944 063 154

Blog

Etiqueta: HTTPS

Google crea una nueva extensión de dominio: .page

Publicado enDominios Web en octubre 10, 2018 10:00 am

Parece que el movimiento de los últimos meses iniciado por Google para la mejora de la seguridad en internet no ha sido suficiente. O al menos así lo creen ellos que ahora van en un paso más allá. No es ninguna novedad que Google ejerce, también, como registrador de dominios. Una más de sus líneas de negocio; y en la que se inició en 2015 y a la que ha añadido un nuevo producto: los dominios .page

Los dominios .page

Si bien no es la primera vez que Google promociona nuevas extensiones de dominio, los dominios .page son diferentes. Aunque Google llevara una estrategia similar con los dominios .app; facilitando así la creación de una aplicación para móviles relacionada con una página web. En su empeño por seguir mejorando la seguridad en internet, Google ha lanzado esta peculiar nueva extensión de dominio. Una peculiaridad que viene dada por ser una extensión segura por defecto. Esto se debe a que los dominios .page vienen configurados para soportar el protocolo seguro HTTPS.

Para poder permitir las conexiones seguras, este dominio de nivel superior ha sido incluido en la lista de precargar HSTS. Es decir, los dominios .page son totalmente compatibles con la política de seguridad que permite la conexión segura entre un servidor web y un navegador. Algo que se produce forzando a la conexión siempre a través de HTTPS. Aunque los dominios .page cuentan con parte de trabajo de seguridad hecho, sigue siendo necesaria la instalación de un certificado SSL para el cifrado de la web.

¿Por qué .page?

En palabras de Google, .page es el dominio que facilita la creación de una presencia online más sencilla; pero , sobre todo, mucho más segura que cualquiera de las otras extensiones de dominio. Además de ser una forma más creativa de registrar un dominio y hacer que el usuario lo recuerde con mayor facilidad. Un argumento que es válido ahora que la extensión de dominio acaba de surgir; pero pasará a ser tan habitual como cualquier otro en un tiempo.

Quizá para evitar quedarse sin su dominio, algunos ya cuentan con su .page. Entre estos early adopters se encuentran webs como la de la actriz EllenPageFrontPage. Dos de los ejemplos que puedes ver en la landing creada por Google para estos dominios y soluciones creativas por haber conseguido ser los primeros. Si tú también quieres tener tu propio dominio .page, regístralo antes de que se te adelanten. Eso sí, ten en cuenta que, como viene siendo habitual, el coste de estos dominios es más elevado que el de los genéricos. Por lo que te tocará rascarte el bolsillo.

Si por el contrario, prefieres un dominio genérico, tampoco esperes más y registra tu dominio cuanto antes y protege tu marca.

TLS abandona todas sus versiones anteriores a TLS 1.2

Publicado enCertificados SSL en agosto 8, 2018 10:00 am

El aumento de la seguridad en internet ha acabado con dos nuevos protocolos. Como ya hemos comentado alguna vez, en demasiados casos algunos servicios de internet no avanzan al mismo ritmo que la propia red. Si hace algunos días comentábamos acerca de la necesidad de actualización del protocolo WPA3, hoy es TLS quien abandona su primera versión y recomienda el uso de TLS 1.2.

Qué es TLS

TLS, Transport Layer Security, es un protocolo criptográfico que, al igual que SSL permite una comunicación segura en internet; de hecho, el protocolo TLS está basado en SSL. Concretamente TLS está basado en especificaciones previas de SSL en un intento por agregar el protocolo HTTPS al navegador. Y de aquello han pasado ya casi 20 años; ya que TLS nació en 1999.

El hecho de que TLS esté creado a partir de SSL no quiere decir que ambos protocolos sean iguales. Si bien es cierto que entre ellos existen diferencias mínimas, estas son suficientes para la interoperabilidad de los protocolos, debilitando así la seguridad de la comunicación.

Aunque TLS debió haber dejado de existir hace dos años, como ocurre con otros servicios el tiempo de soporte, se amplió. Si el protocolo hubiera muerto en 2016 cientos de comercios electrónicos hubieran dejado de funcionar. Por ello, se otorgaron dos años de gracia en los que los usuarios pudieran ir adaptándose a la última versión.

La versión TLS 1.2

La recomendación en este momento es utilizar TLS 1.2, la última versión del protocolo; aunque fue definida en agosto de 2008 y, desde 2011, apenas ha sufrido modificaciones. Exceptuando el Ataque Poodle ocurrido en octubre de 2014. Una vulnerabilidad del protocolo SSL 3.0 que, a los pocos meses, atacaba a TLS. Para cuando este ataque de tipo MITM (man-in-the-middle) llegó a TLS los servidores eran más vulnerables y, para iniciar el ataque, eran necesarios menos pasos que con SSL 3.0.

Actualmente, TLS 1.2 es el protocolo encargado de la mayoría de las encriptaciones que se producen en la web. Desde webmails como Gmail, acceso vía FTP o sFTP o para utilizar una VPN. Por ello, y a pesar de su longevidad, es necesario actualizar los navegadores a TLS 1.2. De otra manera, no podría accederse a tiendas online que utilicen versiones inferiores para proteger su pasarela de pago.

El riesgo de la desactualización

En este caso, no recurrir a TLS 1.2 podría hacer que se hiciera uso de los exploits del protocolo para interceptar los mensajes y poner en peligro las comunicaciones. De ahí que algunos servicios, como PayPal, no permitan realizar transacciones en esta versión del protocolo TLS.

La mejor forma de protegerse frente a ciberataques es mantener el sistema actualizado; además de contar con una copia de seguridad de todos tus datos. Las versiones antiguas tanto de aplicaciones como de protocolos suponen un riesgo para negocios y usuarios.

Chrome 69 cambiará los indicadores de seguridad HTTPS

Publicado enCertificados SSL Novedades en mayo 30, 2018 10:00 am

Google ha vuelto a cambiar de opinión. Si de un tiempo a esta parte mostraba la seguridad de una web HTTPS mediante un candado verde y una notificación en la barra de direcciones, ahora dejarán de hacerlo. Con la llegada de Chrome 69 el próximo septiembre, los indicadores de seguridad de Chrome serán mucho más sutiles.

