Agregar un alias a las direcciones de e-mail de Teams

Teams ofrece la posibilidad de enviar un e-mail directamente a un canal. Para ello, primero debemos obtener la dirección de nuestro canal, haciendo clic en los tres puntos al lado del nombre, y seleccionando Obtener dirección de correo. Luego de algunos segundos Teams nos brindará la dirección de e-mail de ese canal. Tengan en cuenta que si seleccionan Quitar correo electrónico, al configurarlo nuevamente obtendrán una dirección diferente. Dentro de configuración avanzada podemos restringir quiénes tienen permitido enviar e-mails al canal (cualquier persona, solo miembros de este equipo, solo dominios específicos). Si el mensaje es enviado desde una dirección o dominio no permitidos, recibiremos un mensaje de rechazo como el que se ve a continuación. Por el contrario, si el mensaje es aceptado, aparecerá automáticamente en el canal de Teams. Pero como habrán notado, la dirección de e-mail del canal no es fácil de memorizar. Al momento de publicado este post, Teams no soporta la personalización de las direcciones de e-mail de los canales. Hay una conversación abierta en los foros de Teams sobre esta funcionalidad. Crear un contacto en Office 365 Sin embargo, hay una alternativa. Desde el centro de administración de Exchange Online podemos crear un contacto dentro de la organización, y asignarle un …

Read moreAgregar un alias a las direcciones de e-mail de Teams

Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa. Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en violaciones de datos que se hicieron públicas. Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas. Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio: Haber sido identificada en alguna violación de datos. Utilizar palabras de diccionario (dictionary words). Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456). Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes. Las políticas de contraseñas suelen usarse con el objetivo de incrementar …

Read more123456 sigue siendo la contraseña más utilizada

Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más. Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable. Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multifactor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros. Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación …

Read moreLas cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Esta es la segunda de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas. Las violaciones de datos (data breach, por sus siglas en inglés) son cada vez más comunes y no solo afectan a usuarios domésticos, sino a empresas de todo tipo y hasta a organismos de gobierno. Definamos violación de datos Una violación de datos es una situación en la que información sensible, confidencial y que debería haber estado protegida cae en manos de terceros quienes, en la mayoría de los casos, tienen propósitos malintencionados. Las violaciones de datos pueden incluir información personal (nombre y apellido, números de identificación (como es el caso del DNI en Argentina), números de tarjetas de crédito, contraseñas, entre otros. Las últimas violaciones de datos de público conocimiento han afectado a gran cantidad de usuarios: Trik Spam Botnet (2018): Más de 43 millones de direcciones comprometidas. Ticketfly (2018): Más de 26 millones de direcciones comprometidas. Taringa (2017): 28 millones de direcciones comprometidas. MySpace (2008): 360 millones de direcciones comprometidas. LinkedIn (2016): 165 millones de direcciones comprometidas. Adobe (2013): Más de 150 millones …

Read more¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario. El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas. Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario. Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas. La contraseña es …

Read moreTodos necesitamos un administrador de contraseñas

Prácticas abusivas de spam que terminaron en una Carta Documento

Les voy a contar una bonita historia… Resulta que allá por el mes de Diciembre de 2016 hice una compra online -bueno, como casi todos los días-, pero esta era la primera vez que compraba en ese comercio. Muchos comercios asumen que una compra online -en la que tenés que dejar tu dirección de mail para registrarte y recibir actualizaciones del estado de tus pedidos- significa que tambien aceptás recibir a partir de ese momento toda clase de publicidad por e-mail. Spam, básicamente. Resulta que este comercio empezó a mandarme correo no deseado muy esporádicamente. Realmente era tan esporádico que cuando presionaba sobre Desuscribir no recordaba haberlo hecho con anterioridad. Pero en Octubre/Noviembre del 2017 la cosa cambió. Empecé a recibir estos e-mails con publicidad todos los días. Y así como llegaban, todos-los-días hacía clic en Desuscribir. Claro que la solución es mandar los mensajes a Correo no deseado y ya. Pero para alguien que trabaja en IT y que tiene algo de experiencia en este tema del envío masivo de mails, es muy dificil conformarse con mover los mensajes a correo no deseado o crear una regla que los mueva automáticamente. Decidí contactarme con el comercio por e-mail. Después …

Read morePrácticas abusivas de spam que terminaron en una Carta Documento

Larga vida a la neutralidad de red

Esta tarde la comunidad de Internet perdió una gran batalla. Desde hace más de dos años, la Neutralidad de Red ha estado en boca de todos. Inclusive le dediqué un post bastante extenso que aun pueden leer acá. Pero… ¿Qué significa realmente la Neutralidad de Red? Antes de hablar de la definción precisa, veamos un poco cómo se maneja el tráfico en Internet. Supongamos que somos clientes del proveedor A. El proveedor B aloja en su red el diario que leemos todas las mañanas. Sin embargo, estos dos proveedores no tienen un “acuerdo de peering” o conectividad, por lo que el proveedor A le pagará al proveedor C para que le permita llegar hasta el B. Para evitar el uso de estas “redes intermedias”, se diseñaron los puntos de interconexión. Éstos permiten al proveedor A conectarse al equipamiento que lo llevará directamente al proveedor B y a muchos otros, sin necesidad de firmar un acuerdo con cada uno de ellos. De esta manera, el tráfico del proveedor A será enrutado directamente hacia el proveedor B sin pasar por el C. En la siguiente imagen podemos ver en detalle el ejemplo anterior. El proveedor local A (ISP-A) debería “transportar” el tráfico de …

Read moreLarga vida a la neutralidad de red

Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el mecanismo de enlace de 4 vias (four-way handshake), que utilizan los routers Wi-Fi y los dispositivos cliente a la hora de establecer una conexión entre ellos. El protocolo WPA2 ejecuta el mecanismo de enlace de 4 vias cada vez que un cliente intenta “unirse” a una red Wi-Fi protegida, y lo utiliza para confirmar que tanto el cliente como el router/AP poseen la contraseña adecuada (pre-shared key o clave pre-compartida). Como resultado de la ejecución del mecanismo de enlace de 4 vias, se genera una clave de cifrado nueva que será utilizada para encriptar el tráfico intercambiado entre el cliente …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

Por qué es importante DMARC en una estrategia de e-mail

DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han recibido fueron originados por su organización. Fue establecido mediante el RFC7489 y publicado por primera vez en Marzo de 2012. Si bien DMARC depende de los mecanismos SPF y DKIM, existen grandes diferencias entre ellos. Mientras que SPF y DKIM están enfocados en lo que conocemos como “SMTP MAIL-FROM” (también llamado envelope-from o 5321.MailFrom, quien especifica la dirección para devolución de mensajes al remitente), DMARC verifica que el dominio del 5321.MailFrom y el de 5322.From (la dirección de correo que vemos en el campo “DE“) se encuentren alineados. Pongámoslo en un ejemplo: Mail-From: [email protected] De: “Frank” <[email protected]> Para: “Andrew” <[email protected]> Asunto: Vencimiento de nombre de dominio – Acción requerida Si el dominio dominiofalso.com tiene correctamente configurado su registro SPF, el servidor de correo de example.com lo tratará como un mensaje “sano” y pasará la prueba de seguridad. Dado que el cliente de correo de Andrew solo le mostrará la dirección en el campo “From“, Andrew creerá que el mensaje proviene de un origen seguro. Sin embargo, si miempresa.com tuviese configurado el registro _dmarc.miempresa.com con …

Read morePor qué es importante DMARC en una estrategia de e-mail