Consejos para aumentar la seguridad en tus planes de alojamiento web

Desde el equipo técnico de SitiosHispanos.Com priorizamos los aspectos clave de seguridad en los planes y servicios de alojamiento web que brindados. 

Aquí analizamos técnicas y consejos para que puedas fortalecer también la gestión por tu cuenta.

1. Utilice la autenticación de clave pública para SSH y certificados SSL

Elimina el acceso no cifrado.  SSH, SFTP y https son los estándares aceptados. Cada usuario tiene una clave pública y una privada. El usuario conserva la clave privada. La clave pública se guarda en el servidor. Cuando el usuario intenta iniciar sesión, SSH se asegura de que la clave pública coincida con la clave privada. 

Notas relacionadas:
Nuevo Google Chrome 90 usará HTTPS por defecto

2. Contraseñas seguras

Los usuarios, incluidos aquellos que deberían tener más experiencia, tienden a elegir contraseñas fáciles de adivinar. El año pasado, los ataques de fuerza bruta contra servidores con contraseñas débiles dieron como resultado una serie de ataques de ransomware. Utilice contraseñas largas y aleatorias: las frases de contraseña largas son las mejores.

Notas relacionadas:
Los mejores administradores de contraseñas para el 2021

3. Mantenga el software actualizado

Es probable que el software desactualizado contenga vulnerabilidades de seguridad conocidas por usuarios malintencionados. Si utiliza software instalado en su plan de alojamiento web, debería al menos actualizarlo semanalmente utilizando el panel administrador o contactar a su técnico de confianza.

El software que tiene instalado en su propia computadora y que utiliza para acceder a los servicios de alojamiento web, también deben ser actualizados con regularidad para no ser vulnerados y utilizados para acceder a información de parte de terceros.

Notas relacionadas:
¿Qué versión de PHP debo utilizar en mis desarrollos web?
¿Por qué es necesario mantener WordPress actualizado?

4. Realice copias de seguridad con regularidad

Puede que no piense en las copias de seguridad o backups como una medida de seguridad, pero la razón principal por la que protegemos un servidor es para mantener seguros los datos almacenados en él. 

Es imposible garantizar que un servidor nunca se vea comprometido, por lo que los datos deben estar encriptados y respaldados en una ubicación externa. Las copias de seguridad completas neutralizaran los ataques de ransomware y le permitiran recuperar su cuenta rápidamente.

5. Desactive los servicios innecesarios

Cualquier software web instalado que no sea esencial o no esté siendo utilizado, debe eliminarse de su cuenta. Cuantos menos puntos de contacto entre el entorno interno de su cuenta y el mundo exterior, mejor. 

Foto de Karol D en Pexels

¿Qué versión de PHP debo utilizar en mis desarrollos web?

WordPress, Joomla, Drupal y muchos otros CMS y desarrollos propios de sitios web populares están escritos en un lenguaje de programación llamado PHP y ciertas versiones de PHP están a punto de llegar al final de su vida útil.

Desde el 6 de diciembre de 2020, la versión 7.3 se encuentran sin soporte general y se volverán explotables a cualquier nuevo fallo de seguridad a partir del 6 diciembre de este año (2021).

La política del equipo de desarrollo de PHP con respecto al final de la vida útil es la siguiente: cada versión de PHP es totalmente compatible durante dos años a partir de la fecha de publicación. Luego, es compatible durante un año adicional solo para problemas críticos de seguridad. Una vez transcurridos tres años desde la fecha de lanzamiento, la versión de PHP ya no es compatible.

Eso significa que incluso si se descubre una vulnerabilidad, no se solucionará, dejando su sitio web vulnerable.

¿A qué versión específica de PHP debo actualizar?

VersiónPublicadaFin soporteFin seguridad
7.36 Dic 20186 Dic 20206 Dic 2021
7.428 Nov 201928 Nov 202128 Nov 2022
8.026 Nov 202026 Nov 202226 Nov 2023
Tabla de versiones de PHP

La versión posterior de esta rama es la versión 7.4, la cual tiene compatibilidad hasta el 28 de Noviembre de 2021 y recibirá actualizaciones de seguridad durante un año más después de eso.

