navegación segura por internet

Pautas de navegación segura por internet

[et_pb_section bb_built=»1″ admin_label=»section» transparent_background=»off» allow_player_pause=»off» inner_shadow=»off» parallax=»off» parallax_method=»on» padding_mobile=»off» make_fullwidth=»off» use_custom_width=»off» width_unit=»off» custom_width_px=»1080px» custom_width_percent=»80%» make_equal=»off» use_custom_gutter=»off» fullwidth=»off» specialty=»off» disabled=»off»][et_pb_row admin_label=»row» make_fullwidth=»off» use_custom_width=»off» width_unit=»off» custom_width_px=»1080px» custom_width_percent=»80%» use_custom_gutter=»off» gutter_width=»3″ padding_mobile=»off» allow_player_pause=»off» parallax=»off» parallax_method=»on» make_equal=»off» column_padding_mobile=»on» parallax_1=»off» parallax_method_1=»on» parallax_2=»off» parallax_method_2=»on» parallax_3=»off» parallax_method_3=»on» parallax_4=»off» parallax_method_4=»on» disabled=»off»][et_pb_column type=»4_4″][et_pb_text admin_label=»Texto» background_layout=»light» text_orientation=»left» use_border_color=»off» border_style=»solid» disabled=»off» border_color=»#ffffff»]

El complejo mundo de la seguridad en Internet

No es raro leer o escuchar recomendaciones sobre una navegación segura por internet. Mundo complejo y fascinante, y también lleno de peligros para quien no toma al menos un mínimo de precauciones. Sobre una de esas precauciones básicas vamos a hablar hoy.

En concreto, me refiero a la seguridad cuando introducimos datos. La mayoría tenemos claro que no hemos de poner datos bancarios o de tarjetas en páginas no seguras (sin https). Pero no nos resulta tan obvio cuando lo hacemos extensivo a cualquier dato de índole personal. Hablamos de datos de contacto, nombre, apellido, email, teléfono, etc. Muchas veces nos registramos para recibir un boletín, una información, un servicio, un obsequio… poniendo nuestros datos de contacto. O simplemente rellenamos un formulario de contacto para contactar con los de la web en la que estamos, o para preguntarles o pedirles algo. En estos casos no es tan habitual que miremos si dicha página es segura o no. ¡Pero deberíamos igualmente hacerlo!

El peligro: los datos viajan «en abierto» si el sitio no es https

Ocurre que, en caso de no ser una web segura, nuestros datos van a viajar «en abierto», siendo muy facilmente interceptables «por el camino». ¿Quién lo hace? gente que busca información de terceras personas para comerciar con ella, enviar spam, generar listas ilegales que luego venden, etc. Por ello deberíamos tener especial cuidado de comprobar la seguridad de las webs en las que vamos a introducir cualquier dato nuestro.

Cuando hablamos ser segura, en este caso nos referimos a que al menos ha de ser https en lugar de sólo http. Esto no garantiza tampoco una seguridad al 100%; pero al menos sabemos que los datos van a viajar cifrados y protegidos desde nuestro ordenador al servidor de destino. En el caso de páginas sólo http, esos datos viajan, como hemos dicho anteriormente, totalmente «en abierto». Es como en el ejemplo de los coches. Por supuesto que hay ladrones que saben abrir coches cerrados; pero no por eso dejamos de cerrar con llave. En nuestro caso, «cerrar con llave» sería el equivalente a que la web sea https.

¡Pero si hay muchísimos sitios sin https!

En este momento nos llevamos las manos a la cabeza. Pensamos, no sólo en las veces que hemos podido introducir datos en sitios sólo http, sino en la gran cantidad de formularios que se nos ofrecen sin ser https. Todavía muchos propietarios de sitios web no están mentalizados sobre la necesidad, hoy día, de ofrecer sitios https.

Siendo así las cosas, puede afectar igual a sitios grandes o pequeños. ¡Aunque sean sencillos blogs! Y no sólo los propietarios no están mentalizados. Tampoco muchos desarrolladores web prestan mayor atención a este tema, y no avisan a sus clientes sobre esta circunstancia.

Incluso algunos servicios que tienen cierta fama y prestigio, todavía no se ofrecen como https. Recientemente hemos encontrado uno de ellos: Mailrelay. Esta plataforma de e-mailing no implementa todavía de forma adecuada esta capa básica de seguridad. Por esta razón, actualmente no la recomendamos a nuestros clientes, en espera de que solucionen esta deficiencia (el servicio en sí es excelente).

Resumiendo, para una navegación segura por internet tendremos que (entre otras cosas):

  • Si somos usuarios de internet, habremos de evitar introducir datos personales o sensibles en cualquier sitio web que no figure como https. Eso lo podemos ver facilmente en la cabecera del navegador, donde vemos el enlace de la página que estamos visitando.
  • Si somos propietarios de una web que incluye algún tipo de formulario de contacto o de suscripción, además de las declaraciones legales sobre protección de datos que incluyamos, esa página habrá de estar publicada como https.
  • Si somos desarrolladores web, tenemos la responsabilidad de plantear este requerimiento a nuestros clientes, y sólo publicar sitios https.

