¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que …

Read more¿Cómo funciona la autenticación multifactor?

Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en …

Read moreTodos necesitamos un administrador de contraseñas

Almacenamiento en línea – ¿Cómo elegir?

Photo by Markus Spiske on Unsplash

La posibilidad de acceder a nuestros archivos desde cualquier parte del mundo, sin necesidad de una computadora y sin tener que poner atención en los riesgos que implica almacenar la información en pendrives o discos externos, es cada vez más deseada. Hoy en día existen cientos de compañías que ofrecen almacenamiento en línea o en la nube con ofertas de funcionalidades y precios muy variadas.

Resulta dificil decidir qué servicio elegir, pero a continuación les dejo una comparativa de los más populares y los factores a tener en cuenta a la hora de contratar:

OneDrive

Quien fuera recientemente renombrado tras un litigio comercial con una compañía británica, es propiedad de Microsoft y uno de los preferidos por los usuarios. Ofrece 15 GB de almacenamiento gratuito y una gran variedad de aplicaciones compatibles con las plataformas más populares del mercado.

Sus planes de pago comienzan en los 100 GB de almacenamiento por apenas 2 dólares al mes y se pueden combinar con otras suscripciones de la compañía. Por ejemplo, adquiriendo una suscripción de Office 365 Personal o Home Premium accedemos a 1 TB de almacenamiento adicional espacio de almacenamiento ilimitado.

Read moreAlmacenamiento en línea – ¿Cómo elegir?

Blot: Una plataforma de blogging basada en Dropbox

Photo by Markus Spiske on Unsplash

Con apenas unos días en la red, Blot permite poner online un blog en pocos minutos. Así lo asegura David Merfield, su ideólogo. Como muestra el video, es tan sencillo como arrastrar y soltar. Solo se necesitan 12 dólares al año y una cuenta en Dropbox. Entre sus principales características, el autor menciona la posibilidad de utilizar dominio y hoja de estilos personalizados, incluir alojamiento grauito y tener un diseño simple. Blot no se ha metido en una guerra sencilla. Veremos qué tal le va. ¡Hasta la próxima!

Vulnerabilidad Heartbleed. ¿De qué se trata?

Photo by Markus Spiske on Unsplash

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

 

vulnerabilidad-heartbleed-de-que-se-trata_001

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

 

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

 

Recomendaciones para usuarios

Read moreVulnerabilidad Heartbleed. ¿De qué se trata?