Los indicadores de seguridad de Chrome 69

En los últimos meses la seguridad en internet ha mejorado considerablemente. Tanto que, actualmente, más de la mitad del tráfico actual de Chrome es, por defecto, HTTPS. Y ese es precisamente el argumento de Google para justificar su nueva estrategia. Tal y como explican en Chromium: el usuario espera que las webs sean seguras por defecto; y solo debería ser avisado cuando ocurra algún problema.

Por ello, dejará de aparecer un candado verde junto la notificación de “es seguro”. Apareciendo únicamente un candado gris junto a la dirección HTTPS como indicador de la seguridad de un sitio web seguro. Igualmente, en el caso de las webs que aún continúan bajo HTTP cuyo indicador de “no es seguro” también será de color gris. No así cuando la web solicite información sensible al usuario, como por ejemplo en un formulario web. En este caso, con la llegada de Chrome 70 en octubre, sí aparecerá una notificación roja para informar de que se están proporcionando datos en una web sin certificado de seguridad SSL. Un indicador que muestra si recurre al protocolo de seguridad HTTPS y si se garantiza la seguridad de los datos en la web.

Cómo afectará al usuario

Lo normal en internet deberían ser las webs seguras bajo HTTPS, incluso si navegamos por ellas en modo incógnito. Desde que Google anunciara penalizaciones por no contar con un certificado SSL en las webs, el usuario tiende a buscar el candado verde en la barra de direcciones para confiar en un sitio web. Los indicadores de seguridad de Google se han convertido en la forma que tiene el usuario de sentirse protegido en internet. Al dejar de aparecer, es posible que el usuario se asuste y desconfíe de la web.

Igual que los estándares han ido cambiando en los últimos meses, es lógico que los indicadores de seguridad también cambien. Es decir, si cada vez son más las webs que recurren al protocolo HTTPS, tiene sentido que avisar de que una web es segura carezca de sentido. Eso sí, será necesario volver a acostumbrar al usuario a confiar en los sitios web.

Una Web cada vez más segura

Si Chrome cuenta con estrategia para la mejora de la seguridad en la red, Firefox hace lo propio. La firma del “panda rojo” apuesta por Secure Contexts, un estándar que fuerza al uso de conexiones cifradas iniciado por Google en 2014 y con el que Firefox apuesta por HTTPS en todas las aplicaciones. De esta forma, el usuario obtendrá una seguridad total al navegar por internet.

Con independencia del tipo de web, el paso de HTTP a HTTPS es cada vez más fácil y barato. Para ello solo es necesaria la instalación de un certificado de seguridad SSL, incluso puedes hacerlo de forma gratuita con un certificado Let’s Encrypt. Además, contratando cualquiera de nuestros tipos de SSL podrás disfrutar de HTTP/2 en tu servidor cloud Linux con panel de control Plesk.

HTTP/2 en todos nuestros servidores cloud Linux con Plesk

Publicado enCloud Hosting en abril 24, 2018 10:00 am

Internet es lo que conocemos actualmente gracias, en gran medida, al desarrollo del protocolo HTTP. Este protocolo de comunicación es el encargado de poner en contacto a navegadores y servidores. De forma que podamos obtener la información que buscamos cada vez que utilizamos un navegador web. Pero desde hace algún tiempo HTTP tenía un gran problema: una enorme falta de actualización. Algo que, si cuentas con uno de nuestros servidores cloud Linux con Plesk, ya no volverá a pasarte.

La tecnología avanza a gran velocidad y la versión del protocolo HTTP que se ha estado utilizando hasta hace ahora fue publicada en 1999. Aunque el protocolo continúa siendo igualmente válido, ya no se adapta a algunas necesidades actuales. Y es que si en estos años hay algo que haya cambiado es nuestra paciencia. Ya no estamos dispuestos a esperar para acceder a un sitio web. De hecho, no solemos concederle más de 5 segundos; un tiempo que HTTP a duras penas puede facilitarnos. Por ello, ha sido necesario mejorar el protocolo.

Tu web más rápida con HTTP/2

La nueva versión de HTTP, HTTP/2, mejora considerablemente los tiempos de respuesta de una web. De esta forma se proporciona al usuario la mejor experiencia posible y se evita la pérdida de tráfico y ventas a causa de la velocidad de carga.

El único requisito para poder utilizar HTTP/2 en tu servidor cloud Linux es que las conexiones estén cifradas. Es decir, que tu sitio web cuente con un certificado de seguridad SSL y, por tanto, el tráfico sea HTTPS. Con esta combinación de certificado SSL y protocolo HTTP/2, tu página web no solo será más rápida, sino que también será segura. Además, evitarás que, a partir de julio de 2018, los buscadores marquen tu web como no segura por no recurrir al protocolo HTTPS.

Con HTTP/2, además de tener una web más rápida, verás cómo tu posicionamiento SEO mejora. No solo los usuarios valoran positivamente que una web responda de forma rápida, los buscadores también. Así, aquellas páginas web que recurran al protocolo HTTP/2 saldrán favorecidas en los resultados de búsqueda.

Servidores Cloud Linux con Plesk actualizados

En Linube contamos siempre con la última tecnología para ofrecerte el mejor servicio. Por ello, hemos actualizado todos nuestros servidores cloud Linux con Plesk a la última versión del protocolo de transferencia HTTP. Por lo que, si tu servidor cuenta con panel de control, podrás disfrutar de todas las ventajas que aporta el uso de este protocolo a tu sitio web.

Si aún no cuentas con un certificado SSL, puedes contratarlo desde solo 49€ al año y empieza a disfrutar de las ventajas de HTTP/2.

