Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia
Un investigador ha descubierto una docena de vulnerabilidades (FragAttacks) que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997.
Y, casualidades de la vida, al mismo tiempo se ha descubierto un fallo en unas cámaras de seguridad que han permitido a unos clientes fisgonear las casas de otros. Ambos casos afectan a empresas, pero también a domicilios particulares.
A veces la realidad es tozuda. Y a veces nos da la razón. Cuando en este blog insistimos en la necesidad de la ciberseguridad a todos los niveles o cuando en nuestras formaciones insistimos en la necesidad de estar siempre alerta y de tener un buen protocolo de ciberseguridad, muchas personas creen que por ser particulares o pymes no van a ser vulnerados. Se equivocan y hoy podemos traer aquí dos ejemplos muy claros al respecto.
Descubiertas vulnerabilidades en el protocolo WiFi existentes desde 1997
Uno de los investigadores en ciberseguridad más reconocidos del mundo, el belga Mathy Vanhoef, ha descubierto una docena de vulnerabilidades que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997. Algunas de ellas son fallos de diseño en el estándar WiFi, por lo que afectan a la mayoría de dispositivos y otros son fallos generalizados de programación.
Las vulnerabilidades detectadas pueden afectar a informaciones sensibles del usuario, como nombres y contraseñas. El problema más grande puede estar en las redes domésticas, ya que los posibles atacantes accederían a dispositivos del internet de las cosas, que no se suelen actualizar.
Podéis leer esta noticia en la sección de tecnología del diario El Mundo AQUÍ.
Mathy Vanhoef es un investigador especialista en ciberseguridad que saltó a la fama en 2017 cuando fue uno de los descubridores del KRACK, una vulnerabilidad que afectaba al protocolo WPA2 de la red WiFi. Precisamente las vulnerabilidades detectadas ahora, llamadas genéricamente FragAttacks tienen su base en las investigaciones realizadas desde entonces. Los amantes de la técnica debéis saber que el propio Vanhoeg ha creado una web específica (fragattacks.com) para explicar estas vulnerabilidades. La podéis ver AQUÍ.
exterior de Eufy
Foto en la web de Eufy Security
¿Videovigilancia o videofisgoneo?
Una empresa que presta servicios de videoviglilancia, Eufy Security, ha tenido que reconocer una brecha de seguridad en la app de la compañía tras una información recogida por 9to5Mac, una de las webs de noticias tecnológicas más importantes del mundo.
La brecha en cuestión permitió que algunos propietarios de cámaras Eufy pudieran ver imágenes recogidas de otros usuarios. En otras palabras, esos usuarios podían ver las casas de otros. Concretamente desde la app de Nueva Zelanda algunos usuarios podían ver imágenes de cámaras de Australia y visualizar también sus detalles de contacto.
La compañía informó que el error sólo afectó al 0,001% de sus usuarios y que se debió a un fallo de software durante la actualización del servidor. La brecha estuvo limitada en el tiempo y duró unas horas. Afectó a usuarios de Estados Unidos, Cuba, México, Brasil, Argentina, Nueva Zelanda y Australia, pero no al continente europeo.
Eufy es una empresa que desarrolla y crea dispositivos y aparatos inteligentes para el hogar que simplifican la experiencia global de hogares inteligentes (por ejemplo, aspiradoras robot). Forma parte de Anker Innovations, una empresa de marcas de electrónica de consumo líder en Estados Unidos.
¿Necesitáis poner cámaras de videovigilancia?
Bueno, vale, admitimos que el título del anterior párrafo no hace justicia a las cámaras Eufy y que la empresa reaccionó a tiempo y pidió disculpas. Pero estas cosas pueden pasar. A cualquiera de las marcas. Este comentario viene a cuento porque a continuación os vamos a hablar de otra empresa que se dedica, entre otras cosas, a la videovigilancia y que justamente ahora acaba de sacar al mercado nuevos productos.
La empresa D-Link ha presentado una renovación completa de su gama de videovigilancia profesional llamada “Vigilance”. Hay varios modelos de cámaras en formato Domo (las que poseen una carcasa semiesférica y compacta) y Bullet (las que tienen forma alargada “en bala” o hacia afuera), aptas para interiores y exteriores.
Foto en la web de D-Link
Entre las novedades más destacadas de estas cámaras se puede citar que proporcionan vigilancia 24/7; pueden ver hasta 30 metros de distancia, incluso en oscuridad o a contraluz; que las cámaras para exteriores son muy resistentes a la intemperie y funcionan con un rango de temperatura que va de los -30°C a los 50°C o que han mejorado ostensiblemente la resolución. En algunos modelos llega a ser de 1080 píxeles.
Además de las cámaras también se ha presentado un nuevo grabador de vídeo de red que puede conectar y alimentar hasta 16 cámaras.
D-Link Corporation es una empresa taiwanesa, un proveedor global cuyo negocio principal son las soluciones de redes y comunicaciones para empresas y particulares. Podéis ver los datos técnicos de la nueva gama en la web de D-Link clicando AQUÍ.