La última versión del lenguaje PHP, PHP 8, se lanzó el 26 de noviembre de 2020. El desarrollo de la versión 8 de PHP se ha centrado en crear nuevas funcionalidades. Algunas de las características nuevas más importantes son los argumentos con nombre, los atributos, las propiedades del constructor y la compilación JIT.

¿Mi desarrollo es compatible con nuevas versiones de PHP?

Usar software sin mantenimiento es una mala idea porque significa que las vulnerabilidades de seguridad no se están solucionando. Es importante consultar con su técnico o desarrollador web de confianza antes de actualizar la versión de PHP y revisar la documentación de su CMS.

Los planes de alojamiento web de SitiosHispanos.Com son compatible con las últimas version disponibles y puede seleccionarlas fácilmente desde nuestro panel.

Fuente: Wordfence | PHP.net | Adaptada por SitiosHispanos.Com

La noche en que un joven compró Google Argentina

En horas de la noche de Argentina sorprendió que el dominio del buscador de Google en Argentina “google.com.ar” estaba caído. Lo que parecía ser un error temporal, comenzó a tomar notoriedad cuando se comprobó que NIC.ar, el servicio que administra los dominios .ar, liberó el de Google.

Cerca de las 22hs Nicolás Kuroña, un joven de Buenos Aires, entró a NIC.ar, vio que estaba vencido el dominio (y por lo tanto disponible) y lo registró a su nombre, algo que es legal. Incluso aclaró que tiene la factura por la compra (270 pesos).

Captura del twitt de Nicolas donde dice que entro a Nic.ar y vio el nombre disponible y lo compró legalmente.

Lo curioso del tema, que generó gran volumen de contenido en redes sociales como twitter, es que indican fuentes[1], que el dominio no había caducado: ese momento llegaba recién en julio.

Por ahora, no hay más especulaciones, y ni Google ni el NIC.ar aclararon lo sucedido con el dominio google.com.ar, que a partir de las 23hs volvió a estar bajo propiedad de Google.

Qué no te pase lo de Google y recuerda registrar dominios .com.ar con la seguridad de SitiosHispanos.Com:

Sin clave fiscal

Hacemos el trámite para ahorrarte tiempo.

Manejo DNS

Tendrás control completo de tu zona DNS.

Sin costos ocultos

Registrá y renová los dominios al mismo precio.

G-Suite/Microsoft 365

Con un par de clicks tendrás tu dominio configurado.

Renovación

Al acercarse al vencimiento te avisaremos para que lo renueves.

Parqueo/Redirección

Podrás redireccionar tu sitio web hacia otro dominio.

¿Por qué los CAPTCHA siguen existiendo?

El equipo de AltaVista (discontinuado) inventó el CAPTCHA en 1997. En ese momento, era una solución innovadora para un problema de nicho: evitar que los bots ingresaran URL en el motor de búsqueda web.

Estamos en el 2021, y hay más de 20 proveedores de CAPTCHA diferentes. El más grande de todos ellos, reCAPTCHA de Google, es utilizado por más de 6,3 millones de sitios web.

Esto nos lleva a una pregunta interesante: dado que todos los humanos del planeta los odian y no son efectivos para bloquear bots, ¿por qué los CAPTCHA siguen existiendo?

El clásico CAPTCHA “Por favor seleccione las fotos del semáforo

Las soluciones reCAPTCHA que requieren interacción humana brindan a los desarrolladores y propietarios de aplicaciones una salida fácil. Son soluciones de caja negra: sin configuración, sin decisiones y con visibilidad limitada del impacto en los humanos o los bots que están pasando. Un escenario clásico de no ver el mal, no oír el mal.

En última instancia, todos los CAPTCHA basados ​​en imágenes están limitados por el enigma humano versus bot: ¿cómo se puede hacer una prueba de imagen que sea consistentemente demasiado difícil para los bots, pero lo suficientemente fácil de aprobar para los humanos?

Esto también es cierto para los CAPTCHA similares a los de un juego (girar la imagen, etc.) donde el rompecabezas está implícito en lo visual en lugar de en el texto. Esto se basa en una interpretación humana coherente, que puede limitarse de muchas formas diferentes.

El fundamento de que es barato, fácil y no afecta las métricas de rendimiento no reconoce el impacto de UX, la accesibilidad y el abandono de la sesión.

