Category Archives: Seguridad web

Categoría de posts de Mirall Digital marketing, diseño gráfico, comunicación y creación web Reos (Tarragona) que tratan de seguridad web.

Actualizar PHP - Mirall digital

El 60% de las webs tendrán un problema grave de seguridad a finales de año si no actualizan la versión de PHP

  • Necesitas actualizar la versión del PHP si quieres evitar problemas de seguridad en tu página web
  • A finales de año la versión 5 de PHP dejará de recibir soporte en seguridad y será vulnerable
  • El 61.7% de todos los sitios web con “lenguaje de programación del lado del servidor conocido” utilizan actualmente las versiones PHP 5.5, y PHP 5.6 (anticuadas)
  • Las versiones 5.x y anteriores dejarán de tener soporte a partir del 31 de diciembre de 2018, es decir que dejarán de recibir actualizaciones de seguridad para su servidor y para las tecnologías derivadas

 

El PHP, explicado de manera sencilla, es un lenguaje de “scripting” que ayuda a las páginas web a ser más interactivas ya que les permite una multitud de funcionalidades. Es un lenguaje del lado del servidor diseñado para el desarrollo web, aunque también es usado como lenguaje de programación general. Con PHP, por ejemplo, un sitio web puede hacer cosas como tener usuarios y contraseñas. Hasta el día de hoy mucha gente no tenía ni idea de PHP ni de qué versión tenía instalada en su página web, ni falta que le hacía. Lo que pasa estas semanas es que a finales de año las versiones 5 y anteriores dejarán de tener actualizaciones y pueden convertirse en un auténtico problema de seguridad. Hay, pues, que actualizar la versión de PHP de manera urgente.

“Toda parte de una página web que no está actualizada se convierte en un problema de seguridad potencialmente peligroso”

Esto quiere decir que el día 1 de enero de 2019 las páginas web que no tengan instalada, como mínimo, la versión 6.1 de PHP desaparecerán? No, en absoluto! Esto significa que a partir de esta  fecha todos los problemas que aparezcan en las versiones 5.x del PHP no se solucionarán y un día aún por determinar este error puede ser letal para la web, sobre todo a nivel de seguridad.

En esta situación concreta se pone de manifiesto la importancia de mantener actualizada una página web, tanto a nivel de plugins como de servidor. Pongamos, por ejemplo, una página web diseñada con wordpress. Esta web tiene, de media, un tema instalado y unos 15 plugins, con lo que casi cada semana hay alguna actualización para hacer, además de la actualización constante del propio wordpress. Nos podemos encontrar, de este modo, que después de 3 meses sin mantener nuestra web tenemos para actualizar el propio wordpress, el tema principal y 9 plugins, causando un agujero de seguridad muy peligroso.

“No actualizar la página web de manera continua es muy peligroso a nivel de seguridad

El PHP tiene la peculiaridad de que no lo encontramos en la web sino en el servidor y esto puede complicar un poco esta actualización tan necesaria. Siguiendo con el ejemplo de la web diseñada con wordpress las acciones a desarrollar serían:

  • Acceder al servidor y comprobar la versión actual del PHP. Toda versión anterior a la 6 se debe actualizar. Es recomendable hacerlo a la 7.
  • Comprobar que el tema y todos los plugins son compatibles con la versión de PHP que se quiere instalar. Existen plugins específicos para hacer esta comprobación.
  • Si todo el software es compatible proceder a la actualización desde el servidor. Si no lo es (esto depende de cada tema y plugin), sustituir los programas no compatibles por otros compatibles.

“Es imprescindible comprobar que todos los programas que forman la web sean compatibles con la nueva versión de PHP

Esta acción de actualizar y mantener la web debería ser mucho más habitual de lo que lo es en la mayoría de las webs. Hay que proteger la web de ataques y de código malicioso, es necesario mantener las funcionalidades activas y, sobre todo, ayudar a posicionar la página mediante la creación continua de contenido (SEO).

Si todo esto que os hemos explicado os suena a chino pero de lo contrario os fiáis de nuestro criterio os animamos a poneros en contacto con nosotros y os ayudaremos a hacer esta actualización (y todas las que necesitéis) a un precio muy asequible.

