944 063 154

Blog

Desarrollando aplicaciones más seguras con Microsoft Application Inspector

Publicado enGeneral en febrero 19, 2020 10:00 am

Hoy en día es muy habitual utilizar componentes de terceros para el desarrollo de aplicaciones; funcionalidades escritas por otro miembro de tu equipo o por usuarios de la comunidad open source. Este tipo de prácticas permiten reducir el tiempo de desarrollo y hacer aplicaciones más completas, pero también pueden suponer un riesgo. Para evitar agujeros de seguridad o malas prácticas en desarrollo web, la compañía de Redmond ha liberado Microsoft Application Inspector; una herramienta para analizar el código fuente de una aplicación.

¿Qué es Microsoft Application Inspector?

Escrita sobre .NET Core, Microsoft Application Inspector es un analizador de código fuente que, además de detectar amenazas de seguridad, identifica los cambios y ayuda a comprender el código fuente.

Si bien no es la primera aplicación de estas características, Microsoft Application Inspector se diferencia de todas ellas en que no se limita a detectar prácticas pobres de programación; sino que va más allá en sus verificaciones automáticas. Comprobaciones que, de realizarse de forma manual, sería necesario invertir más tiempo, además de requerir mayores conocimientos al ser una tarea más difícil.

Con Microsoft Application Inspector después del análisis se obtiene un informe final con toda la información de la aplicación para saber si existen problemas de seguridad, si algunas funciones pueden mejorarse o si se han producido cambios importantes o nuevas características en el código.

Pero Microsoft Application Inspector no solo es de gran utilidad para detectar problemas en el código; también es de gran ayuda en todas las fases de un proyecto. La herramienta permite identificar con gran facilidad las diferencias entre cada fase, así como mostrar las líneas añadidas que pudieran suponer un problema de seguridad, como una puerta trasera.

El uso de Microsoft Application Inspector no debería sustituir las revisiones de seguridad; sino que se trata de una herramienta que sirve de gran ayuda a la hora de detectar problemas. Compatible con diferentes lenguajes de programación, Microsoft Application Inspector está disponible en GitHub.

Microsoft, cada vez más open

La llegada de Satya Nadella ha supuesto un antes y un después en la filosofía de Microsoft. Una apuesta por el código abierto que, lejos de perjudicar a los beneficios o funcionamiento de la compañía, no ha hecho más que favorecer el crecimiento de una Microsoft que llevaba años estancada. Dejar atrás la dependencia del sistema operativo Windows y las aplicaciones de ofimática para apostar por el cloud, la inteligencia artificial y otras tecnologías solo ha tenido consecuencias positivas para los de Redmond.

Aunque llevan años ofreciendo herramientas para hacer más fácil el día a día de los programadores, hasta hace muy poco todas ellas eran privadas. Pero, desde el cambio de 2014 cuando Microsoft se decidió a apostar por el software libre, cada vez son más el número de aplicaciones accesibles a todos. Algo que sirve para reafirmar el compromiso de Microsoft con el desarrollo de aplicaciones cada vez más seguras; además de convertirse en un referente para otras grandes compañías.

El efecto 2038 o la nueva llegada de un apocalipsis informático

Publicado enSistemas TI en febrero 12, 2020 10:00 am

Cuando se cumplen dos décadas el efecto 2000 ya empezamos a prepararnos para el siguiente apocalipsis tecnológico. Aunque en aquella ocasión el desastre no fue tal, parece que en dieciocho años la historia volverá a repetirse con el llamado efecto 2038.

¿Qué fue el efecto 2000?

El error del milenio fue un problema informático que hizo saltar las alarmas con el cambio de siglo. Aunque para cuando los cuartos y las doce campanadas comenzaron a sonar ya se había perdido parte del miedo al efecto 2000, lo cierto es que en los meses previos el pánico fue muy real.

Desde los años 60 los programadores fueron acostumbrándose a omitir las dos primeras cifras de los años, aquellas que hacen referencia al siglo, por ser más práctico y consumir menos memoria. Con el cambio de siglo se creyó que los sistemas no serían capaces de detectar el año 2000 y volverían atrás en el tiempo hasta el año 1900.

El principal temor del efecto 2000 era que los sistemas más básicos, como los encargados de suministrar energía o los bancos, pudieran fallar. Con ello las cuentas corrientes se quedarían a cero, las telecomunicaciones no estarían operativas y cualquier sistema que dependiera de un ordenador dejaría de funcionar. Pero ni la llegada del 1 de enero iba a producirse a la vez en todo el mundo ni todos los aparatos susceptibles de sufrir el efecto 2000 lo harían al mismo tiempo. Puesto que algunos de ellos estaban apagados durante el cambio de año, no se podía establecer una fecha límite para saber si un dispositivo había sufrido, o no, el efecto 2000.

Lo que ahora parece una anéc

dota más y una excusa para vender más equipos ante el temor del apocalipsis informático, quizá pudo haber sido un desastre para el que nos preparamos a tiempo. Una previsión millonaria permitió estar preparados para el cambio de milenio, algo que de haber sucedido hubiera provocados miles de millones en pérdidas; aunque no evitó que se produjera algún que otro problema.

Y2K38: el efecto 2038

Apenas han pasado dos décadas del efecto 2000 y ya estamos temiendo la llegada del efecto 2038. Parece que al igual que las modas, los apocalipsis informáticos son algo que también se repite cada cierto tiempo. La diferencia entre aquel drama del milenio y el efecto 2038 es que este último no coincide con el cambio de año; aunque también tiene fecha y hora exactas.

El error 2038 afectará a los sistemas de 32 bits que recurren a POSIX para la representación del tiempo. A diferencia del efecto 2000 donde la comodidad hizo que las fechas solo tuvieran dos cifras; el problema del efecto 2038 es alcanzar el límite máximo de capacidad del sistema para generar fechas. Es decir, un sistema de 32 bits admite un total de 4.294.967.296 combinaciones posibles, tanto positivas como negativas, una cifra a la que se llegará el 19 de enero de 2038 a las 03.14 UTC.

El sistema POSIX se basa en contar el número de segundos transcurridos desde la medianoche del 1 de enero de 1970 hasta completar el máximo permitido por el sistema. Al llegar a las 03.14 del 19 de enero de 2038, los equipos pasarían de forma automática al 13 de diciembre de 1901; exactamente el número de combinaciones negativas que admite POSIX. Eso en el mejor de los casos, puesto que los sistemas también podrían dejar de funcionar.

Más o menos lo mismo que pasó en 2014 cuando el contador de visitas de YouTube llegó a su máximo a causa del boom del Gangman Style. Ese record sirvió para que Google se viera obligada a parchear su aplicación y al resto de los mortales nos mostrara que en internet también había límites.

¿Qué podría pasar?

Afortunadamente en esta ocasión la tecnología está de nuestro lado. Desde hace tiempo los fabricantes de procesadores y los desarrolladores de sistemas operativos y aplicaciones apenas usan versiones de 32 bits. Así, la gran mayoría de los dispositivos que utilizamos actualmente recurren a versiones de 64 bits. El uso de 32 bits ha quedado relegado a algunas empresas e instituciones públicas, para las que tampoco está todo perdido porque aún están a tiempo de prevenir el efecto 2038.

Quedan aún dieciocho años para actualizar todos los dispositivos a arquitecturas de 64 bits; aunque lo más probable es que para entonces todos hayan sido reemplazados por otros nuevos. Puede que una vez más nos hayamos preparado para la llegada del apocalipsis informático con suficiente antelación; o puede que acabemos viajando al pasado si en 2038 aún quedan sistemas de 32 bits.

Digitalizar el mercado es más fácil con el Digital Market de Hermeneus

Publicado enEventos y Colaboraciones en febrero 5, 2020 10:00 am

No será la primera, ni seguro la última, vez que decimos que en estos tiempos si no estás en internet es como si no existieras. Por ello cada vez son más los comercios que se deciden a llevar al online sus tiendas físicas; incluso hay quienes nacen directamente en internet para después terminar de crecer en el establecimiento físico. En muchos sectores y tipos de comercio este salto es bastante sencillo, pero en el mercado tradicional no tanto. Para facilitar la digitalización de los procesos claves de los mercados y los comercios tradicionales, Hermeneus tiene la herramienta perfecta.

El Digital Market de Hermeneus

Digital Market es un software que lleva, literalmente, el mercado a internet. Con esta herramienta no es necesario que cada uno de los comercios desarrolle su sitio web, sino que es posible gestionar la versión digital del negocio alojada en una plataforma compartida con el resto de puestos de su mercado. Así no es necesario saltar a internet en solitario ni tener que sacrificar los beneficios de las ventas por utilizar plataformas de terceros como Amazon.

La plataforma desarrollada por Hermeneus, y fruto del trabajo de una década, lleva el mercado de toda la vida al mundo online en el que nos movemos. Con Digital Market puedes hacer todas tus compras en varios puestos de un mismo mercado. Esto es posible porque, aunque cada comercio se gestiona por separado, todos comparten una serie de servicios comunes; como los repartos a domicilio, la pasarela de pago, campañas publicitarias… El modelo no es válido únicamente para mercados, puede utilizarse para asociaciones de comerciantes, agrupaciones, administraciones… cualquier conjunto de establecimientos que quiera promover su actividad.

De esta forma, todos los establecimientos comparten estética y funcionamiento, pero cada negocio se gestiona de forma independiente en cuanto a productos, información o promociones. Además, el acceso a cada comercio puede realizarse de dos formas; bien directamente en la web del comercio, bien a través del propio mercado o asociación, donde se puede consultar qué establecimientos se encuentran en la plataforma.

