SEGURIDAD Y AUDITORIA DE SISTEMAS

Wordpress cuenta con diversos plugins que facilitan la realización de copias de seguridad y permiten facilitar el proceso. Como hemos visto en la anterior entrega, la realización de copias de seguridad en Wordpress no es un proceso complicado, por otro lado, las copias de seguridad mediante consola o scripts permiten realizar todo tipo de automatizaciones, pero cuando se trata de facilitar el proceso y la gestión de las copias de seguridad es conveniente utilizar complementos, que en Wordpress son conocidos como plugins, puesto que simplifican el proceso de forma considerable y ofrecen opciones muy interesantes. En la actualidad, Wordpress cuenta con más de 20.000 plugins gratuitos, entre los cuales se encuentran diversos plugins para copias de seguridad. En realidad, algunos de ellos son mixtos en relación con su licencia de uso, ya que se pueden utilizar gratuitamente, pero si se desean más funcionalidades es necesario contratar un servicio o adquirir una versión de pago. En la

Callum Haywood, estudiante británico de 18 años, nos presenta un interesante experimento que busca advertirnos sobre los peligros de exponer en demasía nuestra información privada en redes sociales e Internet, sin tomar los resguardos adecuados al respecto. Lo que se hizo fue abrir un sitio web llamado bajo el dominio weknowwhatyouredoing.com (sabemos lo que estás haciendo .com), donde se reúnen en portada comentarios polémicos que la gente hace en Facebook, clasificados en cuatro columnas: ¿Quién quiere ser despedido? –con mensajes de odio hacia los jefes–, ¿Quién tiene resaca?, ¿Quién está tomando drogas? y ¿Quién ha cambiado su número telefonico? Estos mensajes son sacados directamente de las publicaciones no privadas de Facebook, datos que todo el mundo puede ver y que son fáciles de reunir gracias a una API, pese a que como se demuestra en este experimento, los mensajes expuestos son bastante comprometedores. Es por esto que al final de la página Haywood nos da un sabio cons

Cuenta la mitología griega que cuando Aquiles nació se predijo que moriría en una batalla, por lo que su madre lo baño en un río que le daría el poder de ser invencible, pero como lo sostuvo del talón al sumergirlo, esa parte de su cuerpo no fue tocada por el agua. Aquiles peleó y sobrevivió muchas batallas grandiosas, pero un día una flecha envenenada dio justo en el talón, causándole la muerte. Cuando pienso en los usuarios privilegiados -mejor conocidos como súperusuarios- siempre viene a mi mente esta historia y no puedo evitar pensar que la falta de gestión de los súperusuarios es el talón de Aquiles de la seguridad. Derivado de lo anterior, me surgen algunas preguntas: ¿Es que ahora ya no confiamos en los administradores?, ¿hasta dónde se debe confiar en los usuarios privilegiados?, ¿están ocurriendo cambios alrededor de este tema? En los últimos años nos hemos enfocado con gran dedicación a proteger las diversas capas de infraestructura (perimetral, red interna, bases de

Las copias de seguridad son una de las principales barreras de seguridad y para proteger Wordpress también es fundamental realizar copias de seguridad de forma regular. En las anteriores entregas de esta serie hemos visto como la seguridad debe de estar presente desde los primeros pasos de la instalación, en este caso, de Wordpress. Si llevamos a cabo todos los pasos indicados hasta ahora en las anteriores entregas, llegaremos a un punto en el cual tendremos una instalación limpia de Wordpress, es decir, una instalación con las opciones y complementos básicos incluidos en Wordpress, y sin ningún tipo de personalización o añadido que modifique la configuración básica, salvo aquellos aspectos que se han visto en anteriores entregas y que están relacionados exclusivamente con la seguridad. Llegados a esta fase, es muy interesante y recomendable realizar la primera copia de seguridad de la instalación de Wordpress, de forma que sea posible volver a este punto si se produce algún prob

En 2011, S21sec Ecrime ha detectado un incremento del 21% en los ataques a dispositivos móviles. El estudio constituye una radiografía que nos permite reflejar la situación actual respecto a la seguridad de los smartphones. S21sec presenta su segundo Informe sobre Malware en Smartphones. El estudio constituye una radiografía que nos permite reflejar la situación actual respecto a la seguridad de los smartphones, describiendo las principales amenazas detectadas, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles no son simples teléfonos y no pueden ni deben ser tratados de este modo, por lo que la concienciación de los usuarios sobre la importancia de su seguridad adquiere cada vez más peso en el mercado de este tipo de dispositivos. Puede descargarse el Informe sobre Malware en Smartphones de S21sec aquí. Actualmente existen unos 5.600 millones de móviles en funcionamiento a nivel mundial, lo que supone que un 77% de la población dispone de u

