ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center de Telefónica.
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Nueva herramienta ProxyMe y ataques de cache poisoning (y II) ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre...
ElevenPaths La “carrera criptográfica” entre Google y Microsoft Google y Microsoft están dando llamativos pasos adelante para mejorar la seguridad de la criptografía en general y de TLS/SSL en particular, elevando los estándares en los certificados y...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 29 de agosto – 4 de septiembre Amanecer Rojo, nuevo documento adjunto de Emotet En la última semana se ha descubierto el uso de una nueva plantilla de documento adjunto por parte de Emotet. Red Dawn (Amanecer...
ElevenPaths Eventos en los que participa ElevenPaths en febrero de 2020 Un resumen de los eventos y conferencias en las que van a participar los expertos de ElevenPaths durante el mes de febrero de 2020.
Todo lo que necesitas saber sobre los certificados SSL/TLSElevenPaths 4 marzo, 2021 ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada entre un servidor web y un navegador. Su función principal consiste en asegurar que datos confidenciales como contraseñas, nombres de usuarios, números de tarjetas de crédito, direcciones de correo electrónico, etc. se utilicen de forma segura en una página web, encriptando por un lado los datos sensibles y certificando por otro, la autenticidad del sitio web al que accedemos. Las Autoridades Certificadoras (CA) son las encargadas de validar, emitir y revocar lo certificados de la misma forma que un gobierno emite documentos oficiales como el DNI o pasaporte. Las Autoridades Certificadoras deben seguir unas reglas y políticas muy estrictas a la hora de decidir quién puede o no recibir un certificado y por ello, contar con un certificado emitido por una CA es un paso indispensable para asegurar la confiabilidad del sitio web. Un certificado digital cumplirá por tanto dos funciones básicas para establecer una conexión segura: Autenticar y verificar el sitio webCifrar la información intercambiada ¿Por qué es importante disponer de un certificado? Cualquier página web en la que se lleven a cabo transacciones o se solicite cualquier dato personal al usuario necesita contar con un certificado SSL. Tanto si vendes por internet como si recoges datos necesitas un certificado para asegurar que los datos de tu empresa y de tus clientes están seguros y protegidos. La web es uno de los activos digitales más importantes de las empresas ya que funciona como un escaparate constante y debe transmitir seguridad y confianza a tus clientes. Estos son algunos de los ejemplos sobre el tipo de información que requiere de un certificado digital activo: Información para inicio de sesión y uso de contraseñasInformación financiera (tarjetas de crédito, cuentas bancarias)Datos personales (nombres, direcciones, NIF, fechas nacimiento..)Documentos legales y contratosListados de clientesHistorial médico Además de proteger la información de tu web, contar con un certificado digital SSL: Evitará errores en los navegadores más utilizados como Chrome y Firefox al evitar mostrar el mensaje de “no segura”Mejorará tu posicionamiento SEO al ser detectado por Google.Dispondrás de seguros de cobertura y sellos de calidadEstarás protegido contra ataques como man in the middleCifrará información end to endDará confianza a tus usuarios y será visible en el navegador como muestra este ejemplo: Tipos de certificados Antes de la emisión de un certificado la Autoridad Certificadora (AC) deberá confirmar que la entidad o persona que lo solicita es real y cuenta con autorización para solicitar el certificado. Elementos como el tipo de confianza que otorgan, las necesidades y usos de los certificados han propiciado que surjan diferentes tipos de certificados SSL. Hablamos de ellos a continuación: Certificados según el tipo de validación Certificados con Validación de Dominio (DV): son los certificados de nivel más básico ya que usan la validación más sencilla. En ella se valida que solicitante es realmente el propietario del dominio en el que se instalará el certificado. Normalmente se realiza por email y tras realizar algunas comprobaciones a través de los registros DNS del dominio. Por tanto, el nivel de confianza que aportan esta clase de certificados es bajo debido a que cualquier solicitante propietario de un dominio podrá conseguir el certificado SSL y cambiar el “http” de su web por un “https”.Certificados con Validación de Organización (OV): se trata de certificados en los que el proceso de verificación aumenta con respecto a los anteriores ya que debe hacerse una comprobación a nivel de empresa u organización. En este caso se realizará a través de un proceso manual en el que una persona verificará el dominio y la empresa a través de información sobre la entidad, sede fiscal y una serie de datos oficiales para asegurar la autenticidad de la solicitud. Este es uno de los certificados más usados por pymes y medianas empresas debido a que, una vez finalizado el proceso de verificación, se mostrará toda la información de la empresa en los detalles del certificado aportando así un extra de