Una plataforma para cualquier necesidad

Digital Market nació como una forma de abrir una nueva ventana al mundo a agricultores y ganaderos vascos en un sector en el que no es tan habitual comprar a través de internet. La falta de costumbre, o el hábito de acudir a los establecimientos físicos, son barreras que hasta hace poco parecían insalvables para el sector de la alimentación. Hasta que la posibilidad de contar con un escaparate siempre abierto y la aparición de una herramienta como Digital Market, simplificó el proceso. Así, el software de Hermeneus ha ido perfeccionándose hasta convertirse en un referente para el pequeño comercio en España. Para lograrlo ha sido imprescindible saber adaptar la tecnología a los cambios que iban produciéndose.

Porque no todos los negocios son iguales, el software desarrollado por Hermeneus se adapta a las necesidades de cada uno de los comercios. Con diferentes tipos de licencias de uso, cada una de ella implementa unas funciones concretan que se ajustan al proceso de digitalización de cada uno de los comercios. Para saber qué tipo de licencia se requiere en cada caso y comenzar a utilizar la plataforma de Hermeneus, solo hay que completar un pequeño formulario. A partir de ahí, cada comercio es libre de gestionar su establecimiento online para obtener los mejores resultados.

A diferencia de otras plataformas, Hermeneus se limita a ofrecer el software a través de licencias anuales y garantizar el óptimo funcionamiento de la plataforma. Es decir, no cobra comisiones por producto ni interfiere de forma en los beneficios obtenidos por los establecimientos a través de su software. Además, con Digital Market es el propio comercio quien tiene todos los datos del comprador y no el propietario de la plataforma; para que en el caso de que decidieras dejar de utilizarla, no pierdas toda tu cartera de clientes.

Hermeneus en cifras

En sus diez años de recorrido, Hermeneus ha desplegado diez plataformas por toda España. Entre todas suman más de dos mil comercios y cuarenta mil referencias de productos, lo que ha convertido a Digital Market en un referente para todos los implicados en el pequeño comercio. Ente los que destaca Mercado 47, agrupación de los mercados municipales de Madrid, y Lorra Market, un proyecto respaldado por la Diputación Foral de Bizkaia para la digitalización del sector agroganadero.

Por todo ello han resultado ganadores de la segunda edición del Concurso de Ideas Tecnológicas para el Comercio Minorista por parte de la Secretaría de Estado de Comercio del Ministerio de Industria, Comercio y Turismo. Asimismo, la Comisión Europea ha reconocido el software como la mejor práctica de Europa para la modernización y revitalización del pequeño comercio. Este mismo organismo ha publicado una guía entre todas las autoridades locales europeas para fomentar la puesta en marcha de iniciativas similares, despertando el interés de otras plataformas internacionales con la que actualmente están negociando.

Revitalizar y modernizar el mercado local tradicional es más fácil con el software de Hermeneus, además de favorecer unos buenos hábitos alimenticios basados en productos frescos.

Zombieload y CacheOut, más vulnerabilidades de Intel

Publicado enCiberataques en enero 30, 2020 10:00 am

Por tercer enero consecutivo, algunos procesadores vuelven a estar en problemas como consecuencia de las vulnerabilidades de Intel. Desde que en 2018 se descubrieran los problemas de seguridad bautizados como Meltdown y Spectre, los comienzos de año no han vuelto a ser lo que eran. Si bien Spectre afectaba no solo a los procesadores de Intel, sino también a los diseños de AMD y ARM tanto en ordenadores, como en smartphones o servicios en la nube.

Meltdown y Spectre, el inicio

Cuando se descubrieron estas dos vulnerabilidades de Intel, inicialmente se consideró que podrían permitir a un software malicioso controlar los procesos y los datos de la memoria del equipo. Pero, gracias a Project Zero de Google, vieron que el problema iba más allá. Alguien que explotara Meltdown o Spectre podría hacerse con los datos que se almacenaban en la memoria de otros programas.

Así, Meltdown acababa con el estado de aislamiento entre una aplicación y el sistema operativo, otorgando el acceso a la memoria del sistema. Spectre, por su parte, rompía el aislamiento entre aplicaciones, aunque su programación estuviera basada en las mejores prácticas, para permitir el acceso a la memoria de otras aplicaciones.

Mediante un problema denominado ‘ejecución especulativa’, el procesador ejecutaba un código que, llegado a un punto del algoritmo, debía decidir entre dos direcciones en función de cuáles habían sido los datos de entrada. Con estas vulnerabilidades de Intel el ciberatacante trataba de adivinar por dónde iba a continuar el proceso e intentaba adelantarse. Si el procesador se daba cuenta de que la ejecución especulativa no era correcta, volvía atrás y deshacía esos datos. Pero antes, los almacenaba en su caché. De esta forma podían diseñarse peticiones, aprovechar los fallos especulativos y acceder a esta memoria para hacerse con las contraseñas.

Ellas y sus variantes

Cuando el susto provocado por Meltdown y Spectre parecía que había pasado, llegaron sus variantes. Y solo unos meses después llegaría Foreshadow, un conjunto de tres nuevas vulnerabilidades de Intel basadas en la ejecución especulativa de Spectre. Mediante estos tres fallos de seguridad se podía extraer información de la caché de los procesadores y leer otro tipo de datos de la memoria. Como era de esperar, Foreshadow afectaba a algunos de los procesadores que ya estaban afectados por Spectre.

En mayo de 2019 salía a la luz Zombieload, una vulnerabilidad que afectaba a todos los procesadores Intel a partir de 2011. El tercer gran problema de seguridad que Intel sufría en los últimos años, permitía a un tercero acceder a la información del usuario sin que este le hubiera dado permiso. Esta carga zombie obligaba al procesador a pedir ayuda al microcódigo para evitar un fallo; haciendo que la información tenga que ir más allá de la aplicación y sus limitaciones, queden al descubierto y puedan leerse sin problemas.

En esta ocasión, tuvimos constancia de que había una nueva vulnerabilidad cuando ya estaba disponible el parche que lo corregía. En noviembre de 2019 se publicó la segunda actualización para reducir aún más el poder de Zombieload. Ahora, en enero de 2020 se ha publicado un tercer parche que corrige dos errores más que podían ser explotados para un ataque.

Desde el primer momento Zombieload fue considerado más fácil de explotar que Spectre, pero mucho menos que Meltdown. Por ello, Intel comenzó por corregir los fallos más básicos que permitían la ejecución de Zombieload en sus primeros parches; aunque desde Intel afirman que no tienen constancia de que ninguno de los errores haya sido utilizado fuera del entorno controlado de laboratorio.

Parcheando las vulnerabilidades de Intel

En estos momentos Apple, Google y Microsoft han publicado las actualizaciones pertinentes para mitigar cualquier ataque Zombieload. Para la actualización de software Intel habrá que esperar un poco más, posiblemente porque junto a Zombieload también se ha descubierto CacheOut. Un nuevo fallo que permite filtrar los datos almacenados en la memoria caché del procesador, saltándose cualquier medida de seguridad a nivel de hardware del procesador, incluidas las medidas de seguridad que se tomaron con Meltdown.

Parece que casi dos años después de Meltdown y Spectre, Intel aún no ha sido capaz de reponerse de sus vulnerabilidades. ¿Conseguirán corregir todos los agujeros de seguridad con el nuevo parche? ¿Surgirán otras vulnerabilidades nuevas? Eso, solo el tiempo nos lo dirá.

El rickroll sigue vivo más de 30 años después

Publicado enCiberataques en enero 22, 2020 10:00 am

Año nuevo, más vulnerabilidades. Apenas unos días le han bastado a 2020 para que aparezca la primera vulnerabilidad del año. ¿El sistema afectado? Windows 10. ¿La forma? Un rickroll.

¿Qué es un rickroll?

Si en los 80 estabas en plena adolescencia, o si lo estaban tus padres, es muy probable que en tu casa haya sonado Rick Astley unos cuantos cientos de veces. Bueno, tal vez toda su discografía no, pero su archiconocido ‘Never gonna give you up’, seguro que sí. Pues un rickroll es más o menos eso; insertar un enlace trampa que, en lugar de redirigirte al contenido que te interesa, te lleva a este temazo de los ochenta.

El primer rickroll del que se tiene constancia fue en mayo de 2007. Los rickrolleados, que así es como se llaman los afectados, abrían un enlace con la intención de ver el tráiler del ‘Grand Theft Auto IV’ y… se encontraban con el bueno de Rick Astley moviendo las caderas. Unas semanas después la broma se convirtió en tendencia en internet y para el April Fool’s Day de 2008 hasta YouTube rickrolleaba sus vídeos, tanto que según una encuesta de SurveyUsa, 18 millones de estadounidenses habían sido víctimas del rickroll.

Llegó el drama

Con los años la canción ha terminado por convertirse en uno de los principales memes de internet. Y también en uno de los vídeos más vistos con más de 600 millones de reproducciones.
El 23 de febrero de 2010 el vídeo original utilizado para rickrollear fue eliminado por error de YouTube. Por una confusión con los términos de uso ‘Never gonna give you up’ fue retirado, aunque volvía a estar disponible en menos de 24 horas.

Aunque parezca una novedad, no es la primera (ni será la última) que un rickroll se utiliza para demostrar vulnerabilidades en los sistemas. Por ejemplo, en abril de 2008, Kaminsky lo utilizó para revelar un grave problema de seguridad en Facebook y PayPal.

El rickroll en Windows 10

El fallo de seguridad de Windows 10 fue aprovechado para insertar un rickroll en la web de la NSA, la Agencia de Seguridad Nacional de Estados Unidos, y GitHub. Insertar el vídeo de Astley fue posible por un exploit que permitía falsificar las webs protegidas por HTTPS que podían ejecutarse desde Chrome, Microsoft Edge u otros navegadores.