Michal Zalewski, conocido como ' lcamtuf ', ha publicado una interesante prueba de concepto que demuestra cómo sería posible engañar a un usuario haciéndole creer que está descargando un archivo de un sitio legítimo. En la prueba, al hacer click, el usuario ve cómo su navegador abre una nueva pestaña, se dirige al sitio oficial (y auténtico) de Adobe y descarga un archivo que parece ser una actualización de flash. En realidad este archivo no se descarga desde la página oficial, sino desde la pestaña anterior. Aun así el usuario no detectará ningún cambio en la barra de direcciones ni ninguna señal aparente que le advierta que el archivo no pertenece a la pestaña activa. En ningún navegador. Veamos el código de la página atacante, situada aquí (http://lcamtuf.coredump.cx/fldl/): Es un simple botón que llama a la función 'doit' cuando se pulsa. La función javascript 'doit' abrirá una nueva ventana (o pestaña) que apuntará al sitio de descarga de fl

Entre los usuarios finales de Windows, esta es una de las preguntas claves que, no solo se repite hasta el cansancio, sino también que muchas veces no da respuestas o recibe la vacía respuesta de: “yo uso tal, y me anda bárbaro”. Voy a intentar comentar algunos tips que permitan a cualquier usuario poder elegir un antivirus que se ajuste a sus necesidades. / Algunas aclaraciones previas: no hay un antivirus que sea el mejor. La cantidad de variables que manejan los antivirus es tan grande y los diferentes usos que le da cada usuario a las computadoras tan diferente que cada uno debe elegir el que mejor se ajuste a sus necesidades. Obviamente hay mejores y peores, antivirus con mejores rendimientos, con más actualizaciones u otras variables un poco más objetivas que se pueden medir. Pero personalmente creo que vale la pena por lo menos probar 2 o 3 para poder elegir uno con cuál quedarse y que cada año, año y medio, vale la pena replantearse la decisión. Básicamente voy a enumerar

El fichero .htaccess puede mejorar la configuración de seguridad de Wordpress y de cualquier aplicación Web. Es el complemento perfecto a la protección de directorios. En la anterior entrega de esta serie de notas, se describió el proceso de configuración básica de seguridad para la protección de directorios de Wordpress. Además de establecer los permisos adecuados a ciertos directorios y ficheros, es posible realizar una configuración más avanzada y completa mediante el uso del fichero .htaccess. El fichero htaccess es un fichero del Servidor Web Apache, denominado también fichero de configuración distribuida, mediante el cual es posible definir distintas directivas que permiten modificar el comportamiento del servidor web, pudiendo distribuirlas en varios ficheros sin necesidad de usar la configuración global de servidor web, posibilitando distintos comportamientos del servidor. Las directivas que se pueden incluir en .htaccess son muy variadas y permiten realizar todo tipo d

En las 2 semanas han quedado expuestas 6,5 millones de contraseñas de usuarios de LinkedIn a los que se han sumado 1,5 millones de usuarios de eHarmony y un número indeterminado de usuarios de Last.fm. En los tres casos, la solución pasa por instar a los usuarios a que actualicen sus contraseñas y, de hecho, en el caso de Last.fm la petición se hace extensible a todos los usuarios del servicio (independientemente de si se ha filtrado su contraseña o no). Viendo cómo está el panorama, quizás sea un buen momento para dedicar unos minutos a actualizar nuestras contraseñas y apostar por combinaciones robustas que no sean fáciles de romper porque, en el fondo, el usuario es la última línea de defensa que puede evitar la suplantación de su cuenta o algo mucho peor. Contraseñas débiles y contraseñas fuertes Una contraseña es una combinación de caracteres que nos sirve para acceder a un determinado servicio y verificar nuestra identidad puesto que, teóricamente, la contraseña es algo de

