Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un…

Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y…

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- filtraciones de datos. Hoy vamos…

Cómo proteger mi sitio de WordPress con SSL

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Contraseñas de usuarios de Bitly comprometidas (y van…)

Hace algunos días el equipo de seguridad de Bitly, popular servicio de acortamiento de direcciones conocido por sus dominios bit.ly o j.mp, fue alertado de un posible acceso no autorizado a sus bases de datos.

Al respecto, Rob Platzer, CTO de la compañía con sede en New York, informó mediante un comunicado de prensa publicado en su blog que el entorno productivo de Bitly no se encuentra comprometido.

Nuestro equipo de Seguridad logró determinar con un alto grado de confianza que no existieron conexiones externas hacia nuestra base de datos de usuarios de producción, asi como tampoco a nuestras redes o servidores. Sin embargo, observaron una cantidad inusual de tráfico originado desde nuestro sistema de almacenamiento externo de backup. En este punto, consideramos que el mejor camino era considerar nuestra base de usuarios comprometida y ejecutar un inmediato plan de respuesta que incluyó algunas tareas para proteger las cuentas de Facebook y Twitter conectadas a nuestros usuarios.

Las acciones ejecutadas por el equipo de Seguridad de Bitly fueron las siguientes:

El robo de contraseñas o qué hacer para no perder la cabeza

Durante la tarde de ayer, Yahoo!, uno de los pioneros en servicios de internet, sufrió intentos de acceso no autorizados a un número no revelado de cuentas de su servicio de correo electrónico basado en la web Yahoo! Mail.

Según indicó mediante un comunicado de prensa Jay Rossiter, Vice Presidente Senior de Plataformas y Personalización de Productos de la compañía con sede en el Silicon Valley, no existe evidencia de que los datos de inicio de sesión (nombres de usuario y claves) hayan sido obtenidos directamente de Yahoo!. Hasta el momento la sospecha más firme es que corresponden a información robada a terceros con anterioridad.

Con el objetivo de proteger a sus usuarios del acceso no autorizado, Yahoo! decidió resetear las contraseñas de las cuentas comprometidas y activar la verificacion de doble factor.

La actualidad

Lo cierto es que cada vez predomina más el robo -o la pérdida- de datos de usuarios. Entre los casos más recientes puedo mencionar:

    • Noviembre/2013: La compañía de seguridad informática Trustwave reveló la existencia de un virus diseminado en millones de equipos hogareños a lo largo de todo el planeta que enviaba los datos de inicio de sesión de los usuarios a servidores remotos. La totalidad de usuarios y contraseñas, que ascendió a 2 millones, estaba compuesta por 318.000 cuentas de Facebook, 70.000 cuentas de Google (incluyendo Gmail, YouTube y Google+), 60.000 cuentas de Yahoo!, 22.000 cuentas de Twitter, 8.000 cuentas de LinkedIn y 17.000 cuentas de otros servicios menos populares.
    • Octubre/2013: Adobe sufrió el robo de más de 38 millones de contraseñas, entre las que se encontraban “123456”o “123456789” como las más utilizadas.