Pese a la broma, lo cierto es que se trataba de una vulnerabilidad muy grave. Por ello fue necesario aplicar el correspondiente parche en los servidores con las versiones vulnerables de Windows y el reinicio de los servicios. Igualmente, en el caso de los navegadores, ya que la vulnerabilidad afectaba a todo tipo de servicios que utilizaran Windows, no únicamente a los servidores.

Ya sabes, para evitar ser vulnerable, ‘never gonna give you up’, pero en mejorar tu ciberseguridad.

Todas las novedades y mejoras de Plesk Obsidian

Publicado enNovedades en enero 15, 2020 10:00 am

Plesk Obsidian, la última versión del panel de control más utilizado para la gestión de alojamientos web, ha llegado para sustituir a Onyx. Esta nueva versión de Plesk, además de algunos cambios estéticos en la interfaz para una mejor experiencia de usuario, trae consigo mejoras de seguridad, monitorización y optimización de los sitios web.

Mayor seguridad con SSL it!

SSL it! es una extensión de Plesk Obsidian que permite, a través de una sencilla interfaz, realizar todo tipo de tareas relacionadas con certificados de seguridad SSL. Para garantizar que tanto el servidor como las webs alojadas en él estén protegidos en todo momento, SSL it! es compatible con las principales autoridades certificadoras, como Let´s Encrypt. Además, está previsto que próximamente se añadan otras muchas entidades más.

La seguridad SSL se ha convertido en una funcionalidad básica en Plesk Obsidian. De ahí que ahora SSL it! vaya preinstalado en todas las nuevas instalaciones, y también se ofrezca en las actualizaciones del panel de control.

Además, con SSL it! es posible:

  • Instalar y renovar certificados SSL de diferentes entidades certificadoras de una forma más sencilla.
    Asegurar tu dominio, subdominios, las versiones con y sin www y el webmail de una forma más simple. De un solo vistazo podrás ver qué está protegido con un certificado SSL y qué no.
  • En aquellos dominios protegidos por un certificado no válido (autofirmados, expirados o emitidos por una autoridad certificadora que no sea de confianza), se emitirá, instalará y renovará un certificado Let’s Encrypt. De esta forma, incluso si se produjera algún problema con el certificado, tanto la web como el servidor estarán siempre protegidos.
  • Gestión HSTS, protocolo OCSP y HTTP para redirigir de forma automática a HTTPS.
  • Poder consultar el estado del certificado asociado a un dominio, sus subdominios y los diferentes alias de dominio desde un mismo lugar. Estos estados contarán, además, con unos indicadores en la página del dominio para que sea más sencillo identificar el estado.
  • Siempre se utilizarán las últimas versiones del protocolo criptográfico TLS.
  • Con SSL it! se obtienen las mejores puntuaciones en ssllabs, la herramienta que verifica la seguridad de una página web.

Kit de auto-reparación con Plesk Obsidian

Aunque no es una novedad de Plesk Obsidian puesto que existe desde anteriores versiones del panel de control, en esta última versión se mejoran y añaden funcionalidades. La herramienta de autoreparación de Plesk detecta y resuelve de forma automática problemas en el panel de control y sus servicios. Además:

  • Permite ver la lista de procesos que están ejecutándose en el servidor y filtrarlos en función del dominio. También es posible, en caso de que fuera necesario, matar los procesos.
  • Consultar los recursos disponibles (CPU, RAM y espacio en disco) para todos los procesos que se ejecutan en el servidor o en procesos individuales.

Monitorización avanzada

Esta es una de las funcionalidades exclusivas de Plesk Obsidian. Una extensión que permite hacer uso de unas gráficas de monitorización avanzadas, pero que deberá instalarse de forma manual una vez se haya actualizado o instalado la última versión de Plesk. Fundamentalmente:

  • Esta extensión reemplaza a la herramienta Health Monitor, ofreciendo mayor información gracias a la extensión Grafana.
  • Permite configurar alertas de notificación en relación al consumo de recursos a través de correo electrónico o notificaciones push, en el caso de tener instalada la app de Plesk en el dispositivo. Igualmente, si se produjeran problemas que afecten a la disponibilidad del servidor o la web.

Sencillez con PHP Composer

La nueva versión de Plesk trae algunos cambios en el gestor de paquetes PHP para que programar sea más sencillo y visual. Así:

  • Plesk Obsidian permite utilizar PHP Composer a través de la interfaz de usuario sin acceso SSH. Además, desde la interfaz web es posible configurar nuevas variables, editar composer.json y ejecutar los comandos que permiten instalar nuevos elementos y actualizarlos.
  • Ya no será necesario recordar comandos u opciones para instalar o actualizar componentes, Plesk Obsidian se encargará de ello con solo hacer click en la opción.
  • Las actualizaciones son básicas para garantiza la seguridad de un sistema informático, pero si hay incompatibilidad entre los elementos pueden ‘romper la web’. Por ello, la nueva versión de Plesk revisa todos los componentes instalados y ayuda a decidir si tiene sentido instalar las actualizaciones o no; además de mostrar a través de indicadores si las actualizaciones pueden causar problemas o no son compatibles con la configuración actual.
  • De forma automática los sitios web utilizarán las últimas versiones de PHP especificadas en composer.json., la versión correcta del controlador de PHP y no la del sistema por defecto; sino la misma versión que se utilice en cada sitio web.

Limitación de permisos en Plesk Obsidian

La opción antes conocida como ‘custom view’ pasa a llamarse ‘modo de acceso restringido’. Además, permitirá que el administrador de la suscripción Plesk Obsidian tenga un mayor control sobre las operaciones que pueden hacerse y quiénes pueden llevarlas a cabo. Esta nueva funcionalidad está disponible tanto para administradores de Plesk como para los administradores adicionales y posibilita:

  • Ver qué herramientas de administración del servidor y configuraciones disponibles.
  • Las herramientas de administración del hosting y las configuraciones disponibles.
  • Consultar los servicios y recursos de las suscripciones que están disponibles para el administrador.

Esto permite proporcionar a cualquier usuario acceso como administrador, en lugar de acceso reseller o usuario, mientras que se puede controlar el acceso a operaciones delicadas; como la gestión de las actualizaciones, los reinicios o apagados del servidor

Nuevo sistema de notificaciones

Para que estar al tanto de lo que ocurre en tu suscripción Plesk Obsidian sea más sencillo, la última versión del panel de control ofrece una mejor experiencia de usuario y control del servidor y las webs alojadas en él sin tener que iniciar sesión. De esta forma se tiene constancia de los problemas críticos que puedan ocurrir en la suscripción a la vez que ofrece una solución en pocos pasos para que el usuario no tenga que perder demasiado tiempo en arreglar el problema.

  • Notificaciones a través de correo electrónico. Los mensajes con formato HTML son más sencillos de leer que el texto plano, además de ser más visuales y diferenciarlos del resto de emails de la bandeja de entrada.
  • Notificaciones del panel a través de la interfaz web o mediante push en la aplicación móvil, en el caso de tenerla instalada en el Smartphone.

Mejoras en el servicio de correo

  • Puesto que Plesk se utiliza en la mayoría de los casos para poder disponer de servicio de correo en un servidor cloud, las mejoras en relación al correo electrónico son fundamentales.
  • El email para un dominio puede asegurarse con un SSL individual mediante SNI.
  • Notificaciones de consumo cuando un buzón de correo esté por encima del 95% de su capacidad.
  • Tanto el servidor de correo como el webmail están disponibles a través de HTTPS por defecto, protegidos por el mismo SSL que asegura el panel de control.
  • El administrador puede cambiar las contraseñas de los usuarios, revendedores o cualquier otro rol de usuario mediante un enlace.
  • Los usuarios pueden restablecer su contraseña, incluso si han perdido el acceso a su correo principal, especificando otra dirección de correo.

Otras funcionalidades de Plesk Obsidian

  • En sistemas basados en Linux, los servicios que fallen se restauran de forma automática.
  • Mejoras de PHP-FPM y Apache para que el reinicio de los servicios sea más seguro.
  • Los reinicios ‘suaves’ (graceful) de Apache están establecidos por defecto, al ser más robustos y contribuir a minimizar los tiempos de caída de un sitio web.
  • Las aplicaciones mod_security y fail2ban están activadas por defecto para ofrecer mayor seguridad.
  • Para los nuevos sitios web, se activará por defecto la redirección HTTP > HTTPS. De esta forma, además de encriptarse la comunicación, es más fácil ser SEO-friendly.
  • El motor de PHP que utiliza Plesk Obsidian contiene las extensiones PHP más utilizadas.
  • El módulo PageSpeed de Apache para la optimización de sitios web ahora viene pre-compilado con Nginx.
  • Se ha optimizado el punto de entrada de Plesk Obsidian para poder ser utilizado en diferentes servicios cloud, como Amazon AWS o Google Cloud.
  • El gestor de archivos permite subidas masivas y también la búsqueda de archivos por nombre o contenido para mejorar la productividad.
  • Mover dominios entre suscripciones para reorganizar un negocio o mantener determinadas webs aisladas o separar las webs en desarrollo de las webs en producción. El único requisito para hacer uso de una de las funcionalidades más esperadas de Plesk es que la suscripción de destino cuente con recursos disponibles.

Si utilizas Plesk para gestionar tu alojamiento web, o simplemente para disponer de servicio de correo en un servidor cloud, todos los cambios de Plesk Obsidian te serán de gran ayuda.

¿Utilizas de forma adecuada los términos hacker y cracker?

Publicado enCiberataques en enero 8, 2020 10:00 am

Las redes sociales, los medios de comunicación, internet o el cine son un elemento clave en la viralización de contenidos y también de nuevos términos. El problema llega cuando desde cualquiera de esas plataformas se envía un mensaje erróneo; un cambio que llegará a miles, sino millones, de personas y que dificultará la rectificación. Y esto es lo que ha ocurrido con el término hacker.