Las nuevas herramientas de Google para mejorar la velocidad de carga de tu web

Publicado enNovedades SEO en marzo 21, 2018 10:00 am

Hace solo unas semanas Google anunciaba un cambio en su algoritmo al considerar la velocidad de carga de mobile como un factor SEO. Y es que, a la misma velocidad que avanza la tecnología, mengua nuestra paciencia para esperar a una web. Actualmente, el tiempo máximo que estamos dispuestos a dedicar se sitúa en 3 segundos. Un brevísimo lapso de tiempo que puede marcar la diferencia entre ganar visitantes o perderlos. Para evitar este tipo de situaciones, las herramientas de Google permiten conocer el estado de una web y cómo optimizarla.

En los últimos días, a sus ya conocidas Page Speed Test y Lighthouse, además de la tecnología AMP, se suman tres nuevas herramientas con las que analizar y mejorar nuestra página web. Con ellas podemos optimizar al máximo nuestra web para proporcionar la mejor experiencia a todos los que nos visiten.

Speed Scorecard

Esta herramienta permite conocer cuál es la velocidad de carga de nuestra página web en comparación con nuestros competidores más directos. O con cualquier sitio web que utilicemos como referencia. De esta forma, se obtiene una información que ayuda a conocer cómo funciona un determinado sitio web en móviles.

Para ello, solo debemos introducir los dominios que queremos analizar y Speed Scorecard nos dirá en qué posición se encuentran respectivamente. Además del tiempo que cada uno tarda en cargar. Con esta herramienta es posible conocer la velocidad de carga en función del país o del tipo de conexión. Así, puedes elegir entre diferentes países, si tu web no está enfocada a un único lugar, y saber cómo funciona desde un Smartphone con 3G y 4G.

Impact calculator

Posiblemente una de las formas más impactantes de hacernos saber que nuestra web no está correctamente optimizada. Con Impact Calculator podemos saber cuánto dinero estamos dejando de ganar por no prestarle más atención al estado de nuestro sitio web.

Si quieres llevarte un disgusto, o una alegría, solo tienes que introducir tu dominio, la velocidad de carga de tu web, tus visitas mensuales y el ratio de conversión. La nueva calculadora de Google te dirá el dinero que ganas o pierdes a causa de la velocidad de tu web. Además, proporciona una estimación de los ingresos que obtendrías si mejoras la velocidad de carga.

Checkbot

Checkbot es la extensión para Chrome que realiza una auditoría de tu sitio web y te permite saber si la página sigue las mejores prácticas para obtener un buen posicionamiento orgánico. Para ello, se centra en tres aspectos:

  • SEO. La herramienta buscará enlaces rotos, títulos o contenidos duplicados y que todas las imágenes cuenten con ALTs. Asimismo, verificará que el HTML, CSS o JavaScript de tu web es correcto. También considera las redirecciones de la página y que todas las URLs sean legibles y estén optimizadas.
  • Velocidad. Para mejorar la velocidad de carga, Checkbot recomienda eliminar las cadenas de redirecciones y minimizar el CSS y JavaScript de la web, además de evitar las duplicidades. Asimismo, sugiere configurar el servidor para que enviar los datos comprimidos y se utilice la cache.
  • Seguridad. Si queremos que nuestra web sea segura debe recurrir al protocolo HTTPS en cada una de sus páginas y evitar el contenido mixto. Es decir, que algunos elementos de la web sigan bajo HTTP, en vez de estar bajo su versión segura. Checkbot también avisará si las contraseñas no son lo suficientemente seguras o si no se utiliza HSTS.

El origen de los datos

La información que proporcionan estas herramientas está basada en el llamado Chrome User Experience Report. Un informe elaborado a partir de los datos de los usuarios que comparten sus datos de navegación cuando utilizan Chrome.

Los resultados de este estudio están accesibles de dos maneras: a través de PageSpeed o del proyecto BigQuery. En el primer caso, proporciona información sobre la velocidad de carga a partir de la experiencia de sus ‘arañitas’. En el caso de BigQuery, su almacén de Big Data, los resultados pueden consultarse, siendo usuario del servicio, mediante consultas SQL.

Con las diferentes herramientas que Google pone a nuestra disposición, proporcionar a nuestros visitantes una mejor experiencia es más sencillo. Y no solo gana el usuario. Asegurarnos de que nuestra web carga correctamente antes de los 3 decisivos segundos otorgará a nuestra web una mejor posición en los resultados de búsqueda.

¿Qué tipo de certificado SSL deberías elegir?

Publicado enCertificados SSL en marzo 7, 2018 10:00 am

Hace unos días Google anunció que, a partir de julio, todas las páginas web que recurran al protocolo HTTP serán marcadas como no seguras. Este es el último paso de una serie de cambios que han ido introduciendo para mejorar la seguridad en internet. Como es muy probable que estés pensando en contratar un certificado SSL, te explicamos qué tipos de SSL existen para que elijas el más adecuado para tu proyecto.

SSL Essential

Si únicamente quieres proteger un dominio, este certificado es tu mejor opción. Con un certificado SSL Essential puedes proteger tudominio.com  www.tudominio.es. Además, pinchando sobre el candado de la barra de navegación, tus usuarios podrán consultar la información relacionada con el certificado.

Este certificado está especialmente indicado para webs presenciales, blogs o sitios web que no cuenten con subdominios. Por ejemplo, si tu tienda online no cuenta con un blog, bastaría con un certificado SSL Essential para proteger los datos de tus usuarios.

SSL Wildcard

Con un certificado Wildcard todos tus subdominios estarán protegidos. De los tipos de SSL existentes, es el certificado que más te conviene si cuentas con varios subdominios.

Así, además de proporcionar seguridad en tudominio.com y www.tudominio.es, todos los subdominios que dependan de él contarán con el mismo nivel de seguridad. Es decir, tanto blog.tudominio.com, como tienda.tudominio.com serán HTTPS y, por tanto, un sitio seguro en el que proporcionar información sensible.

Los certificados SSL Wildcard son tu mejor opción si dentro de tu ecommerce tienes un blog. O si en tu web corporativa ofreces la posibildad de adquirir productos. También si utilizas subdominios como estrategia de SEO internacional.

