Seguridad

Compartir, Internet, Seguridad

Cuidado con las aplicaciones chorras que instaláis. En Internet si algo es gratis el precio ERES TÚ.

David G. Smyth (SmythSys) / 18 julio, 2019

Ya lo hemos explicado en otras ocasiones, en algún artículo. Y sabemos que estamos predicando en el desierto, que la gente no hará caso.Pero nos cansamos de intentar advertirlo. CUIDADO con las aplicaciones CHORRAS (lo siento, la mayoría lo son) que instaláis en Facebook, los móviles, ordenadores, tablets etc. Lo estáis haciendo sin comprobar las condiciones de uso ni los permisos que piden. Y de hecho aceptáis todos los permisos que piden. En Internet si algo es gratis el precio ERES TÚ. “Bua…a mi me da igual lo que cojan de mis datos”. Dice alguno. Si…hasta que empezáis a ver para qué lo pueden usar. Os damos una de miles ideas. Tus fotos pueden usarse para perfiles falsos de redes sociales para insultar, amenazar o compartir contenido pornográfico o pedófilo. Tus fotos pueden usarse para crear perfiles falsos copia de tu perfil. Y engañar, amenazar o timar a tu familia y amigos. Los contactos se pueden compartir/vender para acciones de spam/spoofing y scams. Pueden recoger tu geolocalización y saber qué haces cada día, dónde estás hoy, dónde estás cada día… Pueden ver tus hábitos de comportamiento e interacción con otros usuarios para luego usarlos en aplicaciones de Big Data y realizar campañas que afecten a usuarios. Pueden vender tus datos y sacar beneficio económico. Pueden usar tus datos y fotos para mejorar su software (estás haciendo el trabajo por ellos. Etc… ¿¿De verdad merece la pena por ver tu cara más vieja, o ponerte máscaras estúpidas???

Artículos subvencionados, Seguridad, Sistemas, Software

EaseUS Data Recovery Wizard. Programa para recuperar datos borrados y particiones perdidas.

David G. Smyth (SmythSys) / 2 julio, 2019

EaseUS Data Recovery Wizard es uno de los programas de recuperación de datos más completos del mercado. Con la suerte que dispone de una versión gratuita cuya única limitación parece ser el límite de datos a recuperar. 2Gb en la versión Free (cosa que me parece más que razonable), e ilimitados en las versiones de pago.Nota: Por defecto la versión Free recupera 500 Mb, pero si compartes el programa en Facebook o Twitter te dan 2Gb. El programa recupera todo tipo de archivos, y de todo tipo de dispositivos físicos, desde HDD, SSD, USB, RAID, servidores, cámaras, tarjetas SD etc. Funciona en Windows, tanto 10/8.1/8/7/Vista/XP como en Server 2013-2019, pero luego puede analizar todo tipo de particiones: FAT(FAT12,FAT16,FAT32), exFAT, NTFS, NTFS5, ext2/ext3, HFS+, ReFS Cómo usarlo. EaseUS Data Recovery Wizard es también muy intuitivo. Instala el programa, y ejecútalo. Data Recovery analizará las unidades y mostrará las que encuentre, tanto unidades como particiones borradas. Sólo tenemos que seleccionar la unidad o partición que queremos, y pinchar en Escanear. Data Recovery realizará un escaneo (de dos disponibles: rápido o profundo).Tras un tiempo ,que depende del tamaño del disco y de los ficheros que contenía, muestra el árbol de directorios (algo muy útil para recuperar en orden) y los ficheros borrados que encuentra. Selecciona los ficheros o directorios a recuperar, pinchar en recuperar, selecciona el destino (siempre es mejor que sea otra unidad para no perder datos) y ya está. Esto es otra de las ventajas de este programa: está muy bien pensado a efectos de usabilidad. No hace falta saber nada ni ser técnicos, es muy intuitivo y se puede usar sin tener conocimientos de informática. Conclusión. Decidídamente uno de los primeros programas a usar cuando queremos recuperar datos perdidos. Tanto por ser gratuito, como por su facilidad de uso y su potencia. Y si necesitas recuperar más de 2Gb, el coste de la versión Pro puede ser muy razonable si los datos a recuperar son importantes para tí.