¿Qué es un hacker?

Aunque tradicionalmente la palabra se ha asociado con los piratas informáticos o la criminalidad en internet, lo cierto es que significa todo lo contrario. Si bien esa confusión comenzó en el mismo lugar en el que se utilizó por primera vez; para cuando llegó al español ya estaba totalmente desvirtuada.

Los primeros usos del término se encuentran en las Islas Británicas en el siglo XIII donde parece que la palabra surgió como derivado del verbo inglés ‘to hack’. Cinco siglos después comenzaría a utilizarse para referirse a los conductores de vehículos tirados por caballos de la raza hackney; hasta que se popularizó el vocablo francés ‘taxi’. Más o menos en la misma época el término hacker empezó a usarse para referirse a aquellos trabajos que resultaban pesados y rutinarios; especialmente entre los escritores (hack-writer) que escribían por encargo y sin motivación alguna en publicaciones de escasa calidad.

En un diccionario de 1959 encontramos la primera referencia de hack como sinónimo de proyecto sin ningún fin práctico e iniciado por desconocimiento o como una broma producto de la creatividad. Este diccionario terminaría siendo años después la base de Jargon File, un glosario que recoge los principales términos de la jerga informática y al que contribuyeron grandes figuras del open source como Stallman o Raymond. Para el primer uso de hacker en el ámbito tecnológico habría que esperar hasta 1975 cuando el MIT (Massachusetts Institute of Technology) lo utilizó para referirse a una persona que programa por placer.

Una cosa y lo contrario

Con el tiempo la palabra hacker terminó por adoptar dos significados. Teniendo en cuenta que los primeros ordenadores estaban pensados para llevar a cabo cálculos matemáticos, podría considerarse como una labor pesada y rutinaria; además, había quienes trataban de encontrar el lado creativo de su trabajo programando para buscar mejoras en los sistemas.

Ingenieros informáticos como Feynman, participante en el Proyecto Manhattan, desconectaban de su trabajo diario poniendo a prueba la seguridad de aquellos primitivos sistemas. Un hobby que se recoge en ‘¿Cómo ser un hacker?’, un artículo de Raymond donde la afición a los conocimientos técnicos en se junta con la capacidad de superación y de poner a prueba la seguridad de los sistemas informáticos. De esta forma es posible plantear soluciones a problemas que ni siquiera se conocían y que, quizá, no hubiesen sido descubiertos de otra forma.

Cambios en el lenguaje

El lenguaje y la tecnología no avanzan al mismo ritmo. Así, mientras que diariamente se utilizan nuevos términos para designar nuevas actividades, productos o cualquier tipo de nuevo elemento tardan meses, e incluso años, en recogerse en los diccionarios. Un proceso que es especialmente lento en el caso de la tecnología, donde todo evoluciona a un ritmo vertiginoso que no se corresponde con la frecuencia con que se incluyen nuevos términos en el diccionario.

Las palabras que se recogen en el Diccionario de la Real Academia Española (RAE) dependen del uso que se hace del lenguaje. De ahí que la palabra hacker no fuese incluida en el diccionario hasta 2014, cuando el término ya se había popularizado con un significado erróneo en la sociedad. Habrían de pasar tres años más hasta que la RAE rectificara y añadiera una segunda acepción que hiciera referencia a los hackers buenos, el verdadero significado del término, y no sin crear polémica en la comunidad especializada en seguridad informática.

De cracker a hacker

En la gran mayoría de los casos en los que se recurre a la palabra hacker, lo adecuado sería utilizar el término cracker; puesto que generalmente se utiliza el término con connotaciones negativas, en lugar de su verdadero significado. Esta confusión demasiado habitual y generalizada para referirse a los crackers como hackers indigna a los verdaderos ‘piratas buenos’. Mientras que unos destruyen cosas, los otros trabajan a diario para crear nuevas funcionalidades y mejorar la seguridad a partir de los sistemas disponibles en ese momento.

Este cambio en el significado de la palabra es, en gran parte, producto de la desinformación de los medios y la industria cinematográfica. Así, además de algunas noticias, películas como ‘Hackers’ no han hecho sino contribuir a la desvirtuación de la palabra y aumentar la percepción negativa en el imaginario colectivo.

No es necesario dedicarse a la informática para ser hacker, es posible hacerlo en otros ámbitos como la música o la electrónica, ni siquiera es imprescindible tener a mano la más alta tecnología. Está más relacionado con dar importancia a lo que se hace para explorar nuevos caminos y, sobre todo, mejorar los sistemas.

2019 se perderá en el tiempo ¿como lágrimas en la lluvia?

Publicado enGeneral en diciembre 26, 2019 10:00 am

Cuando en 1982 llegó a los cines Blade Runner las expectativas sobre un futuro, que ahora es presente, cambiaron considerablemente. Aunque esas predicciones tenían como fecha de caducidad 1992, según el libro de Philip K.Dick en el que se inspira la película, Ridley Scott decidió hacerlas aún más futuras. Noviembre de 2019 ya es parte del pasado y ni los coches vuelan, ni vivimos entre replicantes, ni nos hemos mudado a la Luna o Marte; al menos no por el momento.

Eso sí, Blade Runner acertó en algunas cosas que se han convertido en clave en la tecnología de esta década, como el reconocimiento de voz o el desarrollo de la inteligencia artificial. Aunque sin ser tan inteligente y tan poco artificial como se muestra en la película.

Al margen de lo presagiado por Blade Runner, el 2019 ha dado para mucho, tecnológicamente hablando, y es el momento de repasarlo.

El ransomware de Jerez

Ni un año sin el correspondiente susto por ransomware. A comienzos de mes de octubre el Ayuntamiento de Jerez sufría un ataque de ransomware que dejaba inoperativos todos los equipos del consistorio. Mil trescientos ordenadores que tuvieron que ser analizados uno por uno por el CNI para conseguir desencriptar la información contenida. Las tareas se demoraron un par de semanas, tiempo en el que algunos organismos del Ayuntamiento permanecieron fuera de servicio o sin poder realizar muchas de sus labores diarias.

Este tipo de ataques informáticos son bastante habituales, recordemos WannaCry en 2017 y cómo afectó a grandes compañías. Y, desgraciadamente, no es posible una protección infalible contra el ransomware, pero siempre pueden tomarse medidas que ayuden a minimizar riesgos, o al menos supongan un plan de contingencia. Desde contar con copias de seguridad externas en servicios como Cloud Backup o DRS, si se trata de grandes infraestructuras, a mantener el software siempre actualizado.

Incluso en 2019 gran parte de los problemas informáticos tienen su origen en la falta de actualización de los equipos y programas informáticos. Si bien las actualizaciones pueden añadir más funcionalidades, su principal propósito es solucionar problemas de seguridad. En este sentido muchas instituciones continúan utilizando versiones de sistemas operativos o programas sin soporte de seguridad. Muchas papeletas para acabar sufriendo un ciberataque.

Las cuentas hackeadas

Prácticamente a la vez las cuentas de Twitter de Atención al cliente de Correos y la Universidad Pública de Navarra (UPNA) sufrían un ataque. Durante el tiempo que perdieron el control de sus perfiles sociales, los atacantes aprovecharon para publicar mensajes ofensivos. Tuits que acabaron siendo virales y de los que las propias empresas acabaron por tomarse con humor. Una vez solucionado el problema, eso sí.

El caso de Correos Atiende fue aún más grave, ya que además del hackeo se intentó estafar a los usuarios a través de SMS. Un ataque de phishing basado en enviar una notificación al usuario solicitándole el pago de una tasa de aduanas a través de un sitio web que, evidentemente, no tenía relación alguna con la empresa de envíos. Por ello, es muy importante aprender a detectar este tipo de ataques; ya que, además de hacerse con el control de tus datos, pueden acabar sacándote unos euros.

Y no solo Correos cayó en las manos de los suplantadores de identidad, el cliente de correo para webmail Roundcube también lo sufrió. Mediante un correo a nombre del servicio de emails, se avisaba de que la cuenta había sido deshabilitada tras varios intentos erróneos de inicio de sesión. Un aviso engañoso que únicamente trataba de hacerse con la cuenta del usuario porque, entre otras cosas, Roundcube no envía mensajes a tu buzón. Más o menos lo mismo que ocurrió con los dominios .eu. Una vez más, en 2019 también ha ‘reinado’ el mal.

El cambio en los pagos digitales

La nueva directiva PSD2 ha supuesto algunos cambios en las compras online. Entre ellos la necesidad de implementar la doble autenticación a la hora de realizar una transacción, dejando atrás las famosas tarjetas de coordenadas. La teoría es perfecta, pero como siempre el problema llega en la práctica.

Gran parte de las entidades bancarias siguen utilizando el SMS como factor de doble autenticación, lo que ha propiciado la aparición del SIM swapping. Una técnica que explota la poca seguridad de los mensajes de texto para hacerse con el control de las cuentas bancarias de los usuarios. Para ver el código de seguridad enviado por tu banco al hacer cualquier operación desde la banca online no es necesario desbloquear el dispositivo; lo que hace enormemente fácil burlar esta medida de seguridad.

2019, la llegada de Firefox Monitor

La compañía del panda rojo ha lanzado un servicio para alertar si alguna de tus claves de acceso ha sido comprometida. En colaboración con Have I Been Pwned (HIBP), la base de datos que permite conocer si las direcciones de correo se han visto expuestas, Mozilla lanza Firefox Monitor. Aunque no es el único servicio de estas características que existe.

Con este servicio, en lugar de tener que buscar si nuestras direcciones están a salvo, muestra la seguridad de la cuenta al acceder al servicio; en el caso de que el servicio haya sufrido algún robo. En cualquier caso, tanto si tus contraseñas han sido expuestas como si no, te recomendamos cambiar tus claves de acceso de forma periódica. Y si, además, estableces contraseñas seguras en todos tus servicios mucho mejor. De esta forma que alguien acabe descubriendo tus passwords será mucho más difícil.