SSL Multidominio

Este tipo de certificado SSL te permite asegurar diferentes sitios web relacionados con la misma empresa. No importa que sean dominios totalmente diferentes, con un SSL Multidominio todos estos sitios web contarán con el máximo nivel de seguridad.

Un certificado SSL Multidominio está especiamente indicado para asegurar dominios geográficos o diferentes productos de una misma marca, entre otras opciones. Así que, si tu compañía cuenta con más de un sitio web, o si quieres asegurar diferentes webs que estén relacionadas, deberás optar por un SSL Multidominio.

SSL Let’s Encrypt

Los certificados Let’s Encrypt son igual de seguros a nivel de encriptación que un SSL normal. La principal diferencia respecto a los certificados que hemos explicado más arriba es que un Let’s Encrypt es gratuito por ser una contribución de la comunidad open source. Así, un SSL Let’s Encrypt te permite proteger un dominio y todos los subdominios sin tener que pagar por ello. Eso sí, estos certificados no permiten validar una organización; por lo que si necesitas asegurar diferentes dominios relacionados con una misma compañía, deberás contratar un SSL Multidominio.

Aunque el cifrado de un Let’s Encrypt y un SSL de pago es igual de potente, los certificados gratuitos no cuentan con garantía alguna por si el cifrado se rompiera y toda la información quedara al descubierto. Ambos tipos de certificados también tienen períodos de renovación diferentes. Mientras que un SSL de pago caduca anualmente, los Let’s Encrypt lo hacen cada 90 días. En cualquier caso, tanto unos como otros, disponen de renovación automática (gratuita o de pago) para que la seguridad de tu web esté siempre garantizada.

A nivel técnico, Let’s Encrypt y un SSL de pago son igualmente válidos, lo que no quiere decir que sean igual de convenientes en función de las características de cada proyecto web. Por ejemplo, si tratas con información sensible de un gran número de clientes, lo recomendable es pagar por el certificado.

Nuestros tipos de SSL

Evita penalizaciones por parte de los buscadores contratando cualquiera de nuestros tipos de SSL de pago. Con los que, además, no tendrás que preocuparte por la fecha de renovación. En el servicio, además de la instalación y configuración del certificado SSL en el servidor, se incluye la renovación automática. Así, tu web, todos tus subdominios o sitios web que dependan de tu marca, estarán asegurados.

En el caso de los Let’s Encrypt, puedes instalarlo tú mismo desde el panel de control Plesk.

Secure Context de Firefox para una navegación más segura

Publicado enNovedades en febrero 21, 2018 10:00 am

2017 fue el año de la ciberseguridad, tanto desde el punto de vista positivo con conexiones encriptadas, como desde uno más negativo con el ransomware como palabra estrella. La seguridad es algo fundamental en el buen funcionamiento de internet; ya sea gracias a los certifcados SSL, el protocolo HTTPS o el estándar Secure Contexts.

A lo largo del año pasado fueron varias las veces en que Google fue modificando los supuestos en los que un certificado SSL se hacía una necesidad. El buscador sigue luchando por las conexiones encriptadas para que nadie pueda acceder a los datos que se comparten a través de una página web.

En los últimos días es Firefox quien se ha unido a mejorar la seguridad de los usuarios en la web. Pero yendo un paso más allá. Para Firefox no es suficiente con recurrir al protocolo HTTPS, por ello busca con el estándar Secure Contexts promover entre los desarrolladores web prácticas seguras que contribuyan a proteger aún más las conexiones entre su navegador y cualquier página web.

Cifrado en todas las aplicaciones

Por el momento, tanto en el caso de Chrome como de Firefox, el uso de HTTPS se limita al propio sitio web; descuidándose otras funciones como las APIs. La propuesta de Firefox es forzar al uso de conexiones seguras bajo el protocolo HTTPS a todas las aplicaciones; desde las herramientas de geolocalización, al uso de bluetooth, la cámara de nuestro smartphone o el micrófono. Todas ellas actualmente funcionan bajo HTTP, pero no bajo el protocolo HTTPS. Y es que alguna de estas aplicaciones puede acabar convirtiéndose en la puerta de acceso de cualquier atacante al dispositivo; poniendo así en riesgo la seguridad del usuario. Por ello, el estándar Secure Contexts es una solución más completa a esa falta de seguridad.

Con el paso de los años la web se ha vuelto más y más compleja y ya no sólo sirven texto plano; también contienen imágenes, vídeos y todo tipo de contenido multimedia. Un contenido que también debe estar protegido. Porque al igual que todo en internet ha ido evolucionando, también lo han hecho las técnicas utilizadas para producir un ciberataque. Es por ello que, proteger solo la conexión entre una página web y el navegador, es insuficiente; si bien es necesaria para mejorar la seguridad. De esta forma se están descuidando otras vías de acceso a nuestros dispositivos, tanto móviles como ordenadores.

En un futuro más o menos cercano, todos los navegadores dejarán de dar soporte al protocolo HTTP. Algo que deberá ir haciéndose muy poco a poco; ya que aún hay muchos sitios web que no utilizan el protocolo HTTPS para asegurar sus comunicaciones. Por lo que si se abandonase la asistencia a HTTP de forma repentina, muchas páginas web dejarían de funcionar.

Secure Contexts, sugerencia del W3C

El estándar Secure Contexts es una de las propuestas del W3C, el organismo que vela por la mejora de la Web; con el objetivo de que acabe convirtiéndose en una práctica habitual por parte de los desarrolladores de sitios web. La seguridad en internet es algo que nos incumbe a todos; por ello, es necesario empezar por concienciar a quienes lo tienen más próximo: los desarrolladores de páginas web. De esta forma, las medidas llegarán tarde o temprano al público en general.

Al igual que Google y Mozilla, nosotros también apostamos por el protocolo HTTPS. Si tu página web aún no cuenta con un certificado de seguridad SSL que encripte toda la información que tus usuarios proporcionan no esperes más para mejorar la seguridad de tu web con uno de nuestros SSL.

Y hablando de Firefox, ¿quieres saber cómo mejorar el consumo de recursos de Firefox?