¿Difícil? ¿Caro? Hace no tanto tiempo, tener un certificado digital que haga https nuestro portal era muy caro, desde unos 70-80 € al año. Hoy día ya no, desde que existe el certificador gratuito LetsEncrypt, del que hemos hablado en esta otra entrada anterior del blog. Surgió precisamente para atender a esta necesidad que también los sitios pequeños tienen en este sentido. Por supuesto, para quienes puedan permitírselo, siguen estando los certificadores clásicos de pago. ¡Soluciones diversas para todos los bolsillos y todas las necesidades! Ya no hay excusa para tener un sitio web sin https, y así lo hemos de demandar todos los usuarios de internet.

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

https gratis gracias a Letsencrypt

Como ya hemos comentado en otro artículo anterior, UrBerri ha realizado una migración de la web. También hay otro cambio importante, que es del que quiero hablar hoy: el sitio ya es https, y además de forma gratuita. ¿Es esto posible, con garantías? ¿De verdad podemos tener https gratis? Hay que recordar que habitualmente los precios por contratar un certificado https son importantes, y no parecen estar al alcance de todos. Pues hoy día sí se puede, gracias a Letsencrypt.

¿Quién son estos de Letsencrypt, y cómo es que ofrecen https gratis?

Letsencrypt es una nueva autoridad de certificación conectada con los valores del software libre, fundada en 2014; y ha sido durante el presente mes de abril cuando el proyecto ha dejado de ser considerada oficialmente como beta, para convertirse en una opción real y consolidada. Según manifiestan en su web, su objetivo es conseguir que todo dueño de un dominio de internet pueda tener acceso a un certificado oficialmente reconocido, de forma gratuita, libre, transparente, y empleando estándares abiertos; consiguiendo que el beneficio revierta en la comunidad. ¿Suena demasiado bonito? Tal vez. Lo cierto es que, cuando hay suficiente voluntad para conseguir algo así, suele hacerse posible. Entre los patrocinadores de Letsencrypt podemos ver (en la página principal del proyecto) a entidades tan habituales dentro del mundo del Software Libre como pueden ser la Linux Foundation o la Fundación Mozilla; pero también otros gigantes de peso como Hewlett Packard Enterprise, Facebook o Google Chrome.

¿Por qué podría querer una web de ámbito pequeño una conexión https?

Habitualmente asociamos una conexión https con portales oficiales o de grandes compañías; pero las ventajas para cualquiera que lo posea son evidentes:

  1. Queda garantizado para el usuario que se conecta que ese sitio al que se ha conectado es el que dice ser, y no otro que lo suplanta.
  2. La comunicación que se establece entre el servidor de la web y el ordenador del usuario se convierte en un tráfico de datos encriptados; de modo que no es fácilmente interceptable por aquellos que tratan de robar información que viaja por la red. De hecho, es también el protocolo habitual de comunicación a nivel profesional para los usuario de aplicaciones de gestión que funcionan desde una web.

Utilizar lo que se recomienda

UrBerri ha querido probar en primera persona el proceso de convertirse en una web https a través de Letsencrypt, y puedo decir que los resultados han sido muy satisfactorios. De hecho, lo consideramos ya una parte más del servicio a ofrecer a los clientes que nos confíen el alojamiento de su web. Sin trampa ni cartón. De momento, el procedimiento es sencillo si se dispone de acceso a la gestión del servidor, y éste emplea Ubuntu o Debian como Sistema Operativo (tanto con Apache como con Nginx).
Toda la información sobre Letsencrypt está disponible (de momento, sólo en Inglés), incluidos los procedimientos para la instalación, en su portal oficial: https://letsencrypt.org

Migración de una web desde un servidor a otro

En este artículo os voy a contar la experiencia particular de realizar una migración de una web desde un servidor a otro; por si a alguien le interesa o puede tomar nota de ello. Desde luego que podrá hacerse de otras formas, incluso más óptimas. Esta es la que hemos hecho y la que nos ha funcionado en nuestro caso.
Como algunos ya sabréis, UrBerri se ha visto en la necesidad de migrar de proveedor la máquina en la que se aloja esta página web. Ha sido un proceso complicado por lo inesperado del mismo. Ante los reiterados problemas con el servicio prestado por el proveedor de servicios de infraestructura, no ha habido otra opción. Muchos dirán aquello de que ya nos lo podíamos imaginar. Lo cierto es que era lo único que gestionábamos con dicho proveedor. Desde luego, punto final. En cualquier caso, afortunadamente el proceso de migración ha sido satisfactorio; y vamos a aprovecharlo para describir los pasos dados, para el caso de que otros tengan que hacer lo mismo. Por supuesto, este procedimiento está pensado con nuestras circunstancias: Registrador de dominios Godaddy, y nuevo proveedor de infraestructura, OVH. En otros casos, pueden cambiar detalles; pero la idea fundamental se mantendrá, seguramente.