Tengo una idea: ¡Construyamos un nuevo CAPTCHA! ReCAPTCHA v3

La última versión (de pago) de Google reconoce la frustración del usuario; sin embargo, ahora requiere que los propietarios de la aplicación creen y gestionen las puntuaciones de riesgo que diferencian a los humanos de los bots.

El reCAPTCHA v3 de Google tiene menos impacto humano, pero los bots ahora tienen un control de seguridad que pueden evadir. Comprender y limitar las diferencias que permite a los robots obtener la misma puntuación de riesgo que los humanos.

Otras variaciones de CAPTCHA “moderno” requieren que los usuarios roten imágenes y muevan piezas de rompecabezas. Todos estos servicios aprovechan la interacción humana para entrenar un modelo de datos para la detección de bots. El consumidor es el producto y la moneda es el tiempo y la paciencia.

Entonces, ¿por qué no hemos matado al CAPTCHA?

La razón fundamental para utilizar las soluciones CAPTCHA parece ser similar entre los proveedores de seguridad y los propietarios de aplicaciones: es una solución para evitar decisiones.

No hay duda de que diferenciar entre humanos y bots puede ser un desafío. Ya sea que implemente una solución CAPTCHA autogestionada o subcontrate a un proveedor de seguridad que usa CAPTCHA, existen los mismos problemas para los propietarios de aplicaciones. Está cobrando impuestos a los clientes potenciales y arriesgando la pérdida de ventas, pero no afecta realmente a los creadores de bots.

Fuente: Security Boulevard

Nuevo Google Chrome 90 usará HTTPS por defecto

El HTTPS (o ‘Hypertext Transfer Protocol Secure’) es el primo más joven y seguro del HTTP. Realiza la misma función, pero utiliza el cifrado TLS/SSL para proteger las solicitudes y respuestas, en lugar de enviar información en texto plano.

Anteriormente, en Google Chrome, al escribir una URL incompleta en el cuadro multifunción de Chrome (el nombre que da Google a su barra de URL), el navegador cargaba el dominio a través de HTTP. Escribir cualquiercosa.com, por ejemplo, llevaba al usuario a http://cualquiercosa.com.

Sin embargo, a partir de esta nueva actualización 90, Chrome canalizará automáticamente todas las consultas incompletas de URL a la dirección HTTPS correspondiente (por ejemplo, https://cualquiercosa.com), siempre que el sitio web admita este protocolo más nuevo. 

¿Sabías que podes agregarle esta seguridad a tu web con nuestro certificado SSL incluído?

Cuando un visitante entra a un sitio con certificado SSL, el certificado crea automáticamente una conexión cifrada entre el servidor y el navegador. Un ícono de candado y el prefijo “https” aparecen en la barra de navegación para indicar que es seguro enviar información personal.

Los planes de Alojamiento Web de SitiosHispanos.Com incluyen certificado SSL para activar en todo momento por cada uno de tus dominios.

Fuente: Techradar

 

Los mejores administradores de contraseñas para el 2021

No anotes más en papel o en notas adhesivas las contraseñas y disfruta de la tranquilidad y la seguridad. Uno de nuestros administradores de contraseñas favoritos puede ser tu primera defensa.

Para muchos de nosotros, trabajar de forma remota se ha convertido en una rutina, y eso significa que proteger tus cuentas con contraseñas seguras es más esencial que nunca. Pero intentar memorizar docenas y docenas de contraseñas puede ser un desafío, y usar la misma contraseña una y otra vez es francamente peligroso.

Un administrador de contraseñas es esencialmente una caja fuerte digital encriptada que almacena información de inicio de sesión de contraseña segura que utiliza para acceder a aplicaciones y cuentas en su dispositivo móvil, sitios web y otros servicios.

LastPass

  • Ofrece versión gratuita
  • Precio base Premium: $36 dólares por año
  • Funciona con: Windows, MacOS, Linux, Android, iPhone y iPad. Extensiones de navegador para Chrome, Firefox, Safari, Internet Explorer, Edge y Opera. 

La versión gratuita de LastPass se destaca como el mejor administrador de contraseñas en esta categoría al brindarle la capacidad de almacenar contraseñas, información de inicio de sesión de usuario y credenciales y sincronizar todo donde lo desee tanto en sus dispositivos móviles como en sus navegadores.