confianza a los usuarios que visiten la web. Suele utilizarse para certificar webs corporativas o herramientas que utilizan los clientes de la compañía.Certificados con Validación extendida (EV): estos certificados suponen ya el máximo nivel de seguridad y de confianza. Su verificación es mucho más estricta e incluye, además de la comprobación legal de los datos de la empresa y documentación oficial, la inspección física de la empresa. Con estos certificados el nombre de la compañía aparecerá en verde en la barra del navegador delante de la dirección web. Las grandes corporaciones suelen solicitar este tipo de certificados y el proceso de aprobación suele tardar varias semanas debido a que los mecanismos de validación son mucho más rigurosos. Certificados según los dominios o subdominios Certificados wildcard: los certificados wildcard son necesarios cuando la web utiliza varios subdominios bajo un dominio principal de tal forma que con esta tipología de certificado se puede proteger al dominio principal y todos a todos subdominios asociados. Por ejemplo dentro el dominio principal telefonica.com podemos disponer de los siguientes subdominios: tech.telefonica.com ; pymes.telefonica.com o empresas.telefonica.com. Empresas que, por su tipo de negocio, necesitan asociar herramientas a subdominios o simplemente necesitan disponer de varios subdominios protegidos para cubrir su oferta son las que suelen solicitar un certificado wildcard. Dependiendo del número de subdominios que se necesiten proteger la elección de un wildcard podría ser la opción más económica y solo se recomienda su uso para entornos donde la plataforma técnica pueda requerirlo, como algunos proxies, balanceadores, etc.Certificados multidominio (SAN): los certificados multidominio conocidos como certificados con opción SAN (Subject Alternative Name) son la mejor opción si es necesario proteger varios dominios y subdominios bajo un mismo certificado. Una de las principales ventajas de este tipo de certificados es que se consigue simplificar el proceso de configuración en servidores al ejecutar varios servicios bajo una misma dirección IP permitiendo además, cambiar, añadir o eliminar cualquier certificado SAN de una forma más ágil. Se utilizan a menudo para securizar Microsoft Exchange Server, Office Communications Server, Mobile Device Manager o, como mencionábamos, para securizar múltiples dominios que resuelven en una única dirección IP.Certificados de Let´s Encrypt: Let´s Encrypt es una CA automatizada y abierta que permite obtener un certificado SSL de forma gratuita para tu dominio. La principal ventaja, además de ser gratuito, es que su instalación se realiza de forma inmediata y automática. Es una solución válida dependiendo del tipo de certificado que necesites pero, ¿puedes conllevar algún riesgo la utilización de esta clase de certificados? En este artículo te detallamos algunos problemas de seguridad que han afectado a Let’s Encrypt. ¿Cada cuánto caducan? ¿Cómo verificar su caducidad? Oficialmente, el tiempo máximo de vida de los certificados es actualmente de 397 días (13 meses) y por ello es importante fijar recordatorios automáticos para su renovación. Existe software de gestión que envía recordatorios automáticos cuando un certificado SSL/TLS está a punto de caducar, así que no hay excusa para olvidarse de ello. Estas son algunas de las herramientas disponibles para consultar la caducidad de un certificado: SSL Checker TrackSSLComprobación de certificado SSLKeychest Para comprobar de forma manual cuándo expira un certificado SSL Entra a través de tu navegador en la página web cuyo certificado quieres verificarHaz click sobre el candado que aparece junto al https:// en la barra del navegador como aparece en la imagenEn sección certificado podrás consultar la fecha de vencimiento Errores comunes en servidores TLS/SSL Aunque la capa de seguridad TLS/SSL, se ha extendido como servicio imprescindible en las organizaciones como servidores web, de intercambio de archivos, etc., y su función principal reside en reforzar la seguridad, debe ser auditada para que su objetivo se cumpla correctamente. En este artículo, os explicamos brevemente algunos de las errores comunes en servidores SSL/TLS y certificados X509, porque es la combinación de ambas entidades y su correcta configuración, la que puede asegurar una conexión fiable y segura: Errores comunes en servidores TLS/SSL ¿Hacia dónde evoluciona el TLS? Son tiempos convulsos para la criptografía. Aunque el usuario de a pie no lo perciba, el mundo de las páginas webs cifradas y autenticadas (aunque no por ello seguras) está atravesando una profunda renovación de todo lo establecido. Algo en principio tan inmutable como la criptografía está pasando por un momento extraño en el que no sabemos cómo acabará. Eso sí, lo que es seguro es que debemos modificar nuestras creencias clásicas sobre cómo funciona la web. Como ya ocurriera con Symantec en 2017 cuando Google puso en entredicho la fiabilidad de sus certificados, o el caso de FMNT para que Firefox incluyera su certificado en su repositorio que necesitó de varios años, en 2021 le ha tocado el turno a Carmerfirma, CA que se ha visto afectada por la nueva actualización