Imagen principal: logotipo de la web FragAttacks.com
- Publicado en Consultoría, General, Malos hábitos, Medios de comunicación, Noticias
Alternativas a sistemas operativos en smartphones – Parte II
Volvemos al tema de los teléfonos móviles seguros para seguir hablando de las alternativas libres en sistemas operativos para smartphones. Este tema lo empezamos hace unas semanas, concretamente el 10 de mayo, y hoy volvemos a él para acabar de explicaros cosas interesantes que esperamos que os resulten muy prácticas.
Tal y como os comentamos en nuestro primer artículo sobre este tema, nos hemos puesto manos a la obra para seguir probando alternativas a sistemas operativos en smartphone, que si, los hay.
En esta ocasión hemos preparado, instalado y usado, durante una semana LineageOS, un fork de Android, heredero de CyanogenMod, que promete mejor rendimiento, compatibilidad y actualización en terminales antiguos (por ejemplo Samsusng Galaxy S5 con Android 9), y que promete ser la panacea de la privacidad.
Vayamos por partes. Primero de todo: ¿qué es un fork? En informática se denomina así a un proyecto que en algún momento se separa de la base común del proyecto origen (en este caso se trataría de Android y de las zarpas de Google) y avanza en paralelo para crear un producto nuevo. También podría denominarse fork al sistema MacOs, ya que cogieron el sistema libre y de código libre FreeBSD, para no desarrollar uno desde cero.
Un poco de historia
Aclarado el primer punto pasamos al siguiente: ¿qué es, o qué era CyanogenMod? Era, sí. Hablamos en pasado porque cerró hace ya unos añitos, concretamente el 31 de Diciembre de 2016, después de 7 años de servicio.
Se resumía en una comunidad de desarrollo de una Rom para dispositivos Android, que sobre todo buscaba darle más vida a lo que comercialmente se conoce como renovación, y no quedarse con un “brick” (aunque se traduce como “ladrillo”, el símil más exacto seria “dispositivo que no vale para nada”, y lo puedes usar de pisapapeles).
Todo comenzó con el HTC Dream, y como esta comunidad logró acceso de root al dispositivo, se abrió la veda, aunque no a todo el mundo le hizo gracia. En las primeras versiones de esta Rom, se incluían las aplicaciones de Google, las Gaaps, de las que luego hablaremos, y que al tener código cerrado y propietario, no tenían derecho a usar. Después de alguna amenaza por los mandamases de la compañía, llegaron a un acuerdo, y pudieron seguir con la rom, sin dichas aplicaciones.
Se creó una empresa, Cyanogen Inc, para dar salida comercial a este mod, pero llegó en el momento en que los de Android espabilaron y actualizaban más los dispositivos. El resultado fue que el mod derivó a una capa de configuración y personalización, por lo que perdió el “alma”. No triunfó, y acabó cerrando en la fecha señalada anteriormente.
Damos un paso más. Es la hora de volver a LineageOs, ya que recogió el testigo. ¿Por qué nos encanta este software? Promete compatibilidad con modelos antiguos, esos a los que Android oficialmente ya no da soporte, con lo cual los usuarios se quedaron con un sistema antiguo, sin software… Y claro, si no es seguro, ya no te dejan usarlo, y además, lo más importante, sin Google…
Pero… ¿qué quiere decir esto de “sin Google”? Nos referimos a dos cosas, siendo la primera y la más importante, sin su yugo, su control, su análisis de tus datos, etc. Y la segunda, sin las aplicaciones preinstaladas, las famosas Gaaps (aunque veremos que esto no es importante si queréis instalarlas en LineageOS, aunque sea un sinsentido).
Para instalarlo, como con cualquier otro sistema operativo, necesitamos el teléfono rooteado (o sea, que lo hayamos desbloqueado), que hayamos instalado un bootloader (gestor de arranque) y luego instalar el sistema, desde este mismo bootloader.
Nosotros volvimos a usar Fastboot, porque siempre nos funciona bien, porque lo puedes conectar a un ordenador, vía drivers ADB, o desde el menú al que puedes acceder vía botón de encendido y aumentar volumen. Luego navegamos por dichas opciones. Dependiendo de la versión o del dispositivo pone una frase u otra, pero seguramente, instalación, actualización, o algo similar, dándonos la opción de ir a buscar el archivo.
“Et voilà”, después de unos minutos de instalación, iniciará nuestro nuevo sistema. Viene con ciertas apps ya instaladas, pero al ser un core Android, es compatible con cualquiera.
Y os preguntaréis ¿cómo se instalan las apps si no vienen con la Play Store? Pues hay varias opciones:
Una podría ser un gestor de repositorios alternativo, opensource, libre o similar, donde se vayan publicando (sí, esto existe, y sin que Google sepa que os descargáis, usáis, instaláis, cómo, cuándo, etc.). Por ejemplo F-droid.
La segunda opción seria, ¿cómo instalamos esta dichosa app, F-droid sin la tienda? Pues tendréis que bajar el archivo .apk, pasarlo al dispositivo, ya sea con cable o a través de la tarjeta, e instalarlo. Este paso seguramente tendrá una advertencia, de “instalar aplicaciones desde repositorios no seguros“, solo hay que cambiar dicha opción desde los ajustes, y problema resuelto.
