661 965 899 - 96 335 40 27 aitana@aitana.com
Seguridad en Internet – Normas básicas

Seguridad en Internet – Normas básicas

Seguridad en Internet - Normas básicas

Cumplir con unas normas básicas de seguridad en Internet es fundamental si no queremos tener graves problemas que pueden llegar a afectar, muy negativamente, incluso a nuestra actividad empresarial o profesional.

Aunque los intentos de hackeo, phishing, spam… se dan durante todo el año, es en estas fechas de compras y grandes movimientos por Internet cuando se incrementan de forma exponencial. Además los hackers aprovechan las vacaciones de las empresas para hackear sus sistemas y páginas Web pues son conscientes que los usuarios tardarán más tiempo en detectar la intrusión.

El riesgo cero no existe en Internet, ya hemos visto que grandes empresas, corporaciones y gobiernos han sido hackeados, pero lo que si podemos hacer es intentar minimizar los riesgos.

Desde el Equipo de Aitana Multimedia queremos recomendar unas normas básicas para la seguridad en Internet, son unas normas mínimas.

Lo primero que tenemos que ver es que cuando hablamos de seguridad en Internet intervienen diferentes elementos que interactúan entre ellos y sobre los que tendremos que incidir.

  • Factor humano.
  • Ordenadores y Redes Locales.
  • Dispositivos móviles.
  • Correo electrónico.
  • Páginas Web.
  • Servidores de Internet.
  • Contraseñas seguras.

Factor humano

El factor humano, la racionalidad en las actuaciones y decisiones son la base de la seguridad en Internet. Al final un mal uso de las contraseñas, un clic en un acceso no seguro, un mal mantenimiento de los equipos… son los causantes de la mayoría de intrusiones en nuestros Sistemas y páginas Web. Por ejemplo, no es lógico hacer una transferencia bancaria de una cantidad con una cierta importancia, sin antes verificar de forma fehaciente la titularidad de la cuenta bancaria o pagar con tarjeta de crédito en sitios no seguros ni verificados.

Ordenadores y Redes Locales

Hoy en día prácticamente todos los ordenadores y redes locales están conectados a Internet, la seguridad de los mismos va íntimamente ligada a la seguridad en Internet.

Como normas básicas de seguridad citaremos:

  • Sistemas operativos y programas, con licencia oficial y permanentemente actualizados.
  • Accesos personalizados con contraseñas seguras.
  • Antivirus actualizados.
  • Acceso WiFi protegido con contraseñas seguras.
  • Muy importante: Copias de seguridad periódicas en un dispositivo externo (sea físico o en la nube). Si disponemos de copias de seguridad, a buen recaudo, de toda nuestra información sensible, cualquier ataque que podamos tener será recuperable. No acabaremos de insistir en la importancia de las copias de seguridad, de hecho nuestra recomendación es tenerlas de forma automatizada y por partida doble. Una copia en un disco duro externo y otra en algún servicio de copias de seguridad en la nube.

Dispositivos móviles

Cada vez se accede más a los servicios de Internet (correo electrónico, Web, compras online, etc.) a través de dispositivos móviles como smartphone o tablets.

Como normas básicas de seguridad citaremos:

  • Mantener siempre actualizado el sistema operativo y las Apps instaladas.
  • No conectarse a Redes WiFi públicas.
  • Utilizar únicamente aquellas Apps que realmente vayamos a utilizar y siempre descargadas desde los repositorios oficiales sean de Android o de Apple.
  • Al descargar una App, verificar que permisos le vamos a dar, dar los permisos de acceso mínimos necesarios.
  • Desconectar el Bluetooth si no lo vamos a usar.
  • Si disponemos de tarifa plana de datos, cuando estemos fuera de la cobertura de nuestro WiFi, mejor desactivarlo.
  • Usar contraseñas seguras.

Correo electrónico

La mayoría de virus y fraudes nos llegan a través del correo electrónico. Los ataques de Phishing (usurpación de identidad) vienen mayormente a través de este medio.

Un buen uso del correo electrónico es fundamental para la seguridad en Internet.