Diseño Web, Gestores de contenidos, Seguridad

Firewall para .htaccess de Apache nG y firewall para WordPress BBQ: Block Bad Queries

David G. Smyth (SmythSys) / 28 mayo, 2019

Muchos de los ataques a páginas web son por scripts o robots que primero “inspeccionan” la web para ver sus vulnerabilidades. Preguntan cosas como la versión del gestor de contenidos, versión de php etc. Están buscando agujeros de seguridad, y ocurre constántemente. Por esto nos gusta este firewall que hemos encontrado para .htacess (Apache). El creador ha recopilado una serie de peticiones o queries que son maliciosas y con contenido potencialmente dañino (como eval(, base64_ ..), y ha creado una lista para que podamos bloquearlas. Lo interesante es que este bloqueo se realiza a nivel de servidor, antes del acceso a la página. Así que, al bloquear estos intentos de acceso, también mejora el rendimiento de la misma. nG Firewall, como decimos, es una lista de queries maliciosas que, en el momento de escribir el artículo está en su versión 6G. La manera de implementarlo en cualquier web es sencillo, añade la lista de exclusiones que da a tu fichero .htaccess. El Apache, al leerlas, se encargará de bloquear estos accesos indebidos.La lista está dividida en secciones, y puedes añadir todas, o sólo alguna de las secciones (son independientes). Aunque están muy probadas, mira el artículo de tu nG antes sobre las notas de implementación y su sección de troubleshooting. # 6G:[QUERY STRING] # 6G:[REQUEST METHOD]# 6G:[REFERRER] # 6G:[REQUEST STRING] # 6G:[USER AGENT] # 6G:[IP ADDRESS] Firewall ligero para WordPress: BBQ: Block Bad Queries Si tienes WordPress, es más fácil implementar este firewall. Puede servir tanto como capa añadida de seguridad a lo que tengas de firewall, o como solución ligera y sencilla para aquellos a los que el alojamiento o los conocimientos no les deje usar soluciones más complejas. BBQ: Block Bad Queries implementa el firewall nG, con añadidos que te permite gestionarlo de modo gráfico. Un plugin muy interesante a tener muy en cuenta.

Diseño Web, Gestores de contenidos, Seguridad

Proteger la carpeta de administrador de Prestashop con una contraseña adicional por .htaccess y .htpasswd

David G. Smyth (SmythSys) / 23 mayo, 2019

Prestashop tiene unas medidas básicas de seguridad, como ponerle un nombre aleatorio a la carpeta de administrador (adminXXXX). Pero si quieres asegurar algo más tu tienda, puedes añadir otra capa de seguridad: una contraseña adicional.Con el método de este artículo, cuando un usuario intente entrar en la dirección https.//tudominio.com/adminXXX el navegador mostrará una ventana emergente pidiendo un usuario y contraseña que es independiente de la web, se configura en el servidor. Así que, aunque te hayan descubierto los datos de usuario y contraseña de la web (de alguna otra manera), no podrían entrar en tu backend. Cómo proteger la carpeta de administrador. El proceso es el siguiente: Creamos un fichero llamado .htpasswd en algún lugar de nuestro servidor (fuera de las carpetas de la web es mejor, para que no puedan descubrirlo hackeando la web. El contenido está encriptado, lo podemos crear con una web como esta (o esta). Sólo copiamos el contenido que nos da al final, tras poner el usuario, la contraseña y dar a Create .htpasswd file. Una vez generado el fichero, vamos a la carpeta de administrador del Prestashop y creamos un fichero llamado .htaccess con el siguiente contenido.AuthType Basic AuthName “Acceso restringido con contraseña” AuthUserFile /home/user/.htpasswds/public_html/wp-admin/.htpasswd require valid-user AuthUserFile tiene la ruta del fichero .htpasswd Es importante que el usuario web tiene que poder leer el fichero htpasswd. Comprueba los permisos de htacess y htpassd si tienes errores. Ahora cuando intentes entrar te pedirá una contraseña previa. Buen método para mejorar la seguridad de tu Prestashop. Cuando hagas esto puede dejar de funcionar alguna función de tu web dependiendo de si esta requiere un fichero en ese directorio (no debiera pero cada web es diferente). Si es así, sólo hay que excluirlo. También por .htaccess podemos limitar el acceso sólo a una IP (o denegar otras). Por ejemplo: order deny,allow allow from XXX.XXX.XXX.XXX (tu ip) deny from all

Información Tecnica, Seguridad, Sistemas

3-D Secure (3DS) qué es y que tienes que hacer en tu tienda online para implementarlo.

