Cómo crear una colección de sitios en SharePoint Online via PowerShell

SharePoint Online permite crear colecciones de sitios facilmente desde el Centro de administración de SharePoint (https://TENANT_NAME-admin.sharepoint.com/_layouts/15/online/AdminHome.aspx). Pero hay casos en los que los administradores decidimos hacerlo via PowerShell, ya sea porque necesitamos crear múltiples colecciones al mismo tiempo, o para utilizar un template de sitio no disponible desde el Centro de administración de SharePoint. Recordemos que los templates más populares son: Blank Site: STS#1 Team Site: STS#3 or STS#0 Teams Site (Grupo de Office 365): Group#0 Publishing Site: CMSPUBLISHING#0 / BLANKINTERNET#0 Communication Site: SITEPAGEPUBLISHING#0 Antes de comenzar debemos descargar SharePoint Online Management Shell, que nos permitirá conectar con nuestro tenant de Office 365. Una vez descargada, la iniciamos y ejecutamos el primer cmdlet. Recuerden reemplazar microsoft365demo por el nombre de su tenant, que lo pueden encontrar lanzando el centro de administración de SharePoint desde el portal de Office 365. Existen algunas alternativas adicionales para iniciar la conexión con SharePoint Online, pero ésta es la única que podremos usar si tenemos la autenticación multifactor habilitada. Además, no require ingresar la clave del administrador de SharePoint directamente en la consola de PowerShell. Una vez iniciada la sesión ya podemos crear nuestra colección de sitios. Para este ejemplo vamos a crear la colección site1, usando el …

Read moreCómo crear una colección de sitios en SharePoint Online via PowerShell

Agregar un alias a las direcciones de e-mail de Teams

Teams ofrece la posibilidad de enviar un e-mail directamente a un canal. Para ello, primero debemos obtener la dirección de nuestro canal, haciendo clic en los tres puntos al lado del nombre, y seleccionando Obtener dirección de correo. Luego de algunos segundos Teams nos brindará la dirección de e-mail de ese canal. Tengan en cuenta que si seleccionan Quitar correo electrónico, al configurarlo nuevamente obtendrán una dirección diferente. Dentro de configuración avanzada podemos restringir quiénes tienen permitido enviar e-mails al canal (cualquier persona, solo miembros de este equipo, solo dominios específicos). Si el mensaje es enviado desde una dirección o dominio no permitidos, recibiremos un mensaje de rechazo como el que se ve a continuación. Por el contrario, si el mensaje es aceptado, aparecerá automáticamente en el canal de Teams. Pero como habrán notado, la dirección de e-mail del canal no es fácil de memorizar. Al momento de publicado este post, Teams no soporta la personalización de las direcciones de e-mail de los canales. Hay una conversación abierta en los foros de Teams sobre esta funcionalidad. Crear un contacto en Office 365 Sin embargo, hay una alternativa. Desde el centro de administración de Exchange Online podemos crear un contacto dentro de la organización, y asignarle un …

Read moreAgregar un alias a las direcciones de e-mail de Teams

Descubrí cómo Microsoft Teams puede ayudar a mejorar la colaboración de tu empresa

Cuando se trata de colaboración en tiempo real, inmediatamente se nos vienen a la cabeza distintas plataformas: correo electrónico, mensajería instantánea, intranets corporativas, almacenamiento de archivos, administradores de proyectos, entre otros. En el mundo Microsoft, estas plataformas son parte de la oferta de productos de Office 365: Exchange Online, SharePoint Online, OneDrive, Skype for Business, Planner, etc. Pero hay algo que hasta hoy no se había logrado eliminar, y era la necesidad de correr todos estos programas por separado, pasar de uno a otro constantemente, y obligar al usuario a recordar en cuál de ellos había tenido esa conversación con su colega hace algunos meses atrás. Acá es donde entra a la cancha Microsoft Teams. Teams es una plataforma que integra mensajería instantánea (chats), reuniones, archivos, estado de proyectos, todo en un solo lugar. Y esto le permite al usuario enfocarse en lo que realmente importa: su tarea. Equipos y canales Teams utiliza el concepto de equipos y canales. Piensen en los equipos como su actual grupo de trabajo, y en los canales como proyectos en los que estén trabajando. Los equipos pueden ser privados (solo los administradores pueden agregar miembros) o públicos (cualquier persona en la organización puede unirse). …

Read moreDescubrí cómo Microsoft Teams puede ayudar a mejorar la colaboración de tu empresa

Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa. Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en violaciones de datos que se hicieron públicas. Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas. Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio: Haber sido identificada en alguna violación de datos. Utilizar palabras de diccionario (dictionary words). Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456). Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes. Las políticas de contraseñas suelen usarse con el objetivo de incrementar …

Read more123456 sigue siendo la contraseña más utilizada

Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más. Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable. Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multifactor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros. Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación …

Read moreLas cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Qué pasa cuando la autenticación multifactor falla

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail de la organización y la contraseña, se podía observar la clásica página de inicio de sesión aguardando la aprobación multifactor o el ingreso del token de seis dígitos. Para el caso de la aprobación, el pedido nunca llegaba a la aplicación Microsoft Authenticator. Los tokens, por su parte, directamente no funcionaban, y los SMS no llegaban al usuario. La página de estado de Office 365 informó acerca de la situación mediante la notificación de servicio MO165510 -que llegó unas cuantas horas más tarde de lo esperado– en la que confirmaban que los usuarios con MFA (autenticación multifactor, por su nombre en inglés) habilitado podrían tener problemas para iniciar sesión. Y esto es lo que se veía en la página de estado de los servicios de Azure alrededor de las 10 AM hora Argentina. ¿Deshabilitar o no deshabilitar MFA? Es un tema complejo. Definitivamente los administradores de Office 365 y Azure AD debieron haberse visto presionados por los usuarios -especialmente por los high-profile– …

Read moreQué pasa cuando la autenticación multifactor falla

Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y contraseñas previamente comprometidos para obtener acceso a otros servicios. En respuesta a la BBC, el banco informó: HSBC lamenta este incidente, y tomamos la responsabilidad de proteger a nuestros clientes muy en serio. Hemos notificado a los clientes cuyas cuentas han podido ser víctimas de este acceso no autorizado, y les hemos ofrecido un año de servicio de monitoreo de crédito –credit monitoring- y protección de robo de identidad -identity theft protection-. HSBC confirmó que las cuentas de los clientes fueron accedidas durante los primeros quince días del mes de Octubre, y que la violación de datos incluyó nombres y apellidos de los clientes, su dirección postal, números de teléfonos, direcciones de e-mail, fecha de nacimiento, número y tipo de cuenta, historial de transacciones y saldo de sus cuentas. Responsabilidad compartida Podríamos culpar al usuario por haber reutilizado las contraseñas, pero también al banco por no haber implementado los mecanismos de seguridad necesarios para prevenir este tipo de hechos (autenticación …

Read morePor qué no es una buena idea reutilizar contraseñas (el caso HSBC)

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona la autenticación multifactor?