Estas son algunas normas básicas:

  • Si accedemos al correo vía WebMail (a través del navegador), que sea siempre a través de una conexión segura (https).
  • Si accedemos a través de un programa de correo tipo Outlook, tener siempre con licencia y actualizado.
  • Evitar en lo posible acceder desde un ordenador público. Si accedemos, fijarnos bien en dejar la sesión cerrada, borrar el historial y cerrar el navegador. ¡Ojo! con no aceptar por error el mensaje de “guardar contraseña”.
  • Utilizar contraseñas seguras y cambiarlas periódicamente.
  • No abrir nunca ningún correo del cual no tengamos alguna referencia. No debemos fiarnos del remitente ni de la imagen corporativa.
  • No clicar nunca en ningún enlace que provenga de un correo no verificado. Antes de clicar en un enlace pasar el ratón por encima y visualizar en la pantalla (normalmente abajo a la izquierda) el enlace. Últimamente están llegando correos aparentemente de Telefónica, OVH, Arsys, etc. indicando que tenemos una factura pendiente. Ante la duda acceder directamente a la página Web de la empresa en cuestión.
  • Si nos llega por email, con un remitente aparentemente correcto, una cuenta bancaria de un proveedor para que le hagamos una transferencia, verificar la cuenta bancaria directamente con el proveedor (Whatsapp, teléfono, etc.). Parece obvio, pero está sucediendo.

Páginas Web

La intrusión en las páginas Web corporativas es otra forma de hackeo que se da habitualmente, por ello es muy importante mantener las siguientes normas básicas mínimas:

  • Tener la Web alojada en un Centro de Datos profesional y en España.
  • Activar cortafuegos en el Servidor.
  • Implementar certificado de Servidor Seguro SSL (https) y forzar el acceso a través de ese medio.
  • Mantener actualizado el lenguaje de programación. En el caso de PHP debería ser mínimo PHP 7.1.
  • Si hay formularios utilizar un código ReCaptcha. No impide el Spam pero lo minimiza.
  • Utilizar contraseñas seguras para los accesos a los Paneles de Gestión, Bases de Datos y cuentas FTP.
  • Es recomendable contratar un mantenimiento mínimo a una empresa de Diseño y Programación Web, para que haga una monitorización de la Web y las actualizaciones que correspondan.

Servidores de Internet

Es fundamental que tanto el correo electrónico, como la página Web, como la información que podamos tener en la nube, esté en un Servidor ubicado en un Centro de Datos que nos ofrezca garantías y unas prestaciones mínimas como:

  • Ubicado en España, con un reconocimiento contrastado.
  • Provea el servicio de certificado de Servidor Seguro SSL (https).
  • Realice de forma automática copias de seguridad diarias.
  • Disponga de un sistema de monitorización 24/7.

Contraseñas seguras

Hemos dejado este apartado para el final, porque al final es una de las cosas más importantes. Para que una contraseña la podamos considerar mínimamente segura, debe reunir estas condiciones:

  • Se componga de un mínimo de 11 letras que contengan mayúsculas, minúsculas y números.
  • Que no contenga palabras que estén en el diccionario, ni fechas de nacimiento.
  • Que se cambien periódicamente.
  • Tenerlas almacenadas en un lugar seguro.

En fin, estas son algunas de las normas básicas mínimas que recomendamos desde Aitana Multimedia para mantener la seguridad en Internet. Son perfectamente asumibles por cualquier usuario profesional o corporativo de Internet. No nos protegerán al 100% pero si que minimizarán los riesgos. A partir de aquí cualquier otra medida que se pueda implementar siempre será positiva.

Por un 2021 con menos Spam, Phishing, Hackeos… Pero sobre todo con mucha Salud.

El Equipo de Aitana Multimedia.

Enlaces de interés:

Atención, cuidado con el Phishing

Atención, cuidado con el Phishing

Phishing - Robo de datos personales

Se llama Phishing a las técnicas que utilizan los piratas informáticos para obtener información personal de los usuarios de Internet mediante la suplantación de una determinada identidad.

En las últimas semanas está habiendo una auténtica oleada de envío de correos electrónicos intentando suplantar la identidad de empresas de registros de dominios como Acens, OVH, Arsys…, haciendo creer que un determinado dominio está pendiente de renovación e invitando a clicar en un enlace (fraudulento) para proceder a la renovación del mismo.

Estos envíos son bastante sofisticados ya que utilizan los logotipos e incluso colores corporativos de las empresas que suplantan y además se refieren a dominios que, en la mayoría de los casos, son efectivamente propiedad del receptor del correo electrónico.

¿Cómo consiguen los piratas informáticos la información de quien es el Agente Registrador de un determinado dominio?