1Password

  • Ofrece versión de prueba
  • Precio base: $35.88 dólares por año
  • Funciona con: Windows, MacOS, Linux, Chrome OS, Android, iPhone y iPad. Extensiones de navegador para Chrome, Firefox, Safari, Edge y Opera. 

Si está buscando una aplicación de administración de contraseñas confiable para mantener su información de inicio de sesión privada y segura, 1Password es el mejor administrador de contraseñas para la tarea, lo que le permite acceder a sus cuentas y servicios con una contraseña maestra. Está disponible para las principales plataformas de dispositivos.

Este administrador de contraseñas bien diseñado carece de una versión gratuita, pero puede probarlo durante 14 días antes de registrarse. 

Bitwarden

  • Ofrece versión gratuita
  • Precio base Premium: $10 dólares por año 
  • Funciona con: Windows, MacOS , Linux , Android, iPhone y iPad. Extensiones de navegador para Chrome , Firefox , Safari , Edge, Opera, Vivaldi , Brave y Tor.

Bitwarden es un administrador de contraseñas de software de cifrado Open Source y liviano que puede generar, almacenar y completar automáticamente sus contraseñas en sus dispositivos y navegadores populares, incluidos Brave y Tor, de forma gratuita. 

Dashlane

  • Ofrece una versión gratuita limitada (50 contraseñas en un dispositivo)
  • Precio base Premium: $59.88 dólares por año
  • Funciona con: Windows, MacOS, Android, iPhone y iPad. Extensiones de navegador para Chrome, Firefox, Safari, Internet Explorer, Edge y Opera. 

Dashlane proporciona una manera simple y segura de administrar sólo sus contraseñas.

Fuente: cnet | Traducción: SitiosHispanos.Com

¿Qué podemos hacer con la filtración de datos de Facebook?

Una antigua filtración de datos sigue siendo una filtración de datos, y probablemente aún tendrá que prestarle atención cuando tenga que ver con Facebook, un sitio que la mayoría de la gente ha utilizado en algún momento. Como probablemente ya haya escuchado, una violación de datos pasada que afectó a 500 millones de usuarios de Facebook está circulando una vez más después de que un intruso publicó una gran cantidad de información personal extraída de las cuentas pirateadas. Y a pesar de que el ataque real tuvo lugar hace dos años , aún puede tomar algunas medidas preventivas para asegurarse de que este último incidente no lo afecte mucho.

Para empezar, tómese el tiempo para verificar y ver si sus datos, incluida su dirección de correo electrónico, número de teléfono, nombre y otras características de identificación, aparecen en dicha filtración. Pruebe una de estas opciones para buscar información de identificación diferente que pueda haber sido comprometida:

Si su número de teléfono u otros detalles no están expuestos, ¡excelente! Estas bien. Si los datos están expuestos no hay mucho que pueda hacer al respecto, ahora que la información está disponible, pero tenga cuidado porque estos datos podrían usarse en intentos de phishing en otros lugares.

En todo caso, todo el episodio muestra la importancia de utilizar información ficticia siempre que sea ​​posible al registrarse para obtener una cuenta, especialmente en las redes sociales. La ocultación de información está totalmente bajo su control. No sienta que tiene que ceder detalles legítimos sobre su vida.

Para Facebook, eso podría incluir:

  • No proporcionar ninguna información opcional si no es necesario (su historial educativo, todos los lugares en los que ha vivido, sus intereses, su historial laboral, etc.)
  • Proporcionar información ficticia cuando se le solicite, como una fecha de nacimiento falsa o un seudónimo.
  • Usar una dirección de correo electrónico falsa (incluso una ligeramente modificada, como youremail+facebook@gmail.com en lugar de youremail@gmail.com) y un número de teléfono que no sea su número de teléfono real para registrarse en una cuenta. Como antes, guarde estas credenciales en su administrador de contraseñas por si acaso.
  • Utilice un nombre “real” diferente o una versión ligeramente modificada de su nombre. No use el mismo “nombre de pantalla” o nombre de cuenta en todos sus diferentes servicios.

¿Por qué importa esto? Hace que sea mucho más difícil para los atacantes usar la información obtenida de una violación de datos para afectarlo en otro lugar. Si siempre utiliza información diferente cuando sea posible en los distintos servicios que utiliza, será más difícil para un atacante acceder a su cuenta mediante ingeniería social; simplemente, no sabrá lo suficiente sobre usted en cada servicio.