Si en F-droid no tenéis la aplicación que buscáis, la podéis bajar con este segundo método alternativo. Aunque para algunos pueda resultar engorroso, lo cierto es que no tiene mayor complicación. En ESTE enlace solo tendremos que poner el link de la Play Store de la app que queramos, y en ESTE, podremos hacer una búsqueda de la app que queramos. Pero hay muchos más.
Ahora viene lo complicado, desengancharse de Google, de sus servicios y de lo que todo ello conlleva. Pero con un poco de paciencia, y pruebas, veréis que no es complicado. Como hemos dicho, podéis descargar las apps por distintos métodos, pero si lo que buscáis es hacerlo completo, hay que usar alternativas. Así, si queréis igualmente usar todas las apps de Google, podéis buscar distintos packs disponibles, como por ejemplo OpenGapps.
Nosotros estamos usando, a nivel corporativo y recomendando a nuestros clientes, el sistema Nextcloud, del que hicimos un primer artículo que podéis leer AQUÍ, donde explicamos todas sus bondades. Necesitaréis una aplicación de terceros, llamada DAVx, para poder conectar sin problemas, ya que realiza conexiones CalDAV/CardDAV para sincronizar contactos, calendarios o tareas, en plataformas compatibles con este protocolo.
Bien, ya tenemos las apps que necesitamos, y además contactos, calendario y ficheros (si tenéis imagen, y no la versión virtual, asegurar bien el teléfono, sino cualquiera podrá acceder), ahora nos falta el sustituto de Gmail.
Así que como servidor de correo, ProtonMail, como no, que ya llevamos un tiempo con ellos, y permiten usar tu dominio, después de una sencilla configuración. Y para finalizar Telegram y Signal, aunque no solemos enviar ni facturas, ni presupuestos ni ficheros sensibles, por mucho que nos lo pidan los clientes.
Y una semana de pruebas, contentos, más que con Ubuntu Touch, que aún le falta un poquito de desarrollo, y aprovechamiento de hardware, ya se sabe que las comunidades dependen de sí mismas para avanzar y eso cuesta.
Así que no tengáis miedo a desengancharos, ¡hay vida más allá de Google o de iPhone!, que luego nos quejamos del trato que dan a nuestros datos.
Y acabamos con el mismo consejo con el que terminábamos la primera parte de este artículo: al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Alternativas a sistemas operativos en smartphones
A veces insistimos mucho en los temas de seguridad en Internet y en nuestros dispositivos. Pero actualmente un smartphone es prácticamente una oficina completa y quizá no le prestamos la atención necesaria. Hoy queremos adentrarnos en este complicado mundo de los teléfonos móviles seguros y hablaros de las alternativas libres en sistemas operativos para smartphones.
Para empezar queremos ser muy sinceros y deciros que inicialmente este post se titulaba “Diferentes soluciones en teléfonos encriptados”, pero al final lo hemos cambiado, porque hemos preferido seguir el rumbo que ha cogido nuestra experiencia en esta área.
La idea era hacer un repaso a diferentes soluciones comerciales y opensource de encriptación. Pero nuestra experiencia ha visto que algunas son muy caras o muy complejas. Otras tienen una muy mala fama, ya que han salido a la luz como “distribución maligna hecha por delincuentes”. Y vale, de acuerdo en que no sea realmente así, pero ahí debemos luchar contra los medios generalistas, que cuando se refieren a este tipo de temas se nota que no son expertos. Sin embargo, su influencia en los consumidores es considerable y revertir este tipo de opiniones es muy difícil. Pasa lo mismo con la palabra Hacker, cuyo significado ha sido siempre tergiversado en los medios, haciéndola sinónimo de ciberdelincuente, cuando no es así, como hemos explicado mil veces en TECNOideas.
Pero volvamos al tema que nos ocupa. Os proponemos leer un artículo que tiene el llamativo título de “Siete teléfonos que la CIA no puede espiar. Cómo crear un celular cifrado desde cualquier teléfono inteligente”, publicado en noticiasdeseguridad.com y que aporta varias soluciones.
Sin embargo, para probar algo de verdad y no solo la instalación, hay que usarlo a diario, en un entorno real. Así que vamos a hablar de Ubuntu Touch instalado en un Xiami Redmi Note 7, que era uno de los 10 dispositivos con mayor compatibilidad para este sistema.
La instalación cuesta, no os vamos a engañar. Hay que rootear el teléfono (el proceso que permite obtener un control del aparato y modificar algunas funciones que vienen por defecto), y desprotegerlo. Pero los de Xiaomi se lo toman en serio. Necesitáis una cuenta con ellos, daros de alta con el dispositivo, bajar una aplicación de escritorio para Windows y realizar el proceso.
Luego es algo más fácil, ya que Ubports, que desarrolla Ubuntu Touch, tiene aplicación de escritorio para varios sistemas: Windows, Linux, Mac… A través de este programa identifica o le decís el dispositivo a cargar la imagen, y os dirá cual tenéis que descargaros.
A partir de aquí es más o menos un proceso sencillo, de aceptar/descarga/transferencia de archivos, etc. semi automático.