Esto es relativamente sencillo. Por un lado mediante software de rastreo u otros medios recopilan cuentas de correo electrónico. Una vez tienen la cuenta de correo electrónico, extraen el dominio.

Si por ejemplo la cuenta es info@eldominioquesea.com, el dominio es “eldominioquesea.com”.

Con el dominio acceden al Whois https://www.whois.com/ y obtienen quien es el Agente Registrador.

En la imagen anterior se muestra una información que es totalmente pública. En ella vemos que el agente registrador es Acens Technologies, SLU. Ahora no tienen más que diseñar una plantilla con el logotipo de Acens y enviar un email a la cuenta que hemos puesto de ejemplo info@eldominioquesea.com.

Lógicamente los hackers no hacen esto de forma manual, utilizan software para rastrear y extraer datos.

Que no hacer cuando recibimos un correo Phishing

El recibir el correo es prácticamente inevitable, ya que utilizan diferentes cuentas de email para el envío y bloquearlas tiene poco sentido.

Lo primero es “NO DESCARGAR LAS IMÁGENES”, debemos configurar en nuestro programa de correo la opción de no descargar automáticamente las imágenes ya que si las descargamos ya le estamos confirmando al hacker que esa cuenta de email está operativa.

Lo más importante… “NO CLICAR NUNCA EN NINGÚN ENLACE QUE HAYA EN EL EMAIL”.

Como podemos ver en la imagen anterior, si pasamos el ratón por encima del enlace en color verde “Accede a tu formulario de pago”, vemos abajo a la izquierda que la URL nos dirige a una página Web que nada tiene que ver con Acens. Si clicáramos nos llevaría a una Web donde nos pediría datos confidenciales.

También si miramos en la parte de arriba podemos ver que la cuenta de correo electrónico no es la cuenta oficial de Acens.

Si recibimos correos de este tipo, de entrada no descargar imágenes y no clicar en ningún enlace. Ante la duda la mejor opción es llamar por teléfono al servicio de asistencia del proveedor en cuestión o hacer la consulta remitiendo directamente un correo electrónico a la cuenta de contacto oficial del proveedor.

En el caso de los clientes de Aitana Multimedia que tienen con nosotros la gestión de sus dominios en ningún caso les remitiremos este tipo de correos ni les solicitaremos que rellenen datos privados, como cuentas bancarias, tarjetas de crédito, etc.

Hemos puesto un ejemplo de Phishing relacionado con Agentes Registradores de dominios, pero a diario se reciben también correos de estas características “aparentemente” remitidos por Correos, entidades bancarias, etc.

Aunque parece obvio todo esto que estamos diciendo, lo cierto es que en muchas ocasiones las prisas del trabajo hacen que sin darnos cuenta caigamos en este tipo de Phishing.

Aparte de contar con un buen antivirus y filtro antispam, al final lo que cuenta es la prudencia.

Cyber Ataques – Incremento de ataques con suplantación de identidad

Cyber Ataques – Incremento de ataques con suplantación de identidad

Proliferación  cyber ataques

Ayer veíamos en TV la noticia de que el Ayuntamiento de Jerez llevaba unos días paralizado por un ataque informático que había encriptado su base de datos, también recientemente nos enterábamos que varios ayuntamientos de Lleida se habían visto afectados por suplantación en emails para a través de ellos propagar virus informáticos. Y lo que es más grave, recientemente la EMT (Empresa Municipal de Transportes) de Valencia, fruto de un “Cyber Engaño” ha sufrido un fraude (estafa) que le ha costado a la empresa pública más de 4 millones de euros.

Los Cyber Ataques no solo afectan a las instituciones y grandes empresas

Evidentemente lo que aparece en prensa y TV son los Cyber Ataques a Instituciones y grandes empresas por su repercusión mediática, pero estos no son más que la punta del iceberg, los Cyber Ataques son masivos y se pueden contar en millones afectando a todo tipo de usuarios de Internet.

Oleada masiva de correos electrónicos con virus

Llevamos ya varios días detectando la recepción de correos con suplantación de identidad que llevan adjunto un fichero que contiene malware (programa malicioso) ¡¡Ojo!! mucho cuidado. Hemos podido detectar que está habiendo una auténtica oleada de este tipo de correos.

¿Qué son correos con suplantación de identidad?

Son correos que recibimos con un remitente conocido, con un asunto amigable como por ejemplo… “Adjunto factura”, “Adjunto fotos familia”, “Dime si la documentación adjunta es correcta”… Etc.

