Mario Cantalapiedra Cinco preguntas sobre el ‘factoring’ que se hacen las pymes El factoring o factoraje es una operación por la que una empresa cede sus facturas de venta de bienes o prestación de servicios a una entidad especializada (factor) que...
José María Lissen Cómo promocionar tu negocio a nivel local Internet ha cambiado el concepto de empresa tradicional, de eso no hay duda. Los negocios ‘de toda la vida’ se han visto obligados a modernizarse para ser competitivos, abriéndose...
Alberto Fernández Castro Desmitificando la transformación digital Transformación digital: ¡que nadie se asuste!, después de varios años con la ya manida expresión, no seré yo el que vaya ahora a pretender cambiar el rumbo a nadie. Sin...
César del Olmo Arribas La externalización como motor de la transformación digital En este momento las empresas están volcadas en la búsqueda de su diferenciación y una mayor competitividad. La tecnología juega un papel clave en este sentido. Según los últimos...
Área de Innovación y Laboratorio de Telefónica Tech DIARIO, el detector de malware en documentos que respeta la privacidad Con DIARIO es posible escanear y analizar documentos en busca de malware sin necesidad de conocer su contenido. Descubre más en este post.
Gabriel Bergel Ciberseguridad en pandemia (I): las personas La ciberseguridad es más importante aún en estos tiempos de pandemia en los que se están incrementando los ciberataques, sí, pero además de un objetivo de negocio a nivel...
Luis Murrieta El primer Bootcamp de Open Future: la formación y el emprendimiento intensivos En Open Future, la red de alianzas público-privadas para fomentar el emprendimiento local y regional de Telefónica, perseguimos apoyar el emprendimiento desde su origen. Estamos presentes dónde lo están...
Marcia Maciel Cuando nace una idea, nace un emprendedor: cómo Open Future fomenta la democratización y descentralización del emprendimiento En las últimas décadas, la fuerte migración de proyectos tecnológicos a las grandes capitales y centros de decisión se ha convertido en una tendencia natural. El talento y sus...
De cómo las CA tradicionales están perdiendo el control de los certificados y los posibles motivos por los que Chrome tendrá una nueva Root StoreSergio de los Santos 9 noviembre, 2020 Todo se trata de confianza. Esta frase es válida en cualquier ámbito. El dinero por ejemplo no es más que un traspaso de confianza, porque obviamente, confiamos en que por un trozo de papel que físicamente no vale nada podemos conseguir bienes y servicios. La confianza en la navegación viene por los certificados raíz. En tanto en cuanto confiemos en ellos, sabremos que nuestra navegación no está siendo intervenida y podemos visitar e introducir datos en webs con ciertas garantías. Pero ¿en quién debemos confiar la elección de estos certificados raíz? ¿Confiamos en los que proporciona el navegador o en los que nos ofrece el sistema operativo? Google ha movido ficha y quiere tener su propio sistema de Root Store. En el principio fue el CAB/Forum Es el foro de entidades relevantes de Internet (principalmente CAs y navegadores). Se vota y se decide sobre el futuro del uso de certificados y TLS en general. O no. Porque ese año hemos asistido a cómo un fabricante relevante ha actuado independientemente del resultado de una votación y unilateralmente ha aplicado su propio criterio. En 2019 votaron si se debía reducir el tiempo de vida de los certificados TLS/SSL a un año. El resultado fue no. Pero no importó. Los navegadores tomaron la palabra. Safari en febrero de 2020 afirmó unilateralmente que marcaría como inválidos los certificados creados por más de 398 días a partir del 1 de septiembre. Firefox y Chrome le siguieron. La votación entre las partes implicadas (principalmente CAs y navegadores) no sirvió para nada. Otro ejemplo es cómo Chrome lideró en cierta forma el “deprecado” de los certificados que usaran SHA-1 siendo cada vez más agresivo estéticamente con la validez de estos certificados (aspas rojas, alertas…) y a veces sin estar alineados con los plazos marcados por el CAB/Forum. Nada malo de por sí, no debe malinterpretarse. Los navegadores pueden llegar a proporcionar cierta agilidad en las transiciones. El problema es que los intereses de las autoridades certificadoras, con un claro plan de negocio, no siempre coincide con el de los navegadores (representados por compañías con