Sabemos que mantener los sistemas actualizados es esencial para añadir seguridad. Por ello desde Linube contamos con diferentes tipos de servicios de administración de sistemas, de forma que puedas delegar la gestión técnica de tu servidor en manos expertas. Además de olvidarte de las actualizaciones de seguridad, podrás tener la seguridad de que tus backups están a salvo y que nuestra monitorización proactiva nos permite adelantarnos a muchos de los problemas.

¿Época de cambios?

Hace unas semanas RIPE asignaba el último bloque de direcciones IPv4. A finales de 2019 y con todas las direcciones IPV4 agotadas parece que la llegada de IPv6 estaría un poco más cerca. Aunque con la aparición de los IP brokers y la reventa de las direcciones IP que eso supone, es probable que la implantación de IPv6 nunca llegue a avanzar.

En el extremo opuesto, un reemplazo que ya es una realidad. El obsoleto Whois sufrió de primera mano las consecuencias del RGPD. Por ello, y ante la necesidad de llevar un control sobre los dominios y sus propietarios, se ha agilizado la llegada de RDAP, el protocolo que le sustituye. RDAP además de suplir las carencias en cuanto a seguridad al recurrir a HTTPS, supone la estandarización e internacionalización de la información que se muestra.

La UE ha redefinido el concepto de ciberseguridad. Después de 25 años el alcance de la definición nada tiene que ver con las posibilidades de hoy en día; ni en términos de daño causado ni en cuanto a las técnicas empleadas. Por ejemplo, ¿quién iba a pensar que podría atacarse a los servidores de CDN para que devuelvan páginas de error en lugar del contenido correcto? Pero sí, los ciberataques CPDoS son posibles y cuando se definió la ciberseguridad no estaba contemplado, porque aún no se había descubierto. Y es que esta forma de ataque informático apenas tiene un par de meses de vida.

Google en 2019

Como no podía ser de otra forma estos 365 días le han dado a Google para mucho. Desde desarrollar, o más bien publicar, el nuevo protocolo de transferencia de hipertexto para hacer que internet sea más rápida a acabar con el contenido mixto. Para el primero, HTTP/3, la compañía de Mountain View ha redefinido HTTP para que no sea necesario recurrir a TCP sino apostar por UDP. Este cambio permite solventar los problemas de HTTP/2 sin renunciar a la seguridad y mejorando la velocidad.

En cuanto al contenido mixto, todo comenzó con la obligación de instalar un certificado SSL en todos los sitios web, especialmente si solicitaban información al usuario. Este cambio provocó que algunos elementos de la web, especialmente imágenes, vídeos, hojas de estilo o scripts continuarán cargándose a través de una conexión HTTP; lo que se denomina contenido mixto. El plan de Google a partir de 2019 consiste, básicamente, en forzar todo el contenido de una web a HTTPS mediante una nueva funcionalidad de Chrome que no afectaría a la experiencia de navegación.

Nuestra década

Este 2019 Linube ha cumplido sus primeros diez años de vida. Una década que refleja la confianza que nuestros clientes depositan en nosotros y que nos anima a mejorar día a día. Así, en este último año, además de lanzar diferentes servicios relacionados con el backup como Nextcloud, Cloud Backup o planes de contingencia DRS, hemos desarrollado mejoras para nuestros clientes.

Desde un panel de monitorización al detalle que encontrarás en el área de cliente y que te permitirá conocer el consumo de recursos de tu servidor cloud; además del estado de cada uno de los servicios instalados. Conscientes de la importancia de una web o tienda online optimizada, también hemos creado un servicio de WPO para ayudar a que los proyectos de nuestros clientes vuelen. Con la misma intención de echar una mano, hemos lanzado el servicio de administración de servidores AWS; para que quien cuente con un servicio en la nube de Amazon no tenga que preocuparse.

Por todo ello, el nivel de seguridad con el que cuenta nuestra plataforma cloud y las buenas prácticas que seguimos para garantizar la seguridad de la información, obtuvimos la certificación ISO 27001. La norma que permite la seguridad, confidencialidad e integridad de los datos y la información.

Para 2020 prometemos ser igual de seguros o más y seguir ofreciéndote siempre lo mejor.

¿Qué ocurre con las webs abandonadas?

Publicado enGeneral en diciembre 11, 2019 10:00 am

Con el final del año siempre llega el momento de recordar todo lo ocurrido en los meses anteriores. Que si viajes, que si recuerdos, que si la canción del verano… pero, ¿alguien se acuerda de las webs abandonadas?

Una red muerta

En internet se generan miles de millones de datos por segundo: ese email que acabas de enviar, cada una de las búsquedas que realizas en Google, la foto del atardecer que subiste a Instagram… Según Internet Live Stats, de los casi dos mil millones de páginas web que se encuentran en internet, apenas unos 200 millones están activas; es decir, en todo internet hay más de mil millones de webs abandonadas. Una cifra que da qué pensar si tenemos en cuenta que en 1991 la cifra de sitios web inactivos se reducía a 1.

‘Si no estás en internet no existes’ es el mantra de cualquier empresa en estos días que corren. Una frase que, por otra parte, no deja de ser una realidad ya que tener presencia online es fundamental para llegar a cualquier parte del mundo, pero también puede ser contraproducente en el caso de las webs abandonadas. ¿De qué sirve contar con un sitio web si la información no se actualiza? ¿Para qué quieres seguir manteniendo tu web si el negocio no existe?

¿Mantener las webs abandonadas?

Aunque abandonar una web pueda parecer algo inocente producto de una mala situación corporativa, lo cierto es que puede ocasionar problemas de seguridad. Hay quienes buscar dominios caducados para registrarlos con fines maliciosos, los conocidos como cybersquatters, y también hay quien tratará de buscar agujeros de seguridad que explotar. Las webs abandonadas tienen todos sus componentes desfasados, desde el diseño hasta el código de la aplicación; además de que, en función del tiempo que lleve sin actualizarse es posible que no cumpla con las normativas vigentes como la GDPR o la PSD2. Lo que además de cuestiones de seguridad ocasionaría problemas legales.

La falta de actualización y la caducidad de algunos servicios, como el certificado de seguridad SSL, pueden aumentar la vulnerabilidad de un sitio web. De esta forma, las webs abandonadas acabaran por exponer la información de los usuarios como consecuencia de la desactualización.

Más allá de las cuestiones de seguridad, es especialmente preocupante el abandono de las webs corporativas. Un sitio web corporativo es el mejor escaparate de una empresa, uno que tiene un alcance mundial y que, de descuidarlo, puede arruinar la imagen de la compañía. Así algunas veces es mejor no estar en internet que estar en condiciones inadecuadas. Tanto si acaba sufriendo una brecha de seguridad, como si luce un diseño muy desfasado que ya no se corresponde con la imagen o los valores de la empresa, las webs abandonadas acaban siendo el peor enemigo de una compañía.

La huella del abandono

Además de los asuntos legales y todo lo relativo a la seguridad, las webs abandonadas siguen consumiendo energía. Bueno, las páginas web y todos los servicios que aún siguen activos pese a que tú ya no los uses. Por ejemplo, aquella cuenta de correo que creaste en tu adolescencia y que nunca te has molestado en eliminar. Tu perfil en una determinada red social que, a pesar de que hace años que no inicias sesión, sigue estando accesible a quien quiera visitarlo.

Un informe de Greenpeace estima que el tráfico de datos en internet consume un 7% de la electricidad mundial; lo que supondría un 2% de las emisiones globales de CO2. Teniendo en cuenta que más de la mitad de los sitios web que están en internet son webs abandonadas, no sería tan difícil reducir ese consumo. Si bien no pueden compararse las emisiones causadas por el tráfico de coches con las del tráfico digital, todo suma.

Una ayuda para la COP25

Coincidiendo con la celebración de la Cumbre Mundial del Clima COP25, cerrar todos los servicios que no utilizamos o las webs abandonadas puede ser un buen movimiento para ayudar al planeta. Pese a abogar por el Green computing, no es tan fácil prescindir de algo fundamental para garantizar el correcto funcionamiento de todo tipo de sistemas.

Los miles de millones de datos generados al día deben almacenarse en potentes infraestructuras. Pese a que los Centros de Datos cada vez sean más eficientes en términos ecológicos, no es fácil cambiar el funcionamiento de toda la infraestructura, si bien en este sentido ha sido esencial la evolución del hosting al permitir almacenar más información en un menor espacio; y, por lo tanto, reducir de forma significativa el consumo eléctrico. Asimismo, tampoco resulta sencillo prescindir de determinados servicios. Y es que internet se ha convertido en el sistema central sobre el que gira nuestra sociedad, desde la economía a las comunicaciones pasando por las actividades más rutinarias de nuestro día a día.

Si quieres, puedes consultar cuántos kilos de CO2 se están enviando a la atmosfera mientras tú navegas por internet en CO2GLE. Por el momento las grandes compañías como Google, Facebook y Apple ya han comenzado a construir una red renovable a la que, poco a poco, van sumándose otras empresas.

Éxito tardío de las webs abandonadas

Al igual que sucede con otros fenómenos, algunas webs abandonadas han alcanzado la gloria cuando ya estaban en el olvido de su creador. Sin ninguna actividad desde hace años, pero bien posicionadas en Google, son muchas las páginas inactivas que continúan alimentándose de los comentarios de los usuarios. La magia del algoritmo de Google puede llevarnos a descubrir sitios web inactivos que contienen la respuesta a todas nuestras preguntas.