Son correos muy peligrosos porque es muy fácil que instintivamente abramos el fichero adjunto que contiene el malware. Mientras no abramos el fichero no hay problema, el ordenador no se habrá infectado, nos limitamos a borrar el correo y ya está, ahora bien si hemos abierto el correo habrá que pasar inmediatamente un escaneo completo con el antivirus y a continuación cambiar todas las contraseñas.

Hay varias claves para detectar si es un correo con suplantación de identidad:

  • Fijarnos en la cuenta de email que aparece junto al nombre del remitente, en la mayoría de los casos no coincide con la cuenta real del remitente.
  • Ver que el texto que nos indican tenga una lógica. Si por ejemplo el correo nos dice que nos adjunta un justificante de transferencia y no estamos esperando ninguna transferencia, está claro que es un malware.
  • Ver que el nombre del fichero que nos adjuntan tenga alguna lógica.

En cualquier caso ¡¡ANTE LA DUDA!! ¡¡NO ABRIR JAMÁS UN CORREO ADJUNTO!! antes verificar su procedencia contactando directamente con el remitente y tomar siempre las medidas de seguridad informática más básicas. Es muy importante cambiar el hábito de no abrir de forma impulsiva ningún fichero adjunto.

Intento de estafa por email, uno mas.

Intento de estafa por email, uno mas.

Según nos están reportando algunos clientes, estos días se está produciendo un intento masivo de estafa a través del correo electrónico, uno mas.

En esta ocasión se trata de que se recibe un email enviado “aparentemente” desde la propia cuenta de correo en el que nos dicen que nos han hackeado la cuenta y que tienen información confidencial nuestra, poniéndonos a continuación un enlace para efectuar un pago en Bitcoins.

El que el remitente del correo sea nuestra propia cuenta de email no significa necesariamente que nos la hayan hackeado, existen técnicas para camuflar la cuenta real de envío y hacernos creer que nos lo envían desde nuestra propia cuenta, de hecho es lo que pasa en la mayoría de los casos.

Nuestro consejo, medidas a tomar:

  • Si lo detectamos, no abrir el correo.
  • Si lo llegamos a abrir, no descargar imágenes si las contiene y… EN NINGÚN CASO clicar al enlace que nos indican.
  • Aunque ya hemos dicho que lo normal es que no nos hayan hackeado la cuenta, no está de más como medida de seguridad adicional cambiar la contraseña de la cuenta de correo, recordad, las contraseñas como mínimo deberían ser de 11 dígitos y contener letras mayúsculas y minúsculas y números y no contener ninguna palabra que esté en el diccionario, un ejemplo de contraseña mínima correcta sería: HPL73NcsKi8.
  • Aunque esto hay que hacerlo periódicamente aprovechar para hacer un análisis completo del ordenador con nuestro antivirus habitual.
  • Ante la duda contactar con el proveedor de Servicios Web.

En el caso de los clientes de Aitana Multimedia, estaremos encantados de aclararles cualquier duda.

Adaptar página Web al RGPD e implementar el SSL

Adaptar página Web al RGPD e implementar el SSL

Adaptar página Web al RGPD y SSL - Aitana Multimedia

Reglamento General de Protección de Datos – RGPD

Va a hacer ya casi seis meses que entró en vigor el Reglamento General de Protección de Datos – RGPD – a nivel europeo, en concreto el pasado día 25 de mayo y podemos ver que aún hay muchas, muchísimas páginas Web que no cumplen con dicho RGPD, ni siquiera con unos mínimos. En este mismo Blog ya hemos escrito diferentes artículos sobre este tema:

El primer paso es acudir a un asesor legal para que les pueda asesorar de forma profesional acerca de los textos legales que obligatoriamente hay que incluir en las páginas Web de empresas, profesionales, instituciones, asociaciones, etc. Una vez dispongamos de estos textos, que normalmente serán el Aviso Legal y Política de Privacidad y Política de Uso de las Cookies, habrá que que insertarlos o en su caso actualizarlos en la correspondiente página Web, es aquí donde tendremos que acudir a nuestro proveedor habitual de diseño y programación Web.

En Aitana Multimedia ® hemos ofrecido ya en diferentes ocasiones este servicio de actualización en la Web de los textos legales pero vemos que aún quedan bastantes por actualizar, seguiremos insistiendo.

