas ventajas, mucha potencia, puedes hacer casi cualquier cosa…pero puede haber muchos problemas de rutas. TUN. Tun es un enlace punto a punto virtual por IP. Es, por lo tanto una VPN de nivel 3 en la capa OSI (nivel de red). El problema es que es un enlace punto a punto…es decir conecta dos máquinas y no dos redes. ¿Cuándo debe usarse Tap y Tun al configurar una VPN de OpenVPN? La decisión final es del técnico, pero os dejamos varios puntos para que podáis realizarla. Tun está pensado para conectarse a otra máquina, sólo a una. No a recursos de red. Si quieres conectarte a un servidor solamente es una buena decisión. Con Tun puedes acceder a otros recursos de red haciendo que parezca que están en el servidor, pero no es su función. Tap permite conectarse a otra red, incluidos todos los recursos de esa red (clientes, impresoras etc). Si necesitas acceder a varios recursos o servicios de la red remota, debes elegir tap. Tap introduce algo más de carga en la red porque incluye las rutas de cada red. En tun, como la conexión es punto a punto, no se necesita toda esa información. Tap depende mucho de las configuraciones y enrutado de red. Pueden surgir problemas de rutas que son difíciles de identificar y de resolver. Por ejemplo un error muy común en España es tener la red del servidor en la misma red (192.168.1.X) que la de los clientes de VPN (192.168.1.X). En tun esto no da tantos problemas. Si no te funciona bien uno, prueba otro. Nosotros configuramos una VPN por TAP y la interfaz tap estaba dando retardos al abrir y cerrar conexiones, y al levantarse. Fue cambiar a tun y ya no tuvimos ese problema y la VPN iba muy rápida (en comparación). Si quieres algo rápido y menos complejo, usa tun. Tap abre una LAN a la otra (dependiendo de tu configuración). Esto puede introducir fallos de seguridad. Esperemos que os sirva para decidir.

Internet, Redes Sociales, Seguridad

Cómo denunciar la suplantación de identidad y robos de perfiles en las redes sociales.

Casi todos habréis oído alguna vez algún caso de los que vamos a hablar hoy, dos ataques muy comunes a los usuarios de las redes sociales. Ambos un delito que atentan al derecho a la propia imagen, artículo 18 del código penal: Suplantación de identidad. De repente aparece una cuenta que no es la tuya, pero tiene tu foto, nombre etc y actúa entre tus contactos como si fueras tú. Penado hasta con 3 años de cárcel por el artículo 401 del código penal.¿Por qué pueden querer hacerlo? Os dejamos algunas ideas aquí. Robo de perfil. Alguien consigue tu contraseña, la cambia, y ya no tienes acceso a tu cuenta en esa red social. Afortunadamente la mayoría de las redes sociales conocen el peligro de estos ataques a sus usuarios y tienen sitios donde podemos denunciar dichas actividades para borrar las cuentas suplantadas y recuperar las robadas. Nuestra intención hoy era tener dichos enlaces en un mismo artículo para poder encontrarlos rápidamente. Denunciar cuentas en Facebook. Denunciar cuentas en Linkedin. Denunciar cuentas en Twitter. Denunciar cuentas en Instagram. Denunciar cuentas en Tuenti. Aunque no es una red social, es un conjunto de herramientas con las que colaboramos así que os dejo cómo denunciar suplantación de identidad en Gmail aquí: https://support.google.com/mail/troubleshooter/2402620?hl=es-419&ref_topic=7065107 Si no consigues nada por estos métodos, puedes denunciar a las Fuerzas y Cuerpos de Seguridad del Estado (otro día pondremos un enlace con los diferentes cuerpos de delitos informáticos). Cómo evitar estos ataques. Para evitar que te roben el perfil el mejor método es seguir los conejos que siempre os dejamos. No uses siempre la misma contraseña en varios servicios. Si roban uno tienen acceso a todos. Usa doble autenticación en los recursos importantes. Usa contraseñas seguras (longitud de más de 8 caracteres, letras mayúsculas y minúsculas, letras, números y símbolos). No pinches en enlaces acortados ni en emails o mensajes de redes sociales sospechosos. Recuerda lo que es el phishing. Cuidado con las redes públicas. Usa cifrado (https) en las conexiones. Cuidado con las solicitudes de amistad que aceptas en las redes sociales, no invites a gente que no conozcas a tu perfil. No facilites datos personales a nadie. Aprende a diferenciar páginas falsas (pharming). Lee bien las condiciones de contratación y política de privacidad de los sitios a los que te conectes.