de las políticas de seguridad de google coincidiendo con la salida de Chrome 90. En los siguientes artículos repasaremos algunos acontecimientos recientes que han puesto el mundo de los certificados digitales patas arriba: Las 26 razones por las que Chrome no confía en la CA española Camerfirma Más certificados, más cortos y en cada vez menos tiempo: ¿a dónde va el TLS? En Internet nadie sabe que eres un perro ni aunque uses certificados TLS ¿Qué es Certificate Transparency? Certificate Transparency es un mecanismo ideado y apoyado desde Google para la supervisión de certificados SSL cuyo objetivo es luchar contra un problema presente en el mundo web desde hace mucho tiempo: los certificados falsos o emitidos en nombre de otro. De este modo, los propietarios de los dominios pueden utilizar este marco para controlar la emisión de certificados para sus dominios y detectar certificados emitidos de forma errónea. Certificate Transparency se empezó a conocer sobre el año 2014, cuando Google anunció que sería un requisito obligatorio para aquellos certificados SSL/TLS con validación ampliada (EV) que fuesen emitidos a partir de enero del 2015. Desde entonces, estos requisitos se han ido ampliando con el paso de los años por lo que si quieres saber más más sobre Certificate Transparency de Google puedes consultar el qué, el cómo y el por qué de Certificate Transparency en este artículo. ¿Qué es Certificate Pinning? Certificate Pinning son un conjunto de técnicas basadas en extremar las medidas de protección a la hora de aceptar por bueno o no un certificado digital en una conexión segura. Certificate Pinning no es un método, sino sólo eso, un concepto que cada uno interpreta a su manera. En esta serie de post aclaramos todo lo que necesitas saber sobre Certificate Pinning: Certificate pinning: el qué, el cómo y el porqué (I)Certificate pinning: el qué, el cómo y el porqué (II)Certificate pinning. el qué, el cómo y el porqué (III)Certificate pinning: el qué, el cómo y el porqué (IV) ¿Cómo se instala un certificado SSL? Dependiendo del certificado escogido el grado de complejidad será mayor o menor. Si necesitas contactar con un experto para que te asesore puedes hacerlo a través de este enlace: CONTACTAR CON UN EXPERTO ¿Qué es una PKI? Una PKI o infraestructura de clave pública (Public Key Infraestructure) es el organismo y lugar donde se emite un certificado (entre otras acciones). Aporta la confianza necesaria para asegurar la identidad del poseedor de un certificado. Una PKI requiere Tecnología: debe usarse tecnología de seguridad suficientemente probada y confiableOperadores cualificados: el personal que opera la PKI debe ser cualificado y de confianzaAdministradores cualificados: los administradores deben capacidades en seguridadInstalaciones securizadas: las instalaciones deben contar con medidas adicionales de seguridad, tanto físicas como lógicas. Por ejemplo: control volumétrico o acceso dualPolíticas: requiere la existencia de documentos legales recogiendo todo el ciclo de vidaProcedimientos: deben existir tanto procedimientos de TI específicos como de seguridadIntegración: requiere ser reconocida por otras organizaciones y aplicaciones. Por ejemplo por los navegadores Ventajas que aportan los certificados obtenidos mediante una PK Acceso remoto seguro (VPN)Autenticación fuerte en webAutenticación en infraestructuras (WiFi).Cifrado y Firma de e-mail.Firma de documentos digitales.iOS compatibles.Gestión dispositivos móviles.Seguridad M2M. ¿Por qué Telefónica? Telefónica y DigiCert En Telefónica, a través de nuestra Agencia de Certificación Electrónica (ACE) y como empresa de ciberseguridad de Telefónica Tech, somos partner Platinum de DigiCert, la autoridad Certificadora de mayor prestigio mundial. La seguridad de DigiCert está avalada por sus usuarios: 96% de los mayores bancos del mundo, el 80% de sitios de ecommerce de EE.UU. y el 74% de Europa utilizan certificados SSL de DigicCert. Líderes del mercado Desde Telefónica gestionamos los servicios de certificación SSL y MPKI de DigiCert (emisión de certificados digitales para usuarios, PKI Magnum, y certificados de servidor seguro SSL) de las empresas más importantes del IBEX35, entre las que se incluyen los principales bancos nacionales e internacionales presentes en España. Plazos de emisión más ágiles Gestionamos la emisión de certificados a través de nuestra propia plataforma en la estructura PKI del proveedor, lo que nos permite garantizar unos plazos de emisión más ágiles que con cualquier otro partner, ya que realizamos un exhaustivo seguimiento de los pedidos de nuestros clientes, controlando todo el ciclo de vida de los certificados. Centro de atención al cliente Así mismo, disponemos de nuestro propio Centro de Atención a Clientes en España, en horario español, adaptado a las necesidades de las empresas españolas, con atención comercial y soporte técnico de primer y segundo nivel. Es este sin duda nuestro carácter diferencial, un equipo técnico y comercial altamente cualificado, una atención personalizada y conocimiento real de la casuística del mercado nacional. Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo!Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...