#NoHacked, la apuesta de Google por la ciberseguridad

Publicado enGeneral en enero 10, 2018 10:00 am

Es posible que el hecho de que 2017 se convirtiera en el año del ransomware haya animado a Google a retomar su campaña #NoHacked. El buscador lleva ya un tiempo velando por la mejora de la seguridad en la red. Y en esta ocasión, quiere ayudarnos a reconocer cuándo nuestra página web es víctima de un hackeo. En contra de lo que habitualmente creemos, una web no está hackeada únicamente cuando deja de estar disponible. También pueden producirse ataques de diversos tipos que alteran o dañan un sitio web. Y que, a pesar del hackeo, el sitio web puede seguir funcionando con normalidad.

Campaña social #NoHacked

La apuesta comenzó por recomendar la instalación de certificados SSL para que nuestra web recurra al protocolo de seguridad HTTPS. Y ahora continua con la vuelta de su campaña más social: #NoHacked. La campaña busca sensibilizar acerca de los hackeos y ofrecer consejos para evitar que nuestra página web sea víctima del ataque de los hackers. En 2014, el buscador realizó una acción similar en la que recomendaba no utilizar software pirata. Para evitar los ataques, en aquella primera edición de #NoHacked, también se recomendaba modificar las contraseñas con frecuencia o contratar un alojamiento de calidad. Además, en el caso de WordPress, se anima a cambiar el nombre al archivo wp-config por uno personalizado. De esta forma, se disminuyen las probabilidades de hackeo de la web.

No existe un único motivo por el que se hackea un sitio web. Aunque lo habitual es que se produzcan para obtener beneficios económicos a través de técnicas de spam de lo más variado. Por ejemplo, insertando enlaces en tu página web o redirigiendo el tráfico que llega hacia otra página. Pero también pueden copiarse archivos con información sensible si no tienes instalado un certificado SSL. Estos certificados se encargan de encriptar los datos para hacer que tus comunicaciones sean seguras. Asimismo, es posible que el atacante inserte malware (software malicioso) en tu sitio web. Como normal general, no es sencillo detectar este tipo de ataques, aunque existen una serie de indicios que podrían hacerte sospechar que tu página web ha sido hackeada.

En esta ocasión, la campaña #NoHacked, se ha centrado en enseñar a interpretar la información que se proporciona desde los resultados de búsqueda y el uso de Google Search Console para conocer el estado de nuestra página web.

La búsqueda de Google

Si Google considera que un sitio web no es seguro, lo especificará desde los resultados de búsqueda. Así evitará que accedas a una página web que puede acabar dañando tu equipo o poniendo en riesgo la información que proporciones. Para ello, Google habitualmente recurre a tres tipos de mensajes:

  • Este sitio puede haber sido comprometido.
    El buscador utiliza este aviso para alertar acerca de posibles cambios en contenido de la web o si se han añadido nuevas páginas de spam. Al acceder a la web, es posible que acabes siendo redirigido a una página de software malicioso o spam.
  • Este sitio puede dañar tu ordenador.
    El mensaje con el que Google alerta sobre páginas que podrían permitir que algunos programas instalen software malicioso en tu ordenador. De visitar la página, es probable que tus contraseñas y tarjetas de crédito queden al descubierto.
  • Advertencias sobre sitios web que no son seguros.
    La forma de informar acerca de contenidos peligrosos o inseguros, generalmente relacionados con ataques de phishing o suplantación de identidad. Para evitar que el usuario acceda a la web, aparecerá una pantalla roja alertando del peligro del sitio web, además de especificar si se trata de software malicioso, una web con contenido engañoso o descarga de archivos de fuentes que no han sido autorizadas.

En todos estos casos, es recomendable no entrar en la web en cuestión hasta que el mensaje haya desaparecido del SERP (Search Engine Results Pages). Esto se producirá cuando el webmaster haya procedido a solucionar el problema.

Redirecciones de URL

O redirecciones abiertas, constituyen una vulnerabilidad que permite a los hackers utilizar tu sitio web para ocultar enlaces maliciosos. Así, cada usuario que acceda a un sitio web hackeado, será redirigido a la web que el atacante decida mediante un enlace que parece legítimo.

Este tipo de vulnerabilidades son potencialmente peligrosas. Especialmente si se utilizan en procesos de registro o autenticación ya que podría estar proporcionándose información sensible en el lugar incorrecto. Las redirecciones abiertas no son un problema exclusivo de las aplicaciones, si no que pueden afectar a todo tipo de plataformas. Desde CMS, a redes sociales o incluso a sistemas operativos.

Google Search Console

Antes denominada Google Webmaster Tools, es la herramienta de Google para informarte acerca del estado de tu página web. Además, sirve para gestionar de una manera más eficiente tu sitio web. Una vez la página esté verificada en Google Search Console, recibirás alertas y mensajes cuando el buscador detecte errores críticos. Tanto relacionadoscon hackeos como en la estructura o el contenido de tu página web.  Además, desde ‘analítica de búsqueda’ podrás comprobarestás utilizando los términos correctos en tu sitio. Es decir, que los términos guarden relación con la temática del sitio. En el caso de que no exista relación alguna entre ambos elementos, tu página podría estar en peligro.

#NoHacked también hace hincapié en revisar que la versión móvil y la de escritorio sirvan el mismo contenido. Aunque el contenido esté adaptado a las características del dispositivo, debe ser igual en ambas versiones. Y, es que, en ocasiones, puede ser que el contenido de una de las dos versiones haya sido alterado.

Una vez más os recordamos de la importancia de actualizaciones y copias de seguridad para, si no evitar, minimizar los daños que uno de estos ataques pueda ocasionar en nuestra web. Los hackeos están directamente relacionados con la desactualización de los componentes. No mantener el sistema operativo, los plugins o el navegador al día facilita enormemente la labor de los hackers.

Los resultados de búsqueda de Google estarán más relacionados que nunca con tu ubicación

Publicado enSEO en noviembre 29, 2017 10:00 am

El buscador de internet más utilizado del mundo parece que no quiere ceder su reinado. Por ello, cada cierto tiempo Google nos sorprende con todo tipo de ‘mejoras’ que modifican los resultados de google. Los cambios van desde velar por nuestra seguridad al navegar por internet, hasta mostrarnos los resultados de búsqueda que considera más relevantes por nuestra ubicación.