Internet, Seguridad, Trucos

Cómo activar doble autenticación en Paypal

En estos días (en el momento de escribir esto estamos confinados por pandemia de coronavirus) los pagos en línea son cada vez más comunes. Cuando aumenta la frecuencia de pagos online, aumenta también el riesgo de fraude. Por ese motivo, al comienzo de esta crisis me di cuenta que tenía Paypal “abierto” sólo con usuario y contraseña. No era aceptable Los sistemas críticos: medios de pago, banco, gestiones de empresa etc deben estar protegidos al menos con doble autenticación. No hacerlo es irresponsable y buscarse problemas. Las contraseñas hace tiempo que dejaron de ser seguras. En el momento de escribir el artículo anterior sobre 2FA (doble factor de autenticación) pues que era algo latoso operar con este sistema. Ya no, ahora es muy cómodo. Por eso hoy os enseño a activar el doble factor de autenticación en un método de pago tan usado como PayPal. Cómo activar 2FA en Paypal. Es muy sencillo. Ve a la rueda dentada -> Centro de Seguridad y pincha en Verificación en dos pasos (yo lo tengo en Actualizar porque la tengo activada). Ahí puedes elegir entre recibir SMS en el móvil (menos seguro) o usar una aplicación de terceros (recomendado). Si quieres la aplicación de terceros y tienes el SMS activado desactiva la primera. Cuando elijas la opción de Aplicación de Terceros te llevará a un asistente para configurarla. Puedes usar la que quieras, una muy cómoda es Google Authenticator. Yo tengo dos aplicaciones de este tipo, Google Authenticator (que aceptan muchos servicios) y Latch (gran proyecto español). Abre tu aplicación y escanea el código QR que te aparece, después tu aplicación dará un código que tienes que introducir en la casilla del Paso 2 de configuración. Una vez hecho esto, tendrás ambos sistemas conectados. Te recomendamos que configures algún método alternativo como las preguntas de seguridad, por si acaso la aplicación falla. A partir de ahora, cada vez que vayáis a iniciar sesión o a realizar una operativa en Paypal te pedirá el código (además de las contraseña inicial). Sólo tienes que abrir Google Authenticator y poner el código. Recuerda que los códigos caducan a los X minutos (creo que 5). Espero que muchos activéis este servicio. Más info aquí.

Noticias Informáticas, Seguridad

Línea 017. Teléfono gratuito de ayuda en Ciberseguridad de INCIBE. Particulares y empresas.

Somos fans de los portales informáticos de organismos públicos como OSI o INCIBE, compartimos muchas noticias sobre sus servicios y consejos. De hecho estamos apuntados a sus correos informativos. Hace unos días nos hemos entrado de este servicio gratuito para empresas y particulares que nos parece muy útil y queríamos compartir con vosotros. La línea 017 es una línea telefónica a la que podéis llamar si tenéis cualquier duda sobre temas de seguridad informática. Esto es lo más importante, un sitio al que cualquier ciudadano, ya sea particular o de empresa, pueda llamar para resolver una duda sobre seguridad. Con el repunte de ataques de spam, ransomware y similar, cualquier ayuda para proporcionar información es bienvenida. El servicio es confidencial y gratuito.

Scroll al inicio