Todo hay que decirlo: a nosotros nos costó este proceso por el cable. No sabemos bien lo que ocurría, y después del tercer fallo lo tuvimos que cambiar por otro igual, misma marca y modelo, y finalmente nos funcionó.
Aquí es donde se prueba un elemento, usándolo día a día, y hay que ser sincero: si estáis acostumbrados a otro dispositivo, ya sea Android o iPhone, Ubuntu Touch de momento no es lo mismo. Si queréis desconectar y tener un aparato para ir consultando de vez en cuando, esa es vuestra solución.
Hay Apps nativas, pero no para todo lo que se usa a diario. Ejemplos: ProtonMail, Telegram y Gmail. Son todas aplicaciones web, que son funcionales, pero no son iguales, no dan avisos, no hay pop-ups (o a nosotros no nos han funcionado), son versión web, y difíciles de ver e interactuar, etc.
Se supone que hay conexión nativa con Google para calendario, contactos y demás, pero lo mismo, como el navegador de pop-ups, que no se puede cambiar, no lo acepta Google, no deja conectar.
Otra de las opciones, que usamos nosotros, es Nextcloud. Pues, venga, solo sincroniza el calendario, aunque viene como cuenta de opción básica.
Tuvimos que importar datos a la antigua usanza, con acciones export/import a ficheros, pero no es la solución del día a día, claro está.
Seguimos probando, y no nos desanimamos, ya que es un buen sistema, consume pocos recursos y poca batería, pero si estáis acostumbrados a alertas, avisos, a que lo haga todo y dicte vuestro ritmo de vida, no es para vosotros.
Tened muy en cuenta estas cuestiones. Al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD
Las populares marcas del mundo informático no dejan de proponernos que guardemos nuestros archivos en sus servidores. Y poco a poco frases como “Guárdalo en la nube”, “Súbelo a la nube”, “Migra al iCloud” han pasado a formar parte de nuestro lenguaje habitual, casi en el mismo ámbito de “estar en el limbo”. Y del uso particular al empresarial. Uno de los puntos fuertes de la digitalización de las empresas, en general, sean del sector que sean, es el tener una “nube”. ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Aunque técnicamente nube o cloud, pueden ser muchas cosas, la gente lo asocia, casi mayoritariamente, a tener sus archivos subidos a un servidor, y puede que compartidos con el equipo o terceros, como gestores, asesores financieros, etc.
Es aquí donde empiezan los problemas de ciberseguridad y protección de datos. Pero hay que saber que no es solamente una cosa nuestra, sino que las plataformas son así, y hay leyes de por medio, que dictan donde y cómo debemos tener nuestros datos empresariales.
El problema aumenta con las diferentes alternativas de nube que hay en el mercado, porque son muchas. Las más conocidas: Google Drive, Microsoft OneDrive, Dropbox, etc. Pero lo que deberíamos preguntarnos antes de sucumbir a la presión de los sistemas informáticos de nuestros ordenadores es: ¿Están encriptadas? ¿Cumplen la RPGD/LOPD? ¿Son fáciles de usar? ¿Tienen medios para poder auditar rápidamente? Y así, muchas más preguntas.
Antes de continuar, os recordamos las siglas: RPGD es el Reglamento Europeo de Protección de Datos y LOPD es la Ley Orgánica de Protección de Datos.
Bien, ya nos hemos formulado esas preguntas y entonces averiguamos que las nubes comunes y de pago no cumplen todo esto. ¡Tenemos que buscar otro tipo de soluciones!
Desde TECNOideas os diremos que hay una muy reconocida, muy recomendada y que además es opensource, o sea de código abierto. El tener código abierto es muy ventajoso, porque significa que cualquier persona puede ver el código del software. Y eso nos lleva a que podemos buscar proveedores de pago o montarnos nuestra propia plataforma. Tomad nota: estamos hablando de Nextcloud. Y si alguno de vosotros, que no nos conoce mucho, puede llegar a pensar que tenemos un interés especial en Nextcloud, os lo sacaremos de la cabeza diciendo que hasta el CCN-Cert lo recomienda. Lo podéis leer en ESTE enlace.
Pero… ¿qué es Nextcloud?
Nextcloud, es una herramienta completa orientada a empresas y particulares, cuya función es actuar como un servidor de almacenamiento en la nube de fotos, datos, archivos… ¡y mucho más! Está desarrollado con el objetivo de ofrecer rentabilidad y productividad a empresas, aunque su uso es completamente útil para particulares. Por ello permite una gran personalización a través de la instalación de Apps o módulos, que permite ampliar funcionalidades más completas, según las necesidades.
Eso es lo que reza en su página web, y realmente es eso y mucho más. Comienza con los archivos en la nube, encriptados, para que nadie pueda verlos, por mucho que entre a la fuerza.
Tiene aplicación de escritorio, “como las mejores”. Esto es algo que nos solicitan muchas empresas. Y también, la comunicación entre el escritorio y el servidor es encriptada. Pero por supuesto, puedes trabajar solo contra navegador.
Y además… muchas otras cosas: calendario, webmail de correo, mensajería instantánea, videoconferencia, y multitud de herramientas más, ya que al ser opensource, o sea, el código abierto a todo el mundo, se pueden realizar añadidos muy interesantes.