En los últimos meses, la compañía se ha centrado principalmente en el uso de conexiones seguras bajo el protocolo HTTPS. Esto es posible gracias a la instalación de certificados de seguridad SSL en el servidor. Un SSL se encarga de encriptar la información que un usuario proporcione en un sitio web. Además, Google también ha sido una pieza fundamental en el desarrollo e implantación de HTTP/2 y sus mejoras. Un protocolo de comunicación que mejora considerablemente a su antecesor HTTP. También se han volcado en la creación de versiones AMP de nuestros sitios web. Una tecnología opensource que reduce los tiempos de carga en móvil con el objetivo de ofrecer una mejor experiencia de usuario. Algo que relega al diseño responsive a un ligero segundo plano.

Cambios en los resultados de Google

Su último cambio tiene apenas unos días. Esta vez, Google ha vuelto a centrarse en mejorar su sistema de búsquedas. A partir de ahora todos los resultados de búsqueda que obtengamos, en función de los términos que empleemos, estarán relacionados con el país en el que nos encontremos. Esto es, ya no será posible intentar navegar desde google.fr o google.pt porque el buscador sólo nos mostrará los resultados que considere relevantes y estén relacionados con google.es. Un cambio que la compañía afirma no tendrá ningún efecto en el resto de los servicios que ofrece. Asimismo, ha afirmado que algunas de sus aplicaciones, como YouTube o Google Maps, ya hace tiempo que recurrían a ello.

Pero, ya se sabe: hecha la ley, hecha la trampa. Ya no será posible cambiar la versión del navegador desde la URL, ni desde un ordenador ni desde un Smartphone, para parecer que navegamos desde otros países. Pero el cambio puede hacerse de forma manual. Dificultando de esta forma el acceso al buscador desde variantes extranjeras y condicionando los resultados de google de esta forma.

Este cambio en el sistema en que se muestran los resultados de búsqueda está estrechamente relacionado con el alojamiento de un sitio web en servidores que se encuentren en el mismo país al que se orienta la página web. En ambos casos, Google trata de mostrar la información más relevante para el usuario en función del lugar en el que se encuentra. De ahí que se prioricen en cuanto a posicionamiento SEO a aquellas páginas web ubicadas en servidores nacionales.

Permaneceremos atentos a ver con qué nos sorprende Google en los próximos meses. Su naturaleza le impide dejar de innovar. Bueno, su naturaleza y mantenerse como el navegador más usado del mundo, algo que no es nada fácil.

Descubren una vulnerabilidad muy grave en el protocolo WPA2

Publicado enGeneral en octubre 25, 2017 10:00 am

En internet existen infinidad de protocolos para que pueda producirse la transmisión de datos. Desde protocolos de comunicación como HTTP; de seguridad como HTTPS a FTP para la transferencia de archivos. Así como POP e IMAP en relación al correo electrónico, entre otros muchos otros. En este post vamos a hablar del protocolo WPA2 y la vulnerabilidad a la que se ha visto expuesto.

Vulnerabilidad en el protocolo WPA2

En los últimos días, la comunidad de investigadores de seguridad ha descubierto una vulnerabilidad muy grave en el protocolo WPA2, el protocolo encargado de la protección de las redes inalámbricas o Wi-Fi. Si habitualmente la conexión a una red Wi-Fi abierta es todo un deporte de riesgo, durante unos días lo ha sido mucho más. La creación de KRACKs (Key Reinstallation AttaCKs), un exploit cuya única finalidad es demostrar que el protocolo WPA2 presenta fallos de seguridad, ha podido permitir el robo de contraseñas o la interceptación de conexiones no cifradas.

Aunque pueda parecer algo exclusivo de WPA2, el descubrimiento de todo tipo de vulnerabilidades en la red Wi-Fi es tan antiguo como el propio mecanismo de conexión. Desde que en 1999 se presentara WEP (Wired Equivalent Privacy), el primer sistema de cifrado para encriptar la información de las redes inalámbricas, tanto la industria como los usuarios han ido tomando conciencia acerca de los peligros de usar conexiones no seguras. Este primer protocolo fue utilizado durante 10 años, a pesar de haberse descubierto en 2001 que en tan solo unos minutos podían conocerse las claves de acceso, entre otras debilidades. Para proteger los datos que procedían de una red Wi-Fi no era suficiente con emplear los mismos mecanismos utilizados en las redes por cable; de ahí que se aumentara la clave de cifrado de 64 bits a 256 bits.

El nacimiento de WPA

En 2003, se desarrolló WPA (Wi-Fi Protected Access). Un protocolo de transición entre WEP y el nuevo estándar que aún estaba en proceso de creación. Su principal aportación fue el uso de TKIP (Temporal Key Integrity Protocol) que supuso una mejora en el cifrado de los datos. Así, WPA ya no era vulnerable a los ataques que afectaban a WEP; lo que no significaba que no pudieran utilizarse algunas de las tácticas empleadas para atacar WPA. Algo que quedó patente en 2008 cuando algunas sesiones TCP se utilizaron para inyectar código malicioso. A lo que más tarde habría que añadir el cambio de contraseñas por parte de los usuarios. De las passwords seguras proporcionadas por el proveedor, se pasaba a otras mucho más cortas pero que resultaban más fáciles de recordar. Uno de los grandes problemas de las redes Wi-Fi que aún se mantiene.

El protocolo WPA2 nació un año más tarde, en 2004, para corregir las deficiencias en seguridad que presentaron sus antecesores; aunque parece que no ha sido del todo posible. Con su llegada, el cifrado y la autenticación mejoraron considerablemente en comparación con los anteriores estándares. Además, implementó el uso del algoritmo AES (Advanced Encryption Standard).