Si el abandonware supone una segunda oportunidad para el software obsoleto, las webs abandonadas también pueden seguir vivas pese a que quien las creó ya no las considere importantes. Pero, hablando de importancia, la prioridad siempre debe ser cuidar del planeta a lo que puedes contribuir, además de reutilizando y reciclando, precisamente por su estado de inactividad, comenzar por borrar las webs abandonadas puede ser una buena forma de empezar.

¿Cómo ha sido la evolución del hosting en solo unas décadas?

Publicado enGeneral en diciembre 4, 2019 10:00 am

¿Alguna vez te has parado a pensar el gran cambio que ha experimentado el sector del hosting en tan poco tiempo? Al igual que internet y otro tipo de servicios que parece que siempre han estado ahí, los servidores web apenas tienen unas cuantas décadas de vida. Y como en cualquier otro producto o servicio tecnológico en su corta vida la evolución del hosting ha experimentado un cambio brutal.

Para entender la evolución del alojamiento web hay que considerar tres aspectos clave: el aumento de la información que se genera diariamente, la mejora de la capacidad de almacenamiento y el nivel de procesamiento de la información.

Creando datos continuamente

En un solo minuto somos capaces de generar millones de datos, información que tiene que almacenarse en algún lado; generalmente en los servidores de las aplicaciones desde las que generamos esos nuevos datos (WhatsApp, Facebook, Twitter…). Unas cifras que cada año van en aumento y que son uno de los principales factores que impulsan la mejora de los servidores; tanto en términos de procesamiento de la información como de su almacenamiento. A mayor cantidad de información se requiere de mejores técnicas de procesamiento de los datos y de capacidad para almacenarlos. Conceptos muy ligados con la evolución del hosting.

Pero no toda la información que se genera proviene de redes sociales o aplicaciones web. Al crear un nuevo sitio web, una tienda online o publicar un nuevo artículo en nuestro blog también estamos creando datos. Información que se almacenará, en este caso, en el servidor contratado en algún proveedor de alojamiento web.

Más datos en menos espacio

De aquellos primeros ordenadores que medían metros, pesaban toneladas y requerían de días para ser trasladados, afortunadamente hemos pasado a potentes dispositivos que caben en la palma de la mano. Y es que, si tuviéramos que continuar almacenando información en aquellos primeros servidores web, no habría suficientes edificios para almacenar tanto ‘hierro’. Además de que el coste, tanto para el proveedor como para el usuario, sería muchísimo mayor.

Las primeras máquinas tenían unos cuantos megas de capacidad. Por lo que para almacenar grandes proyectos sería necesaria una enorme infraestructura. Edificios de grandes dimensiones en los que instalar, aproximadamente, un servidor por sala y donde incluso pequeños proyectos podrían requerir de más de un servidor. Actualmente, gracias a la innovación tecnológica que ha propiciado la evolución del hosting, es posible almacenar varios proyectos en un mismo servidor. Incluso podemos crear varios servidores dentro de la misma máquina. Y así, instalar cientos de servidores en una misma sala gracias a las técnicas de virtualización; sin tener que renunciar a la potencia o el rendimiento de los servidores.

Esta reducción de las dimensiones de los servidores y el crecimiento constante de su capacidad de almacenamiento ha facilitado el acceso a un servidor a cualquier persona. Ya que no es necesaria una gran inversión económica para contratar los recursos necesarios para iniciar cualquier tipo de proyecto, además de reducir el impacto ecológico. Al reducirse el tamaño de la máquina, se consume menor cantidad de electricidad para garantizar el funcionamiento de los servidores y para la climatización de la sala en la que se encuentran.

Garantizar el correcto funcionamiento

Para que toda esa nueva información se gestione de forma más eficiente, es necesario perfeccionar los sistemas. Haciendo que, por ejemplo, un servidor sea capaz de gestionar grandes cantidades de datos sin que repercuta en su funcionamiento. Por ejemplo, de esta forma se ha conseguido evitar que los picos de consumo de una máquina puedan dejar sin suministro eléctrico a toda una ciudad. Algo que ocurría en Filadelfia cuando el ENIAC, una de las primeras computadoras, entraba en funcionamiento.

Aunque, como todo, los servidores no son perfectos y pueden producirse fallos de hardware o software que puedan afectar al rendimiento o funcionamiento, actualmente cualquier tipo de problema puede solucionarse en apenas unos minutos. Por ejemplo, si en nuestras plataformas cloud se produjera una caída, automáticamente se levantaría otro nodo que devolvería la operatividad al servidor. Esto no hubiera sido posible sin la mejora en el procesamiento de datos y si no hubiera surgido la tecnología cloud. Si el alojamiento web aún dependiera de servidores físicos, las paradas del servidor serían más prolongadas al requerir de la intervención de un técnico para restaurar el servicio.

Del físico al cloud

Sin tener que remontarnos a los años 50 del siglo pasado, únicamente viajando hasta 2009 también podemos ver la evolución del hosting. Básicamente hablamos del paso de servidores físicos, totalmente dependientes de hardware, a servidores cloud que tienen la capacidad de abstraerse de la máquina para proporcionar un servicio que siempre está disponible.

En estos 10 años que Linube lleva ofreciendo todo tipo de servicios web hemos visto cómo cada vez la tecnología cloud cuenta con más adeptos. Una tecnología que echó a andar en 2007 pero que ha ido consolidándose con el paso de los años hasta convertirse en la mejor forma de crear una infraestructura a partir de servidores virtuales. Aunque en un primer momento hubo quienes se mostraron reacios a la tecnología cloud, acabaron rendidos a las ventajas de la nube. Y cada vez son más quienes se unen al fog computing, la versión más cercana de la nube.

Este cambio de actitud se debió principalmente a su precio, su capacidad de escalar los recursos, alta disponibilidad y redundancia, además de otorgar al usuario un control total del alojamiento. Factores que han propiciado que tanto pequeñas empresas como grandes compañías apuesten por la nube como infraestructura para sus proyectos.

Nuestra evolución del hosting

Desde que naciéramos un 8 de mayo de 2009, hemos ido adaptando nuestra oferta de servicios a las tendencias del mundo del hosting para ofrecer a nuestros clientes siempre lo mejor. Una oferta que en todos estos años ha ido desde sencillos planes de hosting a la creación de plataformas cloud en alta disponibilidad, pasando por servidores dedicados y VPS. Para acabar centrándonos en todo tipo de soluciones en la nube: Cloud Backup, Nextcloud, Planes de contingencia (DRS), además de administración de sistemas alojados en nuestra plataforma y también de servidores en otras plataformas como la nube de Amazon.

Trabajamos día a día por facilitarles las cosas a nuestros clientes. Desde hacer más fácil el reinicio o apagado de servidores o la gestión de la zona DNS de un dominio a incluir gráficas de monitorización de nuestros servidores administrados. Además de lanzar nuevos servicios como la Optimización de sitios web (WPO).

Segunda oportunidad para el software abandonado, ¿qué es el abandonware?

Publicado enGeneral en noviembre 27, 2019 10:00 am

Cuando no en todas las casas había ordenadores la vida social de la mayoría de los jóvenes y adolescentes giraba alrededor de los salones recreativos. Aquellos primeros gamers, hoy convertidos en adultos, pueden revivir esos años mozos gracias al abandonware. Aunque siempre se ha compartido software, la llegada de internet simplificó en gran medida esos actos de distribución; además de otorgarles una mayor importancia.

¿Qué es el abandonware?

Un término acuñado en 1996 por Peter Ringering compuesto a partir de dos palabras inglesas, el abandonware hace referencia a aquellos programas, y sobre todo videojuegos, abandonados por diferentes razones. Generalmente este software acaba descatalogado por diferentes motivos; antigüedad, por desaparición de la empresa propietaria o porque han sido vendidos a otra compañía sin ningún interés en continuar su desarrollo. Sea cual sea el motivo el software se convierte en abandonware cuando ya no puede comercializarse. En este caso se entiende que es legal compartirlos y descargarlos siempre que no haya ánimo de lucro.

El problema es que el abandonware no está reconocido de forma legal, sino que es un término coloquial para referirse a los productos de software que, a pesar de tener un estado legal, se han descatalogado. Una condición que lejos de aclarar la situación pone el software abandonado en un limbo entre lo legal y lo ilegal; ya que no se convierte de forma automática en propiedad pública si no que, al no haber nadie que reclame los derechos de autor, el abandonware pasa a llamarse freeware; o software liberado de derechos que autor que pasa a distribuirse de forma gratuita. Tanto abandonware como freeware estarán en una especie de limbo hasta que caduquen sus derechos de autor; un periodo que varía según la legislación de cada país.

¿Cómo funciona(ba) el software abandonado?

Cuando internet estaba enlazado, pero no era tan fácilmente accesible como lo es ahora, y cuando a Google aún le quedaban un par de años para aparecer en escena, los sitios web de abandonware se agrupaban formando anillos web. Los webrings son grupos de páginas de temática común enlazados entre sí de forma circular; donde una web central soporta a todas las demás, de forma que, si alguna desaparece, el resto puedan seguir enlazadas entre sí. De esta forma se conseguía mayor efectividad y el abandonware tiene una mayor visibilidad.

Meses más tarde de que se creara el primer anillo web para los proyectos de software abandonados la ESA (Entretainmente Software Association) intentó que se rompiera el anillo de abandonware. Y consiguió todo lo contrario; con su rechazo terminó por impulsar la creación de otros anillos nuevo que acabaron superando al anillo original. De todo aquello ahora quedan proyectos como Abandonia, Home of the Underdogs, Clásicos Básicos, AbandonwareDOS o MyAbandonware, que permite también jugar a través del navegador.