Nosotros por ejemplo, siempre usamos, e intentamos convencer (y casi “obligar”) a nuestros clientes, a que usen un gestor de contraseñas, como Keepass o variantes. Pues efectivamente, hay una aplicación para poder integrar este software, y gestionar todas nuestras contraseñas en la suite de Nextcloud, porque ya es eso, una suite.
Los temas de control y auditoría, por ejemplo, son todo facilidades. Un log de actividad, tanto reciente como histórico, ver archivos compartidos y con quien, etc.
Ahora lo de siempre ¿es gratis? Es opensource, eso quiere decir que os lo podéis descargar, y a partir de ahí, depende de lo “manitas informático” que seáis. Si tenéis un mínimo de conocimientos, vosotros mismos podéis instalarlo, configurarlo, mantenerlo y hacerlo funcionar.
Pero si no es vuestro caso, tenéis varias opciones, como contratarlo a un proveedor externo, que hay unos pocos en Europa (tema RPGD) o, mucho más fácil, nos lo podéis pedir a nosotros. TECNOideas os contratará un VPS solo para vuestra empresa, os lo instalaremos y lo pondremos en marcha. ¡Fácil!
Este es un ejemplo más de los servicios añadidos que TECNOideas puede ofreceros. Porque lo mejor en este mundo es adaptarse a las necesidades reales de cada empresa. Y eso significa que podemos recomendaros soluciones concretas para cada necesidad. Por eso cuando os pregunten ¿Archivos en la nube? La respuesta debería ser siempre “Sí, pero de forma segura y cumpliendo la RPGD”.
¡Contactadnos y solicitadnos un presupuesto!
Imagen principal: 200 Degrees en Pixabay
- Publicado en Consultoría, General, Noticias, Productos, Seguridad, Software libre
YubiKey u otra key de autenticación con 2FA
A veces somos un poco pesados con las medidas de seguridad que tomamos nosotros y que transmitimos a nuestros clientes. Por supuesto que también son recomendaciones que hacemos llegar al público en general. Hoy queremos hablaros de una que creemos sinceramente muy necesaria, como es el doble factor de autenticación. Así que si sois de los que creéis que todo esto solo resta productividad porque son un poco más enrevesadas, leed con atención este artículo en el que os descubrimos Yubikey u otra key de autenticación con 2FA.
A pesar de nuestra insistencia, en nuestro quehacer diario, cuando visitamos clientes por vez primera o cuando hablamos con responsables de informática de muchas empresas, vemos que medidas esenciales como las que pasamos a enumerar a continuación siguen brillando por su ausencia.
¿Cuáles de estas medidas empleáis vosotros?
• No guardar las contraseñas en un navegador.
¡Qué fácil resulta que el navegador trabaje por nosotros!, ¿verdad?
• Esa práctica tan extendida como nociva de guardar todas las contraseñas en un archivo Excel.
• Usar un gestor de contraseñas.
• Bloquear el PC cuando uno se levanta, ¡aunque sea un minuto!
• Comprobar las URLs o archivos adjuntos que llegan por nuestro correo electrónico.
• Usar siempre que sea posible el doble factor de autenticación (2FA).
que tomamos cada uno de nosotros.
Imagen de Werner Moser en Pixabay
Bien, seguro que muchos de vosotros nos diréis que todo eso está superado, que ya habéis superado este curso. Vale, pero aun así, hoy os queremos hablar especialmente del doble factor de autenticación. Y es que ya es corriente que casi todos los buenos servicios cuenten con esta opción, para que el servicio se ponga automáticamente contigo a través del servicio que tu elijas, o que te deje hacer login con o además de un hardware.
Vamos a hablaros de Yubikey u otra key de autenticación con 2FA, porque la esencia de este artículo es hablar de llaves de hardware, con NFC (Near Field Communication) o tecnología inalámbrica de corto alcance o USB. Hemos probado ya tres marcas diferentes, pero sin duda las YubiKey son las que nos parecen más adecuadas. YubiKey es un dispositivo creado por la empresa estadounidense Yubico para proteger ordenadores, redes y servicios online. Suelen ser fáciles de configurar, y casi todas han funcionado bien, siempre, en todos los sistemas que hemos probado: Windows, MacOs, Linux y Android.
ha creado la llave YubiKey.
¿Qué servicios nos han aceptado el 2FA? De momento Twitter, Gmail, WordPress, GitHub y Cloudamo (un proveedor de Nextcloud), al igual que el escalado de privilegios con super usuario (sudo) en Linux.
¿Como funciona? Fácil y sencillo, primero configuramos nuestra llave en nuestro sistema, o sistemas, con su respectiva guía, y luego cada servicio es un mundo, claro, pero en las opciones de nuestra cuenta podemos activar el 2FA. Al activarlo, nos pedirá validar como lo haremos, casi siempre es software, pero como os comento, estos que hemos probado dejan por hardware. Introducimos nuestra llave, la validamos, y… ¡voilà!
Podéis seguir más detenidamente cada paso a través del soporte online de Yubico AQUÍ.