Fuente: Lifehacker | Traducción: SitiosHispanos.Com

Educación y Seguridad Informática con Cristian Borghello

Cristian Borghello es consultor en Seguridad Informática, director el sitio especializado Segu-Info.com.ar y fundador de diferentes espacios para la educación en materias de Seguridad.

Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información. Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática.

En esta extensa e interesante charla de nuestro ciclo de entrevistas con referentes recorrimos sus inicios con entusiasmo en la informática. A partir de los 8 años con un equipo de la marca Texas Instruments en su pueblo natal de La Paz, Entre Rios, Argentina.

Epoca de principio de los ’80, donde comenzó a programar o escribir en papel gráficos de flujo para soluciones lógicas; “Se convierte en esencial enseñar programación y lógica desde muy chico, para sumar a las escuelas”, menciona en base a su experiencia.

Su primer acercamiento eliminando virus de computadoras a vecinos y amigos, fueron los primeros pasos, en ese momento sin saberlo, del camino a convertirse en un profesional de la ciberseguridad.

Nos cuenta ademas su paso por ESET (empresa conocida por el antivirus NOD32) como Directo Técnico y luego Director de Educación LATAM.

Compartió en detalle su actual y principal actividad de consultor y responsable de Segu-Info, destacado por los servicios en ciberseguridad y el privilegio de su visita a Corea Del Sur, becado junto a 12 profesionales en tecnología, recibiendo durante 3 meses capacitación y experiencia en ciberseguridad.

En un tema común del contexto de pandemia mundial, hablamos sobre los ataques vigentes y la tendencia que dejara el aumento de la participación de las personas en el mundo digital y sobre el final le pedimos 3 referentes con los cuales se identifica, generando una excelente reflexión para esta entretenida e informativa charla de casi 2hs de duración.

Para recibir nuevas charlas


Charlamos con Sebastián Stranieri sobre seguridad e identidad digital

Video entrevista con Sebastián Stranieri

Sebastián Stranieri es un referente en el sector de la ciberseguridad, en esta charla compartimos desde sus inicios cómo usuario y curioso de la seguridad informática y los sistemas en general hasta su desarrollo profesional cómo CEO de VU Security que brinda soluciones a empresas y gobiernos.

Un hacker es una persona audaz, elocuente, alguien que sabe y entiende sobre tecnología y sistemas informáticos o que encuentra soluciones a problemas, nos cuenta en la pregunta sobre cómo era la vida hacker en fines de los 90s.

Compartir información entre los grupos en ese momento era esencial para aprender. Los e-zines de esa época donde encontrabas artículos técnicos escritos por comunidades de todo el mundo.

Luego avanzamos con temas relacionados al trabajo actual en sistemas y precisamente en la seguridad informática y la protección de la identidad digital.

VU Security trabaja hace años en prevención del fraude y la protección de la identidad para gobiernos y empresas.

Es prioritario madurar el sistema de identidad digital para que cada persona pueda operar sin tener que recordar una frase compleja o recurrir a un sistema externo, así como proteger los accesos de los usuarios a los recursos de la compañía, un ejemplo claro de buenos resultados es RENAPER en Argentina con el Sistema de Identificación Digital, impactando a más de 9 millones de usuarios, señaló.

Actualmente sólo cinco países tienen un marco de ciberseguridad y ahora todos se dan cuenta que no es algo opcional; sino un servicio básico, remarco.

Disfruta esta divertida y distendida charla, con el compromiso de repetirla pronto.

Cómo configurar tu WordPress para que utilice el certificado SSL

¿Cómo funciona un certificado SSL?

Cuando un visitante entra a un sitio con certificado SSL, el certificado crea automáticamente una conexión cifrada entre el servidor y el navegador. Un ícono de candado y el prefijo “https” aparecen en la barra de navegación para indicar que es seguro enviar información personal.

Beneficios

Recuerda, la mayoría de los usuarios prefieren navegar en sitios que sean seguros y tambien en muy valorado por los buscadores en sus resultados, por lo que tener un Certificado SSL en tu sitio web es muy importante si deseas hacer negocios en línea.

Para poder brindar mayor seguridad a los visitantes de tu web, SitiosHispanos.com te brinda certificados SSL de forma gratuita en los planes de alojamiento web.