La protección de directorios, además de otras tareas de configuración básicas, serán esenciales para mejorar la seguridad de Wordpress. En la anterior entrega de esta serie de notas, se describió el proceso de instalación básica de Wordpress. Durante dicho proceso era necesario tener en cuenta algunos aspectos de seguridad relacionados con cuentas de acceso o datos de configuración iniciales. Una vez realizada la instalación básica será necesario limitar el acceso a ciertos ficheros y directorios. A continuación vamos a describir el proceso seguido para protegerlos. El orden no es realmente importante, lo fundamental es aplicar la protección a todos ellos. Para comprender como se aplican los permisos a directorios y archivos, vamos mostrar el contenido del directorio donde está alojado Wordpress. El contenido se puede ver a continuación. Como vemos en la imagen, hay una columna que muestra los permisos (dentro del recuadro rojo), tanto de los directorios como de los archivo

Los primeros pasos, durante la instalación de Wordpress, al igual que cualquier otro CMS, son esenciales para una adecuada configuración de la seguridad. Primeros pasos Como vimos en la primera entrega de esta serie, el primer paso es seleccionar un proveedor del servicio de hosting adecuado, a continuación se procederá a la contratación del servicio, lo cual puede realizarse a través de Internet, incluido el pago, para lo cual será necesario tomar precauciones, como en cualquier transacción u operación comercial que se realice a través de la red. Una vez formalizado el contrato, el proveedor proporcionará una cuenta de acceso al panel de gestión del servicio de hosting. A través de esta cuenta se gestionan todos los aspectos relativos al servicio, por lo que es muy importante usar una contraseña que cumpla con los requisitos básicos de seguridad y sea guardada adecuadamente. Como vamos a ver a lo largo de esta entrega, será necesario disponer de varias cuentas, por lo que es r

A través de varias entregas se explicará como configurar de manera segura algunos de los gestores de contenidos más populares (WordPress, Joomla! y Drupal). En esta entrega se dan pautas sobre cómo seleccionar adecuadamente un proveedor de "hosting". En la actualidad cualquier persona con unos conocimientos informáticos a nivel de usuario puede ser capaz de crear una página web para diversos fines: promocionar su negocio, crear un blog personal, etc. Para esta labor existen multitud de aplicaciones web como es el caso de WordPress, Joomla! o Drupal. Se tratan de CMS (Content Management System) o gestores de contenidos de código abierto (bajo licencia GPL) que ofrecen multitud de opciones gracias a su versatilidad y la posibilidad de añadirles complementos de terceros que les aportarán mucha más funcionalidad de la que poseen nativamente. Los gestores de contenido en los que se centra este artículo están desarrollados bajo PHP y HTML y necesitan de una base de datos del

Se publica la nueva norma internacional ISO 22301, una norma que ayudará a las empresas y organizaciones a mantener su actividad en caso de un incidente de seguridad. La ISO 22301 es una norma internacional enfocada a la Continuidad de Negocio (Business Continuity Management), en adelante BCM (de sus siglas en inglés). La BCM establece un conjunto de medidas y mecanismos con el objetivo de garantizar el mantenimiento de la actividad de una empresa u organización en caso de que suceda un incidente que pueda poner en peligro dicha actividad. Durante los atentados de las Torres Gemelas en Nueva York en septiembre de 2001, algunas empresas llegaron a desaparecer completamente o se vieron tan afectadas que tardaron meses en volver a retomar su actividad normal, puesto que sus principales activos (información, infraestructura, personas, etc.) se encontraban en su mayoría en las torres, y por otro lado, algunas empresas carecían de medidas y mecanismos para hacer frente a una situación

La falta de actualización es el principal enemigo de los dispositivos con el sistema operativo de Google. El 80% de los móviles necesita un parche de seguridad porque no puede usar una versión más reciente De acuerdo con la firma Kaspersky, la rapidez con que Google mejora Android puede traer problemas a los usuarios si sus dispositivos no tienen la potencia necesaria para actualizar su sistema operativo. Como cada nueva versión resuelve fallas de las anteriores, el resultado es que los móviles con versiones antiguas queden más vulnerables a las amenazas externas, como el robo de información privada. Según la compañía, cuatro de cada cinco usuarios de Android necesitan parches de seguridad, puestos a disposición por el mismo Google en el mercado de aplicaciones para saldar este problema. Sin embargo, esto no es suficiente, advierte Kaspersky, que señala que la mayoría de los usuarios opta por comprar nuevos terminales como solución. Las versiones 2.x de Android son las más