Seguridad

Cómo paliar problemas con tu dominio

Published: 8 junio 2018
Categorías: Consejos, Ecommerce, negocios, Seguridad, SEO, Servicios, Web

8 de junio de 2018.
Empiezo escribiendo este artículo con la fecha de hoy porque voy a explicar qué ha ocurrido con los dominios .es que los gestiona la entidad publica Red.es, del Ministerio de Energía, Turismo y Agenda Digital, y cómo podemos evitar en gran medida un desastre como el que han vivido hoy muchas webs y muchos usuarios con un correo con dominio .es. (Información sobre el incidente en este artículo)

¿Qué es lo que ha ocurrido? Sencillamente que la gestión de las zonas de dominios se les ha caído. Por ahora no se sabe mucho más de por qué ha sido, y las webs de red.es y dominios.es que serían las encargadas de informar, aún no muestran nada. Dominios.es a través de su Twitter ha informado escuetamente del problema:

Por otra parte, era de esperar, ya que la gestión de los dominios .es es mucho peor que la de un .info o un .com, por poner ejemplos.

Pero, ¿cómo podríamos evitar estos problemas, o por lo menos, paliarlos? Realmente hay muchas soluciones, por ejemplo, no depender sólo de un dominio .es únicamente. Personalmente suelo recomendar a un cliente cuando compra el dominio .es, que compre el homólogo .com y que redirija el .es al .com. Y que gestione el correo desde el dominio .com. ¿Por qué dar prioridad el .com? Pues porque la gestión de los .com recae sobre una organización más grande y fiable que la de .es. También está la idea de trabajar con varios dominios, y que el principal de todos ellos no sea un .es, sino un .net, .com, .info.

Pero aparte del problema que puede ocasionarnos el que una entidad de gestión de dominios se caiga o de problemas, podemos tener otros tipos de errores y contratiempos, por ejemplo, que nuestro servidor tenga que gestionar mucho contenido (archivos, imágenes) y servirlo internacionalmente. Entonces lo mejor es contar con un servicio CDN que sea el encargado de servir nuestros contenidos, descargando a los servidores web de ese trabajo.

Otro problema que podemos tener es un ataque de denegación de servicio por DNS. Si tenemos un problema como este, aparte de tener los servidores preparados para ello, y realizar las medidas consecuentes para paliarlo, nos vendría bien tener la web gestionado por distintos DNS, ya que el denegación de servicio se hace contra uno o varios servidores normalmente de la misma raíz de NS, por lo que si tenemos DNS en distintos países o distintos hostings, el ataque se verá disminuido.

Y estas son algunas de las reglas que solemos recomendar a los clientes para tener garantizado más del 90% de disponibilidad tanto de servicio web como de mail.

Error de seguridad: por qué no debemos guardar los números de tarjetas bancarias

Published: 4 junio 2018
Categorías: Comercio electrónico, Ecommerce, Métodos de pago, negocios, Seguridad, Web

El 3 de junio saltaron las alarmas entre los clientes de PcComponentes: se estaban realizando compras fraudulentas con sus tarjetas. Por lo que se cuenta en esta noticia (ver noticia), parece ser que PcComponentes ha tenido un problema de seguridad y las cuentas de usuarios se han visto comprometidas, aunque más tarde la empresa ha querido desmentirlo. Lo que llama la atención es que se hayan visto implicados clientes de PcComponentes.

Este supuesto robo de información no debería haber supuesto un problema más allá de haber hecho público los datos de los usuarios, si no fuera porque al parecer, PcComponentes guardaba sus números de tarjetas en sus propias bases de datos, lo que ha llevado a los clientes a pensar que ha habido alguna filtración.

Llevamos años insistiendo en contra de guardar los datos bancarios de los usuarios a los clientes que nos piden guardar ellos mismos los números de tarjetas y de CCC con el objeto de hacer más cómoda la compra para sus clientes cuando éste repite. Y nuestra respuesta siempre ha sido la misma: hace falta tener una seguridad muy alta en los sistemas que custodian esos datos (no sólo implican una encriptación de datos, también una seguridad perimetral mayor, un técnico dedicado a los servidores, backups y la seguridad de la plataforma, etc), y esa seguridad es una inversión demasiado cara, por lo menos para un comercio electrónico medio, ya que hoy día no genera tanto margen de beneficio como para costear ese incremento en la seguridad. Un cliente no va dejar de comprar en un comercio electrónico simplemente porque tenga que meter su tarjeta cada vez, sobretodo si se le escribe una nota aclarando que es una medida de seguridad pasiva muy efectiva “¿Por qué no guardamos tu tarjeta bancaria? Porque en caso de hackeo, tus datos bancarios no se verán comprometidos”. Al contrario, si se le explica, el comprador se sentirá más seguro en un comercio electrónico que no guarda la tarjeta frente al que sí lo guarda.

Moodle y la adecuación a la nueva RGPD

Published: 13 abril 2018
Categorías: Moodle, negocios, Seguridad, Servicios

El Reglamento General de Protección de Datos de la Unión Europea que es de obligado cumplimiento el próximo mes de mayo (el día 26) nos trae a todos de cabeza.
Nuevos procesos, consentimientos explícitos o calificación de datos son algunas de las novedades a incorporar.
Moodle como entorno virtual de aprendizaje con usuarios registrados, también debe adaptarse para que cumpla con los requisitos del Reglamento.
Para ello, tras un minucioso trabajo de la comunidad Moodle (ver Plan Adaptación),  se han desarrollado una serie de actualizaciones e implantación de ciertos plugins que permiten el cumplimiento de la normativa en las siguientes áreas:

  • incorporación de usuarios nuevos
  • declaración de privacidad
  • seguimiento del consentimiento de datos
  • gestión de las solicitudes de acceso a los mismos.

Estas funcionalidades se cubren actualmente a través de estos plugins, de la siguiente manera:

1. Incorporación de nuevos usuarios:

  • Mostrar todas las declaraciones de privacidad necesarias
  • Listar y pedir consentimiento para todas las terceras partes que puedan recibir datos de los usuarios
  • Establecer un proceso para los menores de edad que otorguen su consentimiento
  • Registrar y anotar todos los consentimientos específicos que dé un usuario

2. Procesos para cumplir con las solicitudes de acceso de los usuarios, incluyendo:

  • Solicitudes para acceder a la totalidad de los datos de un usuario en Moodle
  • Solicitudes para eliminar la totalidad de datos personales de un usuario en Moodle
  • Solicitudes de modificación de datos de un usuario

Desde Esencial Sistemas podemos ofrecerte este servicio se actualización. Por favor, indícanos si estás interesado a través del formulario de CONTACTO

URL segura con elementos no seguros

Published: 31 mayo 2013
Categorías: Maquetación, Programación, Seguridad, Web

Seguro que más de una vez habeis tenido una web con su certificado SSL, y os ha dado el error de que hay elementos no seguros en ella.

Este error es muy sencillo de corregir y se da cuando en una página que va sobre HTTPS, tiene referencias a elementos HTTP.

Para no tener que revisar cada una de las líneas de nuestro código buscando las referencias erróneas, podemos ir a la web http://www.whynopadlock.com y darle la URL de la página que nos devuelve ese error de elementos no seguros, y nos dará un informe de cada elemento no seguro, incluidas imágenes de la hoja de estilo, enlaces no seguros, etc.