 

cookies post

¿Que son las cookies o galletas en internet y porque sirven?

[qode_animation_holder animation_type=”element_from_fade”]

Seguro que navegando por internet te has encontrado en muchísimos lugares webes, para no decir en todos, una advertencia que te obliga aceptar si quieres seguir en aquella web. Esta notificación, si la leemos, nos suele decir que la web utiliza cookies, y que aceptamos su política haciendo clic a “aceptar” o si seguimos navegando, lo estamos aceptando. Pero que estamos aceptando? Estamos haciendo un pacto con el diablo para visitar cualquier web? Pues no, simplemente estamos dando permiso que se guarden cookies a nuestro navegador.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_fade”]

Sí, seguramente ahora estaréis pensando que si nuestro navegador es como el monstruo de las galletas que guarda cookies. De hecho, aunque tenga este nombre no tiene nada que ver con galletas. De hecho una cookie es un archivo creado por una web con un conjunto de datos que se guardan temporalmente en nuestro navegador (es decir, en nuestro ordenador) y que se van enviando entre el navegador y las webs para saber algunas cosas como por ejemplo si ya nos habíamos registrado en una página o, yendo a cookies más elaboradas, si nos interesa un tipo de producto o si el último golpe que entramos nos interesamos más por unos contenidos o teníamos unos productos a nuestro carro de la compra.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_fade”]

¿Porque se llaman cookies?

Bien, seguro que estas alturas seguro que os estáis preguntando o sentís un poco de curiosidad porque un archivo donde se guardan datos sobre el que hacéis en una web se llaman así. Pues se ve que es una referencia al cuento de los míticos hermanos Grimm, Hänsel y Gretel. Al igual que en el cuento, los niños para volver a casa dejan un rastro de trozos de galletas, pues nosotros navegando vamos dejando un rastro de “trozos de galletas” y de aquí el nombre. Quizás os esperabais algo más elaborado, no?

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

¿Tipos de cookies?

Sí, sí, no sólo hay un tipo de galletas, aquí igual que en el mundo físico hay diferentes variantes. Aquí van algunas y para que se suelen utilizar:

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

Session cookies: Tienen un corto tiempo de vida monte que son borradas cuando cierres el navegador.

Persistent cookies: Son galletas persistentes, que se utilizan para rastrear al usuario guardan información sobre su comportamiento en un sitio web durante un tiempo. Estas pueden ser borradas limpiando los datos del navegador pero algunas tienen una fecha de expiración corta aunque hay algunas que incluso pueden tener una caducidad de diez años.

Secure cookies: Son galletas seguras donde se almacena información cifrada para evitar que los datos sean vulnerables a ataques maliciosos de terceros. Se usan sólo en conexiones HTTPS.

Zombie cookies: son quizás el tipo más curioso porque se recrean a sí mismas después de ser borradas. Esto quiere decir que el navegador realmente no tiene ningún poder sobre ellas porque continuarán regenerándose, de aquí el nombre tan original que tienen. Se guardan en el ordenador o en el aparato directamente y no en el navegador (es decir, donde está guardado el navegador), esto con el fin de que se pueda acceder a ellas sin importar que el navegador se esté usando. Esta misma característica puede convertirlas en una amenaza para la privacidad y seguridad del usuario y, en muchas ocasiones, son usadas con finalidades ilegítimas y malintencionadas.