A partir de entonces, cada vez que entremos en uno de estos servicios, y después de hacer login normalmente, nos pedirá que insertemos la llave, y toquemos el botón de actuación.
Os dejamos AQUÍ el comparador de productos de Yubikey, que es la marca “más compatible” con los servicios. Y esperamos que los servicios que no se han sumado al carro del 2FA.
Hay otros tipos de hardware, como receptores de tokens únicos, y también de soluciones por software como la de Google.
Como siempre comentamos, hay para todos los gustos, así que os toca probar y ver cual es la que más os gusta, a vosotros, o a vuestra empresa, o la que os resulte más práctica, pero eso sí, ¡siempre dentro de la seguridad!
- Publicado en Consultoría, General, Hazlo tu mismo, Seguridad
Instalación de VmWare player en Ubuntu
No es la primera vez que os hablamos de Ubuntu en este blog. Nos encanta porque es un sistema operativo de software libre y código abierto. Hoy volvemos a él para tratar el tema de las máquinas virtuales y concretamente cómo debe hacerse la instalación de VmWare player en Ubuntu.
Aunque no es difícil, la instalación del software de máquinas virtuales VmWware player en Ubuntu, conlleva algunas particularidades. La principal es que hay mucha gente que se está pasando, cuando todavía se encuentra en proceso de estudio o adaptación, y no domina la shell o terminal de comandos. Así que os vamos a explicar este proceso sencillo.
Primero, VmWare, al igual que Virtualbox, se usan para ejecutar o crear máquinas virtuales, para hacer correr, sin tener que instalar en otras particiones, sistemas operativos varios, para pruebas, estudio, entornos controlados, etc.
Empezamos con estos dos sencillos comandos, el primero para actualizar el sistema, y el segundo para instalar dependencias, o software que necesitará VmWare Player.
sudo apt-get update
sudo apt-get install wget gcc build-essential linux-headers-generic linux-headers-$(uname -r)
Después podemos descargar e instalar a través de este enlace la versión para nuestro Ubuntu, o seguimos con la consola.
cd /tmp
wget --user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:75.0) Gecko/20100101 Firefox/75.0" https://www.vmware.com/go/getplayer-linux
A continuación le damos permisos y ejecutamos la instalación.
chmod +x getplayer-linux
sudo ./getplayer-linux
Cuando termine, y salga este mensaje…
Extracting VMware Installer…done. Installing VMware Player 15.5.2 Configuring… [######################################################################] 100% Installation was successful.
… en el buscador del sistema pondremos “VMware” y lo abriremos, para concluir el proceso de instalación con un asistente.
Este proceso es válido tanto para Ubuntu 18.04 como para 20.04. Ahora solo queda instalar, crear, importar o cargar máquinas virtuales para trastear con ellas, y no poner en peligro nuestro sistema operativo.
Más sobre Ubuntu en el blog de TECNOideas
Os recordamos los artículos que hemos escrito a lo largo del 2020 referidos a Ubuntu, por si no los visteis en su momento y os pueden ser de utilidad.
- Como activar el botón derecho del Touchpad en Ubuntu 18.04 y posteriores. Publicado el 13 de enero. Lo podéis leer AQUÍ.
- Instalar un Lenguaje Tool en LibreOffice con Ubuntu, toda una odisea. Publicado el 24 de marzo. Lo podéis leer AQUÍ.
- Cambiar fondo pantalla Ubuntu automáticamente. Publicado el 15 de junio. Leer AQUÍ.
- Ubuntu: no hay espacio carpeta var/logs llena. Publicado el 29 de junio. Leer AQUÍ.
- Ubuntu: sobre el pop up “no hay espacio carpeta var/logs llena” – Segunda parte. Publicado el 9 de julio. Leer AQUÍ.
- mp4 en ubuntu. Publicado el 31 de agosto. Leer AQUÍ.
Esperamos que todo esto os ayude. ¡Mucha suerte a tod@s!
- Publicado en Consultoría, General, Hazlo tu mismo
DMARC dominios y correos electrónicos
Uno de los problemas más comunes con el que nos encontramos es la autenticación de los correos electrónicos. En la mayoría de ocasiones, se debe a lo que se conoce como email spoofing, que es la creación de mensajes de correo electrónico con una dirección de remitente falso o al phishing. Para evitar esta práctica fraudulenta se creó DMARC.
Las siglas DMARC son un acrónimo del inglés “Domain-based Message Authentication, Reporting & Conformance“. En castellano sería “Autenticación de mensajes, informes y conformidad basada en dominios“. Hace referencia a un método de autenticación de correos mediante inscripción del dominio, que crearon PayPal junto con Google, Microsoft y Yahoo! Podéis leer lo que dice al respecto la Ayuda de Administrador de Google Workspace.
Para los que queráis saber algo más, os puede resultar muy interesante este artículo de Marketing4eCommerce, un medio de comunicación en línea especializado en marketing digital, e-commerce y startups. Y por supuesto, también la Wikipedia aporta valiosa información.
En realidad estamos ante una firma digital de conformidad con los procesos SPF y DKIM, para certificar que efectivamente somos nosotros quien envía a través de esa configuración, según está la llave pública. El objetivo es interceptar correos de suplantación de identidad.
