Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las…

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- filtraciones de datos. Hoy vamos…

Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la…

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”