[/qode_animation_holder]
tipus de galetes
[qode_animation_holder animation_type=”element_from_fade”]

Bien, pues, después de esto quizás ya sabéis qué estáis aceptando visitando nuestra web o en cualquier otra, y sino siempre os podréis leer la política de cookies de cada página, por qué es el que hacéis siempre, no?

cookie monster
[/qode_animation_holder]

Firma Eduard Estradé WEB design + programming mirall digital marketing reus

6 concells de seguretat avans de vacances

6 consejos de seguridad que deberíais tener en cuenta antes de irse de vacaciones

[qode_animation_holder animation_type=”element_from_top”]

Si estáis leyendo esto es muy probable que aún no estéis disfrutando de las vacaciones, así que estáis como nosotros. Hemos creído que quizás os ayudaría que antes de marcharnos os diéramos algunos consejos para protegeros en el mundo digital y así marcharos bien tranquilos. Hoy os queremos dar 6 consejos a seguir en la seguridad de vuestros equipos informáticos.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

1-Utilizar una contraseña segura para tu ordenador

Queremos empezar por lo más básico pero que no siempre cumplimos. Las estadísticas dicen que hay mucha gente que no utiliza ningún tipo de contraseña para sus equipos o bien usa una muy poco segura como “1234” “contraseña” o “qwerty”. Sin embargo hay una situación mucho peor que utilizar una contraseña muy evidente, que es utilizar la misma para todo. Recomendamos utilizar una contraseña única y con la mayor complejidad posible combinando símbolos, números y letras. Con ello proporcionamos una primera capa de seguridad a quien quiera entrar en nuestro equipo sin nuestro permiso y conseguimos que una persona de nivel básico ya no pueda acceder a nuestro equipo.

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

2-Encriptar tu disco duro

Extrayendo el disco duro de un ordenador se puede acceder a todos los contenidos de este sin necesidad de una contraseña. Para evitarlo  recomendamos utilizar una encriptación del disco. Una vez encriptado, un disco duro ya no es tan fácilmente legible. Desde un punto de vista informático consiste en aplicar un algoritmo asociado a una o varias contraseñas, que convierte la información en una cadena de letras, números y símbolos sin sentido. Os queremos recomendar un programa para encriptar discos duros para sistemas windows:

Fort File Encryption
Es un programa de código abierto para Windows que permite a cualquier usuario proteger todos los archivos guardados en su PC. Ofrece tres opciones principales de cifrado, la que permite cifrar todo el disco duro de una sola vez, otra que ofrece la posibilidad de crear un contenedor donde todo lo que se guarde se va cifrando o la posibilidad e ir protegiendo archivos de forma individual.

Por lo tanto, es capaz de adaptarse a las necesidades de cada usuario, ya que si el usuario quiere únicamente cifrar unos determinados archivos, no va a tener que perder el tiempo en cifrar todo su disco duro.

Requiere de Microsoft .Net Framework 4.0 y es compatible con todas las versiones del sistema operativo Windows. Utiliza el estándar de cifrado AES de 256 bits ofreciendo una gran seguridad y no limita el tamaño del archivo a cifrar.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

3-Realizar copias de seguridad

Sí, este consejo también es algo típico y la habréis oído mucho, pero es la mejor manera de no perder la información que tenemos en un equipo informático. Esta copia de seguridad, en muchos casos, es mucho mejor tenerla en un lugar externo del equipo para evitar problemas como la que nos genera la famosa partición D de Windows, que lo único que hace son copias de seguridad en una otra parte del ordenador pero, en caso de robo, infección o daño irreparable del disco duro, por mucho que tengamos una copia de seguridad, ésta se encuentra en el mismo disco y no la podremos recuperar. Por eso recomendamos múltiples discos duros, por comodidad extraíbles, o bien hacer copias de seguridad en la nube (dropbox, drive, …). Y puestos a pedir, que las copias estén encriptadas!

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

4-Apagar el ordenador

Aparte del ahorro energético y en el uso el hardware, apagando el ordenador se anula toda posibilidad de control remoto por parte de terceros. Aparte, si te vas de viaje o no utilizarás el ordenador en unos cuantos días, es recomendable desenchufarlo para evitar daños a la fuente de alimentación en caso de que la línea eléctrica tenga una sobrecarga. En este caso también sería una buena solución utilizar un SAI como intermediario, aunque es más caro que simplemente desenchufar el equipo.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_from_left”]

5-Apagar el encaminador (router)

Apagándolo dejamos de dar acceso al wifi y la posibilidad de que alguien craquee el router y tenga acceso a internet a través nuestro, aunque este caso, con las tarifas planas, el mal sería mucho menor que si alguien accede a nuestro router y lo infecta, obtiene acceso a todas nuestras conexiones y, por tanto, a todo lo que se envía por nuestra red y todo lo que se hace a través de ella. Por eso es muy importante tener un buen router y tenerlo bien configurado y seguro.