La vulnerabilidad descubierta en los últimos días podría permitir a un atacante espiar todos nuestros movimientos en internet; no así la obtención de nuestra contraseña Wi-Fi. Los encargados de solucionar el problema ocurrido con WPA2 son los fabricantes de los dispositivos mediante la instalación de un parche de seguridad y la actualización del firmware.

Navega a través de HTTPS

Para evitar sufrir las consecuencias de la vulnerabilidad descubierta en WPA2, navega siempre por webs seguras. Fíjate en los indicadores de seguridad y proporciona datos solo en webs cifradas. Así, si alguien que haya explotado dicha vulnerabilidad quisiera acceder a tu información, solo encontraría datos sin sentido.

¿Por qué tu web sólo es segura bajo el protocolo HTTPS?

Publicado enCertificados SSL en septiembre 27, 2017 10:06 am

Desde que anunciase el lanzamiento de Chrome 56 a principios de año, Google ha ido ampliando los supuestos en los que avisaría de la falta de seguridad algunas páginas web que aún no estuvieran bajo el protocolo HTTPS. En aquella ocasión anunciaban que comenzarían por penalizar únicamente a aquellos sitios web que solicitasen tarjetas de crédito o claves de acceso. Ahora, con Chrome 62 este aviso se extiende a cualquier tipo de dato que la web solicite al usuario.

Porqué cambiar al protocolo HTTPS

Chrome 62 llegará a principios de octubre. Así que, si aún no has cambiado tu web de HTTP a HTTPS, no deberías esperar más; especialmente si lo que deseas es un negocio online seguro. El navegador se ha percatado de que son muchos los ecommerce que sólo están bajo protocolo HTTPS en la pasarela de pago, dejando el resto del proceso al no seguro HTTP. Para Google es importante el intercambio de información que se produce al introducir una contraseña o número de tarjeta de crédito.  Pero también lo es el momento en que el usuario está añadiendo productos a su carrito. O cuando se le solicita un email de contacto para el envío de newsletters. De ahí que cada vez se vuelvan más estrictos respecto a la seguridad de la web.

Por el momento, aquellas páginas web que solicitan datos de acceso y aún no han sido adaptadas y continúan utilizando el protocolo HTTP han experimentado un 23% menos de visitas, como resultado de la penalización. Google está haciendo de este cambio por dos razones: mejorar la seguridad en internet y evitar malas prácticas como el phishing.

De este cambio no se salva la navegación en modo incógnito. Si Google califica una web como segura, se mostrará igualmente el aviso. A partir de ahora, sea cual fuere el modo en que naveguemos a través del buscador, se aplicarán esos criterios.

Consigue tu certificado SSL en Linube

Evitar que tu web sea penalizada es muy fácil y barato. Para pasar de HTTP a HTTPS basta con instalar un certificado de seguridad SSL. Éstos se encargan de encriptar la información y hacerla inaccesible a terceros. Pero eso no es todo, ya que los certificados SSL aportan más ventajas a tu web: mejora el posicionamiento SEO, generan mayor confianza, te identifican como el propietario de la página web… además de hacer que no resultes penalizado por Google.

Si aún no cuentas con un certificado de seguridad SSL, puedes contratarlo en Linube por sólo 49 euros al año.

Con total seguridad, el cambio va a ser progresivo en los próximos meses. Google continuará ampliando los casos en que notificará acerca de las webs poco seguras.

¿Qué es el fichero .htaccess?

Publicado enDesarrollo y Programación en septiembre 20, 2017 10:00 am

Si estás pensando en montar un blog, tienda online o cualquier tipo de página web en primer lugar, tendrás que decidir qué plataforma usar (WordPress, Blogger, PrestaShop, Joomla…). Después, si quieres que tu web no dependa de la plataforma escogida deberás buscar un hosting que se adecúe a tus necesidades. Y, a la hora de elegir el alojamiento existen dos opciones: Windows o Linux. En el caso de que te decantes por el código abierto, te será muy útil conocer qué es el fichero htaccess. Este fichero se encuentra dentro de cualquier servidor que funcione con el servidor web Apache.

Dónde encontrar el fichero htaccess

No deberías tener problema alguno en dar con él desde el panel de tu servidor, pero es es posible que te cueste un poco encontrarlo. Esto se debe a que el fichero .htaccess se encuentra oculto. Lo puedes hacer tanto con el Panel de control Plesk como acceso vía FTP; ya sea a través del administrador de archivos, o utilizando programas especialmente indicados para ello como Filezilla. El fichero .htaccess modifica la configuración de un directorio y la de todos los subdirectorios que dependan de él. Por eso encuentra en el directorio principal.

Este fichero es fundamental para la gestión de un servidor Linux. Al contrario que otros servidores, permite establecer restricciones y cambiar la configuración del mismo. De esta forma tendrás un control total. Podrás controlar quién tiene acceso a tu servidor, a tus archivos o a tus directorios y que tu página web cuente con el mejor nivel de seguridad.

Todas las funcionalidades del fichero htaccess

El fichero htaccess es muy importante. Todas las peticiones que tus usuarios realicen dentro de tu página web, antes de recibir respuesta deben ser aprobadas, o rechazadas, por el fichero htaccess.  Además, contribuye a combatir el spam, permitiendo bloquear tanto bots como las direcciones IP que consideres necesario. También facilita la creación de URLs amigables para los buscadores o evitar el envío de paquetes PING. Pero, además, tiene otras funcionalidades importantes:

  • Configurar del acceso a tu web con y sin www. Así, redirigiéndolos con htaccess a un único dominio, evitarás hacerte competencia a ti mismo.
  • Hacer redirecciones a dominios diferentes. Muy útil si le has cambiado el nombre de tu dominio. Evita perder todas las visitas que lleguen a tu antiguo sitio web.
  • Personalizar mensajes de error. Para darle tu toque personal a los errores que pueda devolver la web a tus usuarios.
  • Comprimir archivos CSS, JavaScript, XML o texto para reducir el peso de tu sitio web y que cargue en menos tiempo.
  • Almacenar imágenes en caché. De esta forma, una vez visitada tu página web, las siguientes veces que tus usuarios vayan a visitarte, cargará mucho más rápido.
  • Redirigir desde HTTP a HTTPS. En este caso, además de las modificaciones necesarias en el fichero .htaccess requiere de la instalación de un certificado de seguridad SSL.