David G. Smyth (SmythSys) / 8 mayo, 2019

Este año se activa la nueva directiva de servicios de pago en la Comunidad Europea, la PSD2 (Segunda Directiva de Servicios de Pago ). Todas las empresas en la Unión Europea deben cumplir con los estándares de regulación a partir del 14 de Septiembre del 2019. Aunque muchos emisores de tarjetas ya están implementando dicho servicio a partir de este mes de abril. Hoy queremos explicar cómo te afecta si tienes una tienda online o desarrollas páginas web, y cómo puedes cumplir dichos requisitos. Algunos términos a conocer: PSD2: Segunda Directiva de Servicios de Pago que entra en vigor el 14 de Septiembre del 2019. SCA (Strong customer authentication): Autenticación reforzada del cliente. La Directiva PSD2 incluye requisitos de seguridad que se deben cumplir. Entre ellos este SCA que obliga al menos a tener autentificación de doble factor. 3-D Secure (3DS) : Es la solución más usada por la industria para implementar el factor de doble autenticación. Cómo te afectan estos cambios si tienes una tienda online o las construyes. Básicamente, a partir de abril sería buena idea que se empezara a implementar el 3-D Secure en tus pagos con tarjeta. A partir de Septiembre será obligatorio. En otras palabras, a partir de Septiembre, si no tienes un sistema compatible con 3DS, no podrás cobrar con tarjeta (ni Paypal con tarjeta). En la práctica la mayoría de los sistemas que se usan en las tiendas en España son a través de terceros, y ya son ellos los que se encargan de habilitar 3DSecure. Todavía no tenemos sistemas que accedan directamente a las cuentas de cliente. Así que no tendrás que hacer nada. En concreto. Dependiendo de qué sistema tengas para cobrar con tarjeta. TPV del banco. Entiendo que entonces ellos se encargan del 3DSecure directamente. Paypal: En España los pagos se hacen a través de Paypal y ya se encargan ellos de gestionar el 3DS. No tienes que hacer nada.Fuera de España existe el PayPal Pro Direct, para realizar pagos directamente al cliente. En ese caso necesitan una integración con un cliente de CardinalCommerce .Pero debes actualizar tu módulo que use Paypal a las últimas versiones. Stripe o similar: las últimas versiones ya incluyen la opción de 3DS. Debes actualizar tus módulos. ¿Qué ventajas tiene para el comprador? Básicamente es seguridad del uso de tarjeta ante un fraude. Si te roban la tarjeta o tus datos, necesitarán la doble autenticación para usarla. ¿Que ventajas tiene para el vendedor? Aquí es muy interesante. El fraude de tarjetas debería disminuir, y por lo tanto la cantidad de pagos falsos que recibimos.Además ” los vendedores no deben esperar un aumento de las devoluciones de cargo. Esto se debe al hecho de que, con 3D-Secure, el banco emisor de la tarjeta asumirá la responsabilidad de las transacciones no autorizadas seleccionadas para pasar este control de seguridad. Es posible que también haya clientes que hayan olvidado el código de identificación o la contraseña de su tarjeta y abandonen el proceso de pago. Lo más importante es que el sistema 3D-Secure frustrará a los defraudadores. “

Seguridad, Smartphones, Telefonía, Trucos

El timo de las llamadas con prefijos extraños. NO CAIGAS.

David G. Smyth (SmythSys) / 24 abril, 2019

El timo de las llamadas con prefijos extraños, normalmente internacionales ha vuelto. Por lo que parece, la gente se ha acostumbrado a tener tarifas de llamadas ilimitadas, así que contestan a todas las llamadas sin mirarlas tanto como se hacía antes. CRASO ERROR. En qué consiste el timo. Básicamente lo que suelen hacer es realizar una llamada perdida desde estos números con prefijos internacionales. +225, +233, +234, +355 , +387…. Estos prefijos tienen una tarificación especial, no incluida en las tarifas ilimitadas, que varía de operador a operador. Pero una llamada a uno de estos números, incluido el establecimiento, puede salirte por 2,5€ el primer minuto, y luego cualquier cosa desde 0,8€/min – 2€/min Qué debemos hacer si tenemos una llamada perdida así. No devolver la llamada NUNCA como primera opción. Primero verifica de dónde es el prefijo. No vaya a ser que tengas un familiar ahí de vacaciones y tenga problemas jejeje. Si no conoces ese número, bloquéalo para que no te llame más. Pronto os hablaremos de otro timo con las llamadas: los sms para registrarse a servicios Premium.

Diseño Web, Legalidad, Seguridad, Trucos

Cómo ver qué cookies usa una página web con el Inspector de Chrome.

David G. Smyth (SmythSys) / 27 marzo, 2019

Hoy os explicamos cómo ver que cookies usa una página web, usando el Inspector de Chrome. Os puede interesar por temas técnicos, por seguridad (comprobar qué información guarda sobre ti la web) o, si tienes una web, para poner dicha información en la Política de Protección de Datos o el consentimiento de Cookies. Usaremos el Inspector de Chrome pero el de Firefox es similar. Y también podemos usar dicho acceso para borrar selectivamente las cookies. Cómo ver las cookies de una página web. En el Inspector vamos a ir a Application > Storage > Cookies. Podemos verlo en este vídeo con varios ejemplos de webs.

Compartir, Noticias Informáticas, Redes Sociales, Seguridad

Enorme FAIL de Facebook. Ha guardado contraseñas en texto plano durante años.