[/qode_animation_holder]
seguretat - seguridad
seguretat - seguridad
[qode_animation_holder animation_type=”element_from_right”]

6-Vigila en qué redes wifi te conectas.

Es muy típico durante los viajes ir buscando continuamente conexiones a redes wifi gratuitas. Dejando de lado el negocio que pueda haber detrás de ofrecer wifi gratis (si el producto es gratuito normalmente el producto eres tú), conectándose a estas redes estamos poniendo en riesgo nuestra privacidad y seguridad. Hay que tener los dispositivos móviles muy bien configurados para evitar que alguien, a través de una red abierta, pueda entrar en nuestro equipo y extraer información confidencial. Recomendamos, pues, que antes de conectarse a cualquier red wifi desconocida se valoren todas las opciones y, en caso de tener que hacerlo,  utilizar una VPN, teniendo un buen fire wall o disponiendo de otras opciones de protección.

[/qode_animation_holder]
[qode_animation_holder animation_type=”element_transform”]

No hay que alarmarse ni volverse loco, pero siguiendo estos seis pasos la seguridad de vuestros equipos informáticos estará garantizada y os ahorrareis sustos y pérdida de contenido. Esperamos que disfrutéis mucho de las vacaciones!

“Mas vale prevenir que curar.”

Firma Eduard Estradé WEB design + programming mirall digital marketing reus

[/qode_animation_holder]
local hack day urv tarragona

Hack URV – Local Hack Day 2016

El pasado sábado día 3 de diciembre de 2016 tuve la suerte de participar del local hack day en la URV de Tarragona. El Local hack day es un evento mundial que organiza la MLH (Major League Hacking) paralelamente a muchos lugares de todo el mundo. El acto organizado en la URV tuvo una duración de 12 horas, de 9 de la mañana a 9 de la noche.

seguretat local hack day urv tarragonaLa jornada se compuso de talleres y charlas muy interesantes y diversas. Desde Docker, pasando por Android Auto y la información expuesta de los automóviles actualmente, deteniéndonos para probar las gafas de realidad virtual HTC y Oculus rift y aprender el funcionamiento básico de las curiosas y potentes placas electrónicas Arduino, haciendo una importante parada para hablar de seguridad y de cómo están expuestos muchos sistemas hoy en día y qué fácil resulta acceder con pocos conocimientos de hacking. La sesión culminó analizando el potencial de Ruby para crear servidores y el control que se puede tener.

La jornada constaba de muchos otros talleres y charlas, en paralelo a las expuestas, pero como todavía no podemos estar en dos lugares al mismo tiempo tuvimos que elegir, resultando la elección muy acertada, dado de alto nivel de los conferenciantes y el alto interés generado en las diferentes temáticas.

Durante estas 12 horas pude descubrir un mundo curioso y amplio en el sector de la creación o seguridad en entornos digitales (el internet of the things ha ampliado este sector a cualquier objeto conectado), huyendo de estereotipos y encarando problemáticas reales, y trabajando con herramientas actuales para combatir, desde una organización, posibles ataques a webs propias. Me llevo la sensación de que investigando y dedicando tiempo se pueden conseguir cosas alucinantes y muy útiles para la seguridad informática, una visión esencial que las webs están mal protegidas, que no se dedican suficientes recursos a la protección de las webs corporativas y que hay mucho trabajo de base para evitar problemas serios.

En resumen, una experiencia genial lo espero con muchas ganas repetir lo antes posible y lo recomiendo enormemente a cualquier persona del sector informático o alguien que le guste la tecnología en general. Ahora toca aplicar estos nuevos conocimientos a Mirall digital, tanto en nuestra web como las de nuestros clientes.

“No system is safe”, but with knowledge and Dedication can be more difficult to hack.

Firma Eduard Estradé WEB design + programming Mirall digital marketing reus