Certificado de Servidor Seguro SSL

Algo parecido sucede con la implementación del Certificado de Servidor Seguro SSL en los hostings de las páginas Web, llevamos tiempo también desde este mismo Blog haciendo hincapié en la necesidad de implementar el SSL tanto por cuestiones de seguridad como de optimización para un mejor posicionamiento SEO, pero vemos que siguen habiendo muchísimas páginas Web que siguen sin tenerlo y eso que existen Certificados de Servidor Seguro cuya contratación es gratuita.

En el caso de los clientes de Aitana Multimedia ® todas las páginas Web nuevas que hacemos ya les implementamos de forma gratuita el Certificado de Servidor Seguro y si son Webs que ya están en funcionamiento hace tiempo y están alojadas en nuestros Servidores Web, la contratación también es gratuita únicamente cobramos un pago único por la implementación.

¡INSISTIMOS! Recomendamos encarecidamente actualizar las páginas Web con los textos legales adaptados al nuevo RGPD e implementar el Certificado de Servidor Seguro

Contratar e implementar Certificado de Servidor Seguro SSL

Contratar e implementar Certificado de Servidor Seguro SSL

Ya en junio de 2015 escribimos un artículo en este mismo Blog sobre las ventajas de Contratar un Certificado de Servidor Seguro y posteriormente en enero de 2017 también en este mismo Blog otro artículo sobre el servicio de implementación de certificados SSL.

Bien, pues el tiempo nos está dando la razón. Diferentes navegadores como Firefox y sobre todo Google Chrome (el navegador más usado con diferencia) ya avisan de que una página Web no es segura si no cuenta con el Certificado de Servidor Seguro SSL.

En la imagen que encabeza este artículo, captada en Google Chrome vemos diferentes resultados que ofrece el navegador.

  • En el 1er. caso vemos que ya directamente el navegador nos indica en la barra de navegación a la izquierda de la URL que el sitio no es seguro.
  • En el 2º caso si bien no lo pone directamente si clicamos en la “i” de información veremos que se abre un desplegable donde se informa claramente que “Tu conexión con este sitio no es segura”.
  • En el 3er. caso, como es el caso de la página Web corporativa de Aitana Multimedia, vemos que si que está implementado el Certificado de Servidor Seguro SSL y aparece la leyenda de “Es seguro” junto a un candado verde.

Implementar el SSL

A la vista de la imagen y los resultados que se producen queda claro las ventajas de disponer del Certificado de Servidor Seguro SSL en la página Web, vamos a enumerar algunas:

Mejora la reputación online

Es evidente que si al entrar en una Web directamente nos dice que la página es segura esto va a mejorar la reputación online de la página Web.

Optimiza el cumplimiento del RGPD

Al disponer del Certificado de Servidor Seguro SSL implementado en la página Web, los datos “viajan” encriptados, es decir seguros. En aquellas páginas Web que disponen de formularios de recogida de datos, de registro de usuarios y sobre todo en Webs de Comercio Electrónico, Intranets, etc. se hace imprescindible disponer del Certificado de Servidor Seguro SSL para optimizar el cumplimiento del Reglamento General de Protección de Datos.

Mejora el posicionamiento SEO

Es sabido y en la Red podemos ver multitud de artículos en este sentido, que Google va a priorizar en sus resultados de búsqueda aquellas páginas Web que dispongan del Certificado de Servidor Seguro SSL.

¿Qué hacer?

A día de hoy hay muchos Servicios de Hosting que ofrecen un Certificado de Servidor Seguro SSL básico que es gratuito, hay que hablar con el proveedor de Servicios de Hosting y ver si dispone de esta opción gratuita. Ya anticipamos que todos los clientes de Aitana Multimedia disponen de este servicio gratuito. Lo hemos ofrecido y lo estamos ofreciendo a todos nuestros clientes.

Pero no basta con la sola contratación, que como decimos puede ser gratuita, también hay que hacer algunos cambios en las rutas de la programación de la Web.

  1. A través del “.httacces” hay que indicar al Servidor que redireccione automáticamente del “http://” al “https://”.
  2. Cambiar las rutas internas de la Web en el mismo sentido. Por mucho que implementemos el SSL si por ejemplo alguna imagen de la Web su dirección absoluta hace referencia a un “http://”, sin la “s”, el candado se mostrará tachado.

En nuestra opinión, a día de hoy ya diríamos que se hace imprescindible disponer de un Certificado de Servidor Seguro SSL en la página web.