Queda patente que son muchas las funcionalidades del fichero htaccess. Aun así, para poder llevarlas a cabo, deberás tener en cuenta que .htaccess está en formato ASCII y funciona mediante comandos de texto. Por lo que, si no los dominas, tendrás que andar con cuidado en las modificaciones que vayas a realizar.

Compra con seguridad a través de internet

Publicado enCertificados SSL en agosto 23, 2017 10:00 am

La posibilidad de comprar prácticamente cualquier cosa a través de internet ha supuesto un gran cambio en nuestras vidas. Antes, dependíamos de los horarios de apertura de las tiendas y del tiempo libre que nos dejaba nuestro trabajo. Ahora, tenemos la posibilidad de comprar con seguridad y hacerlo cuando nos apetezca. Las tiendas online están disponibles 24 horas al día, sin importar si es o no festivo. Realizar la compra mientras estamos en el sofá, después de cenar o desde la playa ya es posible. Y por ello es que ha cobrado vital importancia la seguridad en internet.

A pesar de las múltiples ventajas que ofrece el comercio electrónico, hay quien aún no confía demasiado en el desarrollo de las tiendas online. En parte, esto puede estar motivado por los casos de estafa o phishing que a veces salen en las noticias. Noticias que pueden generar una impresión errónea a la hora de crear un ecommerce. En Linube tenemos algunos consejos para todos aquellos que todavía no se fían de la seguridad en internet o no se animan a comprar a través de la web. Si bien no les hace dar el paso, puede contribuir a que vayan perdiendo el miedo a comprar a través de internet.

No te arriesgues

  • Utiliza siempre contraseñas seguras. Así, quien quiera acceder a tu cuenta lo tendrá muy difícil. Combina mayúsculas, minúsculas, números y símbolos en tu clave. Si tu password tiene más de 8 caracteres será aún más complicado de adivinar para los hackers. Además, es recomendable que utilices una contraseña diferente en cada una de las plataformas en las que te registres. Aunque puedas pensar que te será muy difícil recordar todas tus claves de acceso, recuerda que existen múltiples gestores de contraseñas que las recordarán por ti.
  • Compra sólo en webs que tengan instalado un certificado SSL. Como bien sabrás, estos certificados de seguridad se encargan de encriptar todos los datos que proporciones. Así, si alguien accediera a esta información solo se encontraría un conjunto de caracteres sin sentido. Para saber si una página web cuenta con un certificado SSL, sólo tienes que comprobar que la página comience por HTTPS y no HTTP. Que aparezca un candado en la barra de navegación en el que, al pinchar sobre él demuestre así que estás navegando realmente en la web que crees y, lógicamente, mejorando tu seguridad en internet.

No recurras a sitios que no confíes

  • Conéctate únicamente desde redes seguras. Nunca recurras a una wifi pública o a la red del bar de confianza. Existen muchas posibilidades de que puedan hackearte. Al comprar a través de internet vas a tener que proporcionar a la web información sensible. Hazlo solo desde conexiones seguras para garantizar tu seguridad en internet.
  • Adquiere tus productos en webs con buenas críticas. Al igual que ocurre cuando vas a comprar en tienda física, las recomendaciones de alguien que ya ha adquirido el producto o ha tenido una buena experiencia con un determinado comercio, siempre da mayor tranquilidad. En el caso de las tiendas online, es mucho más fácil, con una sencilla búsqueda a través de internet podrás conocer cientos de opiniones que te darán seguridad a la hora de comprar en determinados sitios web.

Cuidado con la política de devoluciones

  • Comprueba la política de devoluciones antes de iniciar la compra. El hecho de que, antes de comprar algo, investigues primero cuál es su política de devoluciones puede ahorrarte algún disgusto. De esta forma sabrás, antes de haber realizado el pago en la web, qué pasará en caso de que el producto no sea de tu gusto, te llegue en mal estado o cualquier otra circunstancia que te lleve a querer cambiarlo o devolverlo. Aunque toda página web que venda a través de internet está obligada a tener su propia política de devoluciones visible, si no logras encontrarla, pregunta antes de proceder al pago.
  • Huye de las promociones que llegan como spam. La gran mayoría de las veces son tan jugosas que sólo por eso deberías desconfiar. En algunas ocasiones estas ofertas provienen de empresas de confianza, pero en la mayoría de los casos llevan a páginas web que no son aquellas que dicen ser. Emplea el sentido común y desconfía de esos precios demasiado baratos para el coste del producto antes de proporcionar información.

Infórmate sobre las opciones de pago existentes

  • Ten en cuenta las diferentes opciones de pago. Aunque actualmente todas ellas son igualmente seguras, puede que recurrir a PayPal te transmitan más seguridad al no tener que poner directamente tus datos bancarios. También habrá quien preferirá realizar el pago a contra reembolso, un servicio bastante poco frecuente. Pero si confías en la seguridad de la banca online, el pago mediante tarjeta de crédito es otra opción.
  • La seguridad del teclado virtual. Hablando de la banca online, son muchas las entidades que recurren al uso de teclados virtuales. De esta forma no es posible registrar las teclas que pulsamos a la hora de introducir nuestros datos. Con un funcionamiento igual a los teclados convencionales, los digitales evitan el keylogging. Ningún software podrá detectar qué botones presionamos.

Ciberataques y tu seguridad en internet

Nuestros consejos son igualmente válidos para las compras a través de internet como para evitar las fatales consecuencias que pueda tener un ciberataque. Además, no olvides tener tu sistema operativo y todas las aplicaciones actualizadas. Ya que vas a proporcionar información sensible, mejor estar protegidos ante lo que pueda venir.

Si quieres, aquí tienes unos consejos para mejorar la seguridad y evitar ciberataques. Como apunte adicional, e íntimamente ligado a los ecommerce y su modus operandi, échale un ojo a nuestro artículo sobre el geobloqueo.