Nostalgia gamer

A pesar de que los nuevos sistemas operativos van abandonando partes esenciales para el correcto funcionamiento de estos softwares abandonados, aún es posible echar unas partidas a los clásicos de siempre. Si bien no es una tarea sencilla hacer compatible un software de más de veinte años con los dispositivos actuales, la aparición de emuladores, tanto de comando como de interfaz, se lo ponen más fácil a esos jugadores menos familiarizados con la informática. Además, junto con la aparición de plataformas como Steam, volver a jugar a los clásicos del abandonware sigue siendo un juego de niños.

Quién sabe si dentro de unos años el software que utilizamos en estos momentos acabe siendo abandonware; y si termina por formar parte del legado inmaterial que almacenaremos en el Archivo Mundial del Ártico.

¿Cómo van tus preparativos para el Black Friday?

Publicado enGeneral en noviembre 20, 2019 10:00 am

Es evidente que cada vez la navidad ‘llega’ antes, pero si antes la época más mágica del año se iniciaba con el encendido de luces o los niños de San Ildefonso, ahora el pistoletazo de salida es más consumista. Desde 2012, cuando la legislación permitió hacer rebajas fuera del período habitual, la navidad empieza con el Black Friday; o, según el comercio, con el Single Day. Una fecha indeterminada entre el 11 y el último viernes de noviembre son nuestro inicio de la campaña navideña. Pasado ya el primer asalto que, aunque suma adeptos, aún tiene mucho que aprender del viernes más negro, ¿has comenzado ya con los preparativos para el Black Friday? Por si andas rezagado, te recordamos qué aspectos debes considerar para evitar que el Black Friday acabe siendo un día negro en tu sitio web.

Piensa en Google

La mayor parte del tráfico de un sitio web proviene de Google, de ahí la enorme importancia de adecuarnos a lo que el buscador nos sugiere; por no decir impone. Además de realizar promociones que contribuyan a llevar más visitas a tu tienda online, no debes descuidar los aspectos más básicos del SEO: títulos, palabras clave y meta descripciones. Si tu estrategia para este Black Friday pasa por crear una landing especial, contarás con más opciones para posicionar más alto; siempre que esta página tenga una URL que haga referencia a este periodo, claro. En cuanto a las palabras clave, procura atacar a aquellas menos comunes o intenta hacer variaciones fuera de lo habitual; de esta forma será más probable que un usuario acabe en tu web y no en una de la competencia.

Con independencia del tráfico orgánico, nunca está de más avisar a tus clientes a través de cualquier canal. Por ejemplo, enviando newsletters sobre la promoción que sirvan de preparativos para el Black Friday. Así, cuando llegue el momento los carritos ya estarán listos para proceder al pago. Algo que unido al carácter de urgencia y unidades limitadas que se suele asociar con este tipo de eventos hará que todos estén pendientes de tu sitio web.

Un servidor preparado

Incluso si no realizas ninguna promoción es probable que las visitas de tu sitio web se disparen simplemente por curiosidad. Por ello, deberás garantizar que quien quiere acceder a tu web, tanto para echar un vistazo a tus productos como para acabar comprándolos, pueda hacerlo. Generalmente durante estos días el tráfico aumenta de forma radical y en un solo minuto pueden concentrarse un gran número de usuarios simultáneos; algo que no suele suceder durante el año. Por ello, es fundamental que el servidor esté preparado para ese aumento de las visitas.

Si no escalas los recursos del servidor cloud es probable que acabes creando una mala imagen a tus usuarios. Ya sea por lentitud o porque deje de estar operativa, casi nadie finalizará un proceso de compra que es excesivamente lento. Recuerda que no solemos conceder más de unos segundos a la carga de una web y que, de superarse nuestro límite, acabaremos abandonando. De ahí que aprovisionar el espacio en disco, los procesadores y la memoria RAM para el Black Friday sea una obligación para cualquier tienda online. De entre todos los preparativos para el Black Friday este es sin duda el más importante, a no ser que no vender a través de tu ecommerce no sea una prioridad para ti. Pero, ¿estás dispuesto a condicionar tus ventas a la disponibilidad de tu tienda física? Seguro que no.

Optimización móvil

Aunque el comercio electrónico empezara a través de una televisión, en la actualidad la mayor parte de las compras se realizan desde el móvil. En 2017 más de la mitad de las compras realizadas durante el Black Friday se realizaron desde un dispositivo móvil; una tendencia que aumentó el pasado 2018 y que, a buen seguro, seguirá en alza este 2019. Si tener una web responsive es una obligación a día de hoy, no estaría de más que echaras un vistazo a cómo de optimizada está tu página web de cara al ‘finde negro’ para evitar disgustos.

Reduce el peso de las imágenes, asegúrate de tener una buena velocidad y, sobre todo, simplifica el proceso de compra. Desde un dispositivo móvil puede resultar más complicado finalizar una compra, por ello cuanto más sencillo sea más ventas se producirán. Cuanto más fácil se lo pongas al usuario más comprará, cuanto más difícil, antes saldrá de tu web; y, encima, sin comprar nada.

Compras siempre seguras

Pese a que ya se haya convertido en algo normal, aún son muchas las páginas web que siguen recurriendo a HTTP. Si es tu caso, no deberías esperar más para contratar un certificado de seguridad SSL que se encargue de encriptar toda la información que se comparta en tu tienda online. Aunque cada vez seamos menos reacios a realizar compras a través de internet y pagar con nuestra tarjeta de crédito, desde luego no compartiremos estos datos tan sensibles en un sitio web marcado como inseguro. Tu tienda online necesita seguridad todo el año y un certificado de seguridad que la convierta en HTTPS, pero especialmente en días clave como el Black Friday.

Además, recuerda que hace solo unos meses llegaba una nueva normativa para los pagos electrónicos, la PSD2. Lo que supone que probablemente tengas que realizar cambios en tu proceso de compra a fin de adecuarte a la nueva norma. Entre los principales cambios introducidos por la PSD2 se encuentra la obligación de contar con autenticación en dos pasos. Así que, si tu web, no está actualizada a la nueva norma esta tarea debería ser otro de tus principales preparativos para el Black Friday.

Preparativos para el Black Friday

La campaña de navidad es una de las fechas más importantes para cualquier negocio. Con el auge del comercio electrónico estar adaptados a la llegada del Black Friday, y cualquier otro evento que pueda disparar las ventas, se ha convertido en mucho más que una necesidad. Si quieres evitar que esta fecha tan importante acabe convirtiéndose en el viernes más negro de tu calendario empresarial, no dejes los preparativos para el Black Friday para el último momento.

Contenedores de software para empaquetar aplicaciones

Publicado enSistemas TI en noviembre 13, 2019 10:00 am

Actualmente un desarrollador es capaz de crear código y de distribuirlo sin problemas. Antes estas labores que estaban diferenciadas entre desarrolladores y administradores de sistemas, se unen en la figura del DevOps. Esto no quiere decir que ninguna de las profesiones deje de existir, sino que existe una nueva que une lo mejor de cada una de ellas. Para haber podido dar este paso ha sido fundamental la aparición del contenedor de software.

¿Qué es un contenedor de software?

Los contenedores de software son como esos enormes contenedores que se transportan en barco y que contienen diferentes tipos de mercancías. Si bien en este caso puede que unos productos y otros no tengan nada que ver entre sí, todo lo que se encuentra dentro de un contenedor de software es necesario para poder ejecutar una aplicación en otro lugar. Así, dentro de un contenedor de software se encontrará el código, las librerías necesarias y cualquier tipo de configuración que permiten a dicha aplicación funcionar correctamente. Podríamos decir que un contenedor de software es como un sistema completo virtualizado pero reducido a su mínima expresión; que solo necesita el sistema operativo del servidor que lo contiene para funcionar.

Estos contenedores acaban con los típicos problemas entre entornos de desarrollo y producción. Puesto que todo lo necesario se encuentra dentro del contenedor, es posible hacer pruebas de una aplicación sin tener que preocuparse por si el código se rompe. Cualquier cambio que se vaya a realizar se hará de la forma más segura. Igualmente, en el caso de utilizar diferentes versiones de lenguajes de programación o cualquier elemento de software incluyendo el sistema operativo.

Dentro de un contenedor de software está todo lo necesario para que cualquier aplicación pueda ejecutarse correctamente. Además, al incluirse un archivo de configuración, es posible que cualquier desarrollador o administrador de sistemas pueda trabajar con el contenido del contenedor de software sin necesidad de conocer el funcionamiento de la aplicación.

¿Docker o Kubernetes?

Aunque se trata de sistemas relacionados, cada uno tiene sus propias funciones. Por ello, no es posible elegir entre uno u otro, sino que es necesario utilizar los dos.

Por un lado, Docker es un gestor de contenedores de código abierto; es decir, una plataforma open source que permite crear, estandarizar y distribuir aplicaciones en contenedores. Un entorno en el que desarrollar aplicaciones ligeras al no ser necesario incluir en el contenedor un sistema operativo. Mientras que Kubernetes es un orquestador de contenedores. Es decir, el encargado de manejar los procesos que se llevan a cabo dentro de un contenedor de software creado a partir de Docker.

A medida que el número de aplicaciones o contenedores de software va creciendo, es posible que Docker ya no sea suficiente para gestionarlo. Se requiere de una plataforma de orquestación que se encargue de hacer funcionar cada contenedor de software bajo la misma arquitectura. Como si fuese un director de orquesta Kubernetes se ocupa de que todo lo desarrollado en Docker funcione bien. La principal ventaja de Kubernetes es que puede ser utilizado en cualquier lugar y sobre todo tipo de infraestructuras. Un orquestador como Kubernetes se encargará de crear y reconfigurar servidores, monitorizar y realizar las configuraciones necesarias para que las aplicaciones que se encuentran dentro de un contenedor de software estén siempre operativas. El propósito no es otro que automatizar las tareas para tener un mejor control de una infraestructura.