Pero este modo de configuración conlleva la realización de unos informes que recopilan ISP’s para realizar comprobaciones y no estaba claro si eso implicaba la utilización de datos personales, lo que no cumplía la legislación de la Unión Europea. Con esta excusa hubo gente con mala intención que quiso eliminarlo, por “no cumplir con la RGPD”, es decir con el Reglamento General de Protección de Datos.
Pero, según la Asociación Alemana de la Industria de Internet (Verband der deutschen Internetwirtschaft e. V.), abreviado ECO, los informes de DMARC son generalmente admisibles y justificados, pero bajo consideración del principio de proporcionalidad.
El siguiente paso, es que periódicamente, cuando hemos configurado este sistema de autenticación, hay proveedores que envían informes de los emails enviados. Eso lo hacen para que corroboremos, que es lo mismo que ellos ven para detectar que son “buenos o malos”.
Así que si después de configurar este sistema, os llegan correos con un .zip adjunto, no os preocupéis, dentro están los informes de actividad generados con el tráfico de correos. ¿Útil, no?
- Publicado en Consultoría, General, Hazlo tu mismo
¿Y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
A pesar que en TECNOideas ya no somos consultores de tecnología informática “en general”, algunos clientes y conocidos siguen preguntándonos cosas al respecto. Nos referimos a preguntas sobre como arreglar móviles, instalar ordenadores, o arreglar problemas de velocidad en sus instalaciones domésticas.
Hoy nos quedamos con esta última cuestión, porque es redundante a lo largo del tiempo. Ciertamente en el tema de la velocidad intervienen muchos factores y algunos de ellos no son realmente informáticos. Sabemos (y lo vemos continuamente) que muchas veces es cuestión de wifis con interferencias. Por ejemplo, cuando hay mucha distancia entre aparatos y unos quedan muy lejos de los otros, con muros de piedra (o incluso plomo) de por medio.
Pero también hemos visto que hay gente que tiene rúters de más de 100 megabits, con cableado CAT5e o CAT6, pero con un cruzado, que no es precisamente “mágico” (permitidnos un chiste para los más viejunos).
Y es que por muchos megas que de vuestro operador, si vuestro adaptador de red, no pasa de 100 megas, pues no habrá magia. Es en ese momento que nos planteamos la pregunta ¿y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
En el tema del cableado, si este no tiene las terminaciones correctas, es decir en un lado 568A y en el otro lado 568B, tal como está en la figura, por mucho cable CAT5e o CAT6 que sea, no podrá dar la velocidad requerida, 1.000 megabits por segundo.
Así que si hacéis un Test de Velocidad por cable, y pese a tener esa categoría de cables el resultado es que no pasáis de 100 megabits, plantearos cambiar uno de los extremos, tal y como os hemos explicado.
Y si el problema es que no tenéis esa categoría en el cableado, plantearos cambiarla a una más moderna.
Os queremos recordar que TECNOideas tiene una importante área de formación. Y uno de sus cursos básicos es el de Ciberseguridad en el teletrabajo. Se trata de un curso sencillo, de 4 horas de duración, donde se explican algunas de estas cosas, imprescindibles en este momento en que el trabajo en el domicilio se hace con equipos caseros, con rúters sin protección y que se usan tanto para el teletrabajo como para el estudio escolar, la contabilidad familiar o los videojuegos. En él podréis hacer la pregunta que da pie a este artículo: ¿Y si tengo una conexión de 300, 600 o más megas, pero mi prueba por cable me dice que mucho menos?
- Publicado en Consultoría, Formación, General, Noticias
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)?
Toda empresa que trabaje, preste un servicio en régimen de concesión, encomienda de gestión o contrato que le relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.) deben certificar que cumplen el Esquema Nacional de Seguridad.
El ENS determina la política de seguridad en la utilización de medios electrónicos. Está constituido por unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Naturalmente todas las Administraciones deben adecuarse a ello. Pero también las entidades privadas que manejan datos sensibles, de alto riesgo, deben implantar el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad?
• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.
Tenéis más información en la web del Centro Criptológico Nacional.
TECNOideas os ayuda en todo el proceso de certificación.
Confiad en una empresa especializada en ciberseguridad.
¿Cuál es el marco regulatorio del ENS?
• Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se crea el Esquema Nacional de Seguridad.
• Real Decreto 3/2010 de 8 de enero. Se aprueba el ENS y determina la política de seguridad en la utilización de medios electrónicos. Fija los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley 40/2015 de 1 de octubre. Recoge el ENS en su artículo 156 apartado 2.
• Real Decreto 951/2015 de 23 de octubre. Recoge el entorno regulatorio de la Unión Europea de las tecnologías de la información y de la experiencia de la implantación del Esquema.
• Tras esta última actualización se determinó que sería exigible su completo cumplimiento a partir del 5 de noviembre de 2017.
La legislación prevé multas y sanciones para las empresas que aun no están certificadas.
Tenéis más información en el portal de la administración electrónica (PAE) del Gobierno.
La legislación prevé multas y sanciones
para las empresas que aun no están certificadas.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¿Qué medidas de seguridad recoge?