David G. Smyth (SmythSys) / 25 marzo, 2019

Hace unos días la gente de KrebsOnSecurity sacaron un artículo en el que afirmaban que Facebook lleva almacenando contraseñas en texto plano desde hace años, algunas desde el 2012. Facebook lo ha confirmado en este artículo de hace 4 días. Para el que no sepa que es esto, es una cagada monumental, sobre todo para una empresa online como Facebook. Texto plano son ficheros que cualquiera puede leer, sin ningún cifrado ni contraseña. Como si guardas un documento de texto tu con el bloc de notas. Desde hace años las contraseñas en todos los sistemas viene cifradas, para que nadie pueda descubrirlas sin, al menos, algo de trabajo. Pero estos ficheros contenían contraseñas de usuarios sin ninguna protección. Cualquier empleado podía abrir el fichero, copiar las contraseñas y enviarlas, revenderlas etc. ¿A quién afecta este fallo? Según Facebook a miles de usuarios de Facebook, Facebook Lite e Instagram: We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users . La empresa notificará a los usuarios afectados para que cambien su contraseña. ¿Que se puede hacer? Lo primero cambiar la contraseña. Puedes esperar a ver si eres uno de los afectados y que Facebook te lo notifique…pero yo recomiendo cambiarla ya. Aunque sea por “higiene” informática. Lo siguiente es lo que recomienda la empresa en el artículo anterior y que llevamos nosotros recomendando desde hace años: Usa gestores de contraseñas para poder guardar contraseñas diferentes para cada servicio y difíciles de adivinar. Activa la doble autenticación. Yo no tengo que preocuparme de este filtrado porque hace tiempo que uso Latch para proteger mi Facebook. Así que, aunque descubran mi contraseña, no pueden entrar sin el código de mi aplicación. Esto da una tranquilidad enorme y te permite “pasar” de estos fallos de seguridad de las empresas. Eso si…. sorprende y mucho un fallo de seguridad tan garrafal en una empresa tan grande.

Buscadores, Compartir, Internet, Seguridad, Trucos

Buscadores web seguros para niños.

David G. Smyth (SmythSys) / 7 marzo, 2019

Saber qué es lo que pueden estar viendo sus hijos en Internet, o los resultados que les muestran los buscadores es una preocupación constante para los padres. Por ello hoy os dejamos buscadores web seguros para niños. Podéis poner esos buscadores como buscadores principales en vuestros dispositivos, en los perfiles de los niños. Así podéis estar seguros que los resultados son adecuados. Buscadores web seguros para niños. Os vamos a dejar algunos ejemplos. La mayoría de ellos están basados es Google SafeSearch, con una opción de Google que permite crear buscadores personalizados: Google Custom Search.En el vídeo os mostramos el uso de alguno de ellos. Kiddle: https://www.kiddle.co/ Kidrex: https://www.alarms.org/kidrex/ Wackysafe: https://wackysafe.com/ Safesearchkids: https://www.safesearchkids.com/ Kidszsearch: https://www.kidzsearch.com/ Buscador Infantil: http://www.buscadorinfantil.com/ Bunis: http://bunis.org/

Android, Seguridad, Smartphones

Bloquear números en Android sin aplicaciones. Listas negras.

David G. Smyth (SmythSys) / 13 febrero, 2019

Hace un tiempo os hablamos de aplicaciones para controlar las llamadas y bloquear las que no queremos. Pero esto es para gente que recibe muchas. Los que recibimos menos, podemos usar las listas negras que vienen en Android por defecto. Esto es perfecto para bloquear números de operadoras de los que nos llaman a la hora de la siesta. Cómo bloquear un número en Android. Esto depende porque, si habéis tenido varios teléfonos sabréis que hay muchas versiones de Android y muchas distribuciones diferentes dentro de cada versión. Así que vamos a explicarlo de manera genérica y los pasos pueden variar en cada versión (pero no la lógica). Bloquear desde el registro de llamadas. Una vez que has recibido una llamada, puedes ir al registro de llamadas. Ahí, normalmente pulsando encima del número unos segundos, puede ver un menú adicional con más opciones, entre ellas Bloquear. Pincha ahí, confirma y ya está añadido el número a la lista negra. Bloquear desde contactos. Si el número es un contacto, verás que la opción de Bloquear aparece al entrar a ver los detalles del número. O directamente o en Más o Avanzadas. Desde Ajustes entrando en la lista negra. Esto seguramente es lo que más cambie entre versiones. En la mía, un Xiaomi, está en Ajustes> Aplicaciones del Sistema>Seguridad>Lista de bloqueo Ahí te permite activarlo y, en Blocked numbers, añadir o editarlos.