intereses a veces contrapuestos). Al final, parece que quien está más cerca del usuario tiene la sartén por el mango. De nada sirve que las CA decidan emitir certificados con duración superior a un año si el navegador que usa el 60% de los usuarios va a marcarlos como de no confianza. La popularidad, la cercanía con el usuario, redunda en un valor en sí mismo que Chrome y otros explotan (como ya hizo Internet Explorer en su tiempo) para poder imponer los “estándares”. Las Root Stores… Cada uno tenía la suya y ahora Chrome quiere una Windows siempre ha tenido un Root Store con los certificados raíz en los que confía. De él se alimenta Internet Explorer, Edge… Apple igual, Android también. El navegador más popular con su Root Store independiente era Firefox. Y esto a veces traía problemas. Que se lo digan a la FNMT y a la increíble historia de Firefox y su certificado raíz del que carecía hasta no hace mucho. También algo de polémica. En 2016 Firefox fue la primera en dejar de confiar en WoSign y StartCom por dudar de sus prácticas. El resto le siguieron en seguida. Por otro lado, en 2018, Apple, Google y Firefox dejaron de confiar en certificados Symantec. Para ello usaron el bloqueo tradicional (por varios medios) y no necesariamente dejándolos de incluir en su Root Store. En general, los navegadores movían ficha en este aspecto. Si Edge quería dejar de confiar en algo, Microsoft se encargaba en Windows. Si era Safari, Apple lo eliminaba del Root Store Mac y el iPhone. Si Chrome quería controlar en quién confiar, podía hacerlo en Android pero… ¿Y en Chrome sobre Windows, sobre Mac, iPhone… y en Chrome sobre Linux? Esa pieza le faltaba en el puzle y le hacía dependiente del criterio de un tercero. Ahora quiere su propia Root Store para no depender de nadie. En su estamento donde defiende el movimiento habla principalmente de que esto proporciona homogeneidad en las plataformas. No en todas, porque en concreto menciona que en iOS se le va a impedir este paso y por tanto, Chrome seguirá “tirando” del root store impuesto por Apple. Por lo demás, explica sus criterios de inclusión como certificado raíz de confianza (que en principio son los estándares). Y que por supuesto responderá ante incidentes que minen la confianza en la CA. Pero ¿por qué querer una Root Store? En 2019 Mozilla volvía a recordar por qué lo hacían ellos desde siempre y por qué era necesario: principalmente por “reflejar sus valores” (lo que otros pueden también traducir como “intereses”). Pero aparte de la homogeneidad que también menciona Mozilla, una frase en su explicación que da en el clavo es “In addition, OS vendors often serve customers in government and industry in addition to their end users, putting them in a position to sometimes make root store decisions that Mozilla would not consider to be in the best interest of individuals”. Lo que traducido significa: hay quien que se pliega a intereses políticos o del mercado. Y no queremos que eso repercuta en el usuario. En una palabra: desconfianza. Mozilla desconfía. También menciona el hecho de que el sistema operativo inserta certificados para analizar tráfico en su Root Store (como por ejemplo el antivirus), así no les afecta. Siempre anteponiendo las libertades individuales como ya hizo imponiendo el DoH y obligando en cierto modo a elegir entre seguridad y privacidad. ¿Y las motivaciones de Google? ¿Serán parecidas? Sobre el papel sí, quieren homogeneidad. Pero no olvidemos que sea quien sea el que lo controle, como sutilmente recordaba Mozilla, decidir sobre la Root Store independientemente del sistema operativo también permite elegir quién, en un momento dado, puede tener acceso al tráfico cifrado. Aparte de ser un dolor de cabeza para el administrador. Así que al final parece que es, de nuevo, cuestión de confianza… ¿o quizás desconfianza? Chrome, una vez maduro y con una gran influencia sobre el mercado, quiere que confiemos en ellos y en su política de acceso a la Root Store. A esto a su vez… (a la luz de las razones que exponía Mozilla) ¿no se podría interpretar como una ligera desconfianza hacia la plataforma donde Chrome se ejecuta? ¿No se trata de un paso más en el distanciamiento de las propias CAs? ¿Un intento al fin y al cabo de tener más control? La huella digital y la revolución en las comprasElevenPaths Radio 3×02 – Entrevista a José Valiente
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...