El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:
• Marco organizativo: 4 medidas
• Marco operacional: 31 medidas
• Medidas de protección: 40 medidas
Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.
Para los niveles MEDIO o ALTO, la certificación es obligatoria.
En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.
Las empresas deben implantar los controles que establece el ENS para cada caso. La certificación se consigue superando una auditoría de una entidad independiente y autorizada por el Centro Criptológico Nacional.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¡Certificaros con TECNOideas 2.0.!
Os ayudamos a obtener vuestra certificación. Si ya sois clientes nuestros y ya conocemos vuestras necesidades, la certificación puede ser más rápida.
Si todavía no nos conocéis, podéis certificaros con nosotros y así descubriréis nuestra forma de trabajar y nuestra experiencia.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad
Wontech, consultoría tecnológica neutral
Que todas las empresas puedan tener una consultoría en TICS es el reto que se marcó la consultora Wontech cuando se fundó en 2016. Dos años después desembarcó en España. Y ya están presentes en varios países de Europa. Para conocer mejor los servicios de esta empresa hablamos con Daniel Fernández, Partner Alliance Manager en Wontech.
No formas parte del equipo inicial, pero conocías a los fundadores de Wontech y ya llevas más de dos años en la empresa. ¿Cuál es el secreto de que una compañía pequeña, con poco personal, crezca tanto en clientes y en facturación?
El secreto es desarrollar un nuevo modelo de relación entre clientes y proveedores basado en la experiencia previa de nuestro equipo en tecnología y desarrollo de negocio. Proponemos un servicio diferente y neutral a nuestros clientes y dedicamos la mayor parte de nuestros recursos a asesorarlos. Al mismo tiempo dejamos la mayor parte de tareas transaccionales en manos de la tecnología.
“Dedicamos la mayor parte de nuestros recursos
a asesorar a los clientes
y dejamos la mayor parte de tareas
transaccionales en manos de la tecnología.”
Uno de los secretos es que vuestra asesoría no cuesta dinero a los clientes porque tenéis unos patrocinadores ¿Cualquier empresa puede ser espónsor de Wontech? ¿Qué pasa si una empresa no es lo que parece y al final no funciona la relación?
Obviamente tienes que ofrecer soluciones y servicios que encajen con la demanda del mercado. Desde Wontech damos un voto de confianza a las empresas que quieren colaborar con nosotros, y si no funciona simplemente significa que nuestros modelos de negocio no encajan.
Aparte de la operativa, ¿cuál crees que es vuestra diferencia fundamental respecto a empresas de venta de leads y consultoras de venta?
El origen del lead y la cualificación técnica, esas son las principales diferencias. Detrás de cada lead hay un cliente de Wontech al que asesoramos en todo tipo de tecnologías. Un consultor de Wontech cualifica su necesidad para encontrar el proveedor adecuado para una necesidad concreta.
Marketing, el eterno dilema para la pequeña empresa. ¿Cómo encontráis nuevos clientes?
La mayor parte de los leads provienen de nuestra comunidad de clientes. Hay que entender sus necesidades y sus planes a medio y largo plazo para poder detectar la oportunidad. Como cualquier compañía, vamos creciendo y captamos nuevos clientes, pero el marketing no es nuestra herramienta principal.
“Wontech debe ser un aliado
que te aporte negocio adicional,
de forma directa y flexible.”
Hacéis un gran trabajo en los informes iniciales que no hacen otras empresas de venta de leads. ¿Crees que una empresa pequeña con 3-4 opciones al mes puede dejar de hacer marketing y tener una buena vía con vosotros?
Entendemos Wontech como una herramienta complementaria a las acciones de marketing y al resto de herramientas comerciales. Wontech debe ser un aliado que te aporte negocio adicional, de forma directa y flexible.
Desde hace un tiempo, hacéis hincapié en la ciberseguridad a vuestros clientes. ¿Es el momento de la ciberseguridad por necesidad? Vuestras empresas cliente, ¿ya están más abiertas y receptivas a la necesidad de comprar y mantener servicios de ciberseguridad?
Diría que fue en el 2019 cuando las pymes decidieron dar el paso adelante. El 2020 está confirmando la tendencia que, sumada al impacto de la COVID y el aumento de la operativa online nos ha llevado a que el 22% de los leads publicados en los últimos 2 meses sean de la línea de seguridad.
“TECNOideas es una opción viable para muchos clientes,
no hay un solo proveedor válido para todas las empresas.”
¿Qué os aportan empresas pequeñas, como la nuestra, con cultura hacker y gente ya muy experimentada? ¿Es TECNOideas 2.0 una opción viable para según qué tipo de cliente teniendo en cuenta que en España hay gigantes de ciberseguridad?
Wontech es una buena solución para que los clientes conozcan empresas que hagan las cosas de otra manera. Definitivamente empresas como TECNOideas 2.0 nos aportan ese valor diferencial. TECNOideas es una opción viable para muchos clientes, no hay un solo proveedor válido para todas las empresas. Damos mucha importancia a la cualificación del lead justamente para que empresas como vosotros podáis elegir el proyecto adecuado.
- Publicado en Consultoría, Entrevistas, General
Español 
Català