Ni la idea de los contenedores ni del orquestador son nuevas, pero sí se han hecho más populares en los últimos años. Así, la idea de los contenedores se remonta a la virtualización de sistemas y el concepto de orquestador, entendido al modo de Kubernetes, está relacionado con Google, que ya contaba con su propio sistema antes de que apareciera Kubernetes. La principal función de estos dos sistemas es permitir que las aplicaciones puedan funcionar correctamente por sí mismas, y también en relación a las demás. Hasta el punto de que el sistema no requiera de la interacción humana para poder funcionar.

Contenedores vs máquinas virtuales

Es muy común confundir un contenedor de software con técnicas de virtualización. La virtualización es una tecnología que permite crear diferentes máquinas virtuales a partir de un único elemento físico. Cada una de estas máquinas virtuales pueden tener su propio sistema operativo y una configuración específica, a pesar de estar ejecutándose en una misma máquina física que puede tener unas características diferentes.

La virtualización es una de las técnicas que han posibilitado la tecnología cloud, tanto para crear diferentes servidores cloud en una misma máquina física, como para permitir que cada uno de ellos utilice un sistema operativo diferente. Así, la virtualización permitió dejar de utilizar máquinas físicas como única forma de aislar a un cliente de los demás, con el ahorro económico, de espacio e impacto ambiental que eso supone.

La principal diferencia entre un contenedor de software y una máquina virtual es que los contenedores no requieren de la copia del sistema operativo. Esto se debe a que comparten el mismo núcleo que la máquina en la que se ejecutarán, haciendo que el peso del contenedor se reduzca. Así, mientras que una máquina virtual ocupará varios gigas, un contenedor de software se reduce a unos cuantos megas.

En los últimos años los contenedores de software han avanzado mucho, hasta el punto de convertir una tecnología de nicho en un estándar para desplegar software. A pesar de ello, aún queda mucho por hacer en relación a ello.

Amplía el espacio de tu servidor con soluciones de almacenamiento: NAS y SAN

Publicado enSistemas TI en noviembre 6, 2019 10:00 am

A medida que los proyectos van creciendo es muy probable que los recursos iniciales que se contrataron no sean suficientes para garantizar el correcto funcionamiento del servidor y de los sitios web que se alojan en él. En función de las características de cada proyecto web es probable que lo recomendable sea aumentar proporcionalmente los recursos del servidor cloud escalando a un plan superior, pero también es posible que solo se necesite ampliar uno de los recursos, por ejemplo, el espacio en disco del servidor cloud. En estos casos lo más recomendable es optar por otro tipo de almacenamiento: NAS y SAN. Dos soluciones de almacenamiento en red que ayudan a almacenar la información de una forma segura ante cualquier imprevisto y que con mucha frecuencia tienden a confundirse.

Almacenamiento NAS

NAS (Network Attached Storage) es una forma de almacenamiento que está conectada a la red de una empresa y que suele considerarse parte del propio servidor. Para ello es posible acceder a través de NFS (sistema de archivos de red), CIFS o FTP, aunque también puede hacerse a través de HTTP.

Ideal para empresas pequeñas, optar por un almacenamiento NAS es una opción que no supone un gran desembolso económico. Por un precio reducido al mes es posible contar con mayor espacio en el que almacenar bases de datos y copias de seguridad en un almacenamiento NAS que destaca su disponibilidad; ya que este espacio se integra en la red de forma que siempre estará a disposición de los usuarios, servicios o dispositivos que quieran utilizarlo.

Optar por un almacenamiento NAS es una buena opción para albergar archivos que se solicitan con frecuencia en un entorno virtualizado. Además de ser escalable, NAS permite gestionar con rapidez un gran número de archivos. De esta forma, se puede disponer de una mayor capacidad de espacio en disco en el servidor sin necesidad de pagar más por otros recursos que pueden no ser necesarios; como el aumento de RAM o más procesadores.

¿Qué es una red de área SAN?

Las redes de área de almacenamiento SAN (Storage Area Network) son una forma de añadir un espacio extra al disco de un servidor o un conjunto de servidores con alto rendimiento. A diferencia de NAS, un almacenamiento SAN actúa como si formara parte de los componentes físicos del servidor, por lo que actúa en local. Por ello, son la solución perfecta para alojar bases de datos empresariales o de páginas web o tiendas online con un gran tráfico.

Al actuar como un almacenamiento ‘dentro del servidor’, cualquiera de los servidores cliente pueden leer y escribir sobre él, algo que no es posible en NAS. De esta forma se reducen los tiempos de respuesta y, además, se evita un consumo excesivo de ancho de banda; ya que no la información no tiene que salir del servidor y el acceso a los datos es instantáneo. Todo esto permite configurar máquinas muy potentes que permitan escalar sin límites la capacidad de una red.

¿En qué se diferencian NAS y SAN?

NAS y SAN son soluciones de almacenamiento complementarias pero que generalmente rivalizan entre sí. No todas las empresas pueden permitirse contar con las dos formas de almacenamiento y, para que decantarse por una u otra sea más sencillo, estas son sus principales diferencias:

  • Mientras que NAS recurre a las redes TCP/IP para conectarse con el servidor principal, SAN hace lo propio a través de una red de alta velocidad.
  • NAS es un sistema basado en archivos, SAN en bloques.
  • El rendimiento que ofrece una red SAN es mucho mayor que el de NAS, de ahí que se recomienden en sitios web de gran tráfico. Por el contrario, NAS, además de peor rendimiento también tiene más latencia, aunque esto puede compensarse con una red a mayor velocidad.
  • El coste de contratar NAS y SAN no tiene nada que ver. Por ser más simples, los dispositivos NAS también son más baratos que un SAN. Lo mismo ocurre con su gestión, mientras que NAS es fácilmente administrable, SAN requerirá de un técnico profesional.

Como en muchos otros servicios, como un VPS o un cloud, la elección de una solución de almacenamiento u otra está relacionada con el tipo de proyecto y sus necesidades.

El ataque informático que engaña a los CDN: CPDoS

Publicado enCiberataques en octubre 29, 2019 10:00 am

Que Halloween sea la noche más terrorífica del año tampoco tiene porqué ser algo literal. El temor a sufrir un ciberataque es algo que se sufre durante todo el año. De hecho, solo en este mes de octubre hemos conocido unos cuantos casos de ciberataques, hackeos, phishing…Lo último, una nueva forma de ataque informático: el CPDoS. ¿En qué consiste este nuevo ciberataque que afecta a los CDN y cómo evitar en Halloween (o en cualquier otro día) ‘la muerte’ digital de tu web?

El ataque de los CPDoS

Hace solo unos días la Universidad de Colonia ha revelado la existencia de un nuevo ciberataque que afecta a las redes de distribución de contenido o CDNs. Una nueva forma de ataque informático que se basa en devolver al visitante una página de error, en lugar del contenido real de la web. Algo que sería posible al envenenar los CDN, es decir, las redes distribuidas que se encargan de servir de forma más rápida el contenido de una web ubicada en cualquier parte del mundo.

CPDoS (Cache-Poisoned Denial-of-Service), que así es como se llama esta nueva forma de ataque informático, está orientado a deshabilitar recursos y páginas web. Principalmente, consiste en generar una nueva entrada de CDN en un servidor mediante un encabezado HTTP de gran tamaño. Si el CDN permite que dicho encabezado acabe pasando al sitio web, el servidor terminará por procesarlo y generar una web que se almacenará en el caché del servidor de CDN.

Como consecuencia del tamaño del encabezado malicioso, el servidor web original se bloqueará; generando así un error 4xx. Esta página de error se almacenará en el caché del CDN y, cuando un usuario trate de acceder a la web obtendrá página de error en vez del contenido real de la página. Este error se propagará a otros nodos de la red CDN, haciendo ver que la web ‘está rota’ cuando no es así.

Tipos de ataques de CDN

Los investigadores han determinado tres tipos principales de ataque CPDoS en función del encabezado HTTP utilizado por el atacante, aunque existen otras muchas variaciones del ataque.

  • HHO, para los encabezados HTTP de gran tamaño. El estándar establecido por la mayoría de los servidores web y servidores proxy es de alrededor de 8.192 bytes; aunque algunos sistemas como Amazon Cloudfront CDN permite hasta 20.480 bytes. Este tipo de ataque CPDoS consiste en enviar al servidor CDN un encabezado de un tamaño mayor al admitido, pero menor del que permite el servidor de caché. Así, al no poder gestionarlo el primero, el segundo lo interpretará como un error en el sitio web.
  • HMC, para los encabezados que contengan metacaracteres. Funciona de manera similar el HHO, solo que, en lugar de enviar un encabezado demasiado grande, la solicitud incluye un carácter no admitido por el servidor de CDN. Basta un simple salto de línea para provocar un ataque CPDoS de tipo HMC.
  • HMO, para aquellos que anulen el método HTTP. El estándar HTTP admite unos pocos métodos para realizar comunicaciones en la web; de los que los sistemas intermedios como proxies o firewalls solo admiten GET y POST. Para eludir las restricciones, algunos sistemas proporcionan encabezados especiales de forma que la solicitud pueda enviarse al servidor. Y son estos encabezados especiales los que serán utilizados por el atacante para provocar un ataque CPDoS

Por (no solo) un Halloween sin CPDos

Igualmente, para evitar que tus CDN acaben infectados por un CPDos, podemos encargarnos de gestionar tus CDN. Mantener los sistemas seguros es una tarea que lleva su tiempo, pero en Linube podemos hacerlas por ti, para que tu seguridad siempre esté garantizada.

De esta forma, además de olvidarte de tener que configurar, o revisar la configurar, de tus CDN evitarás que un ataque, como un CPDoS impida que tus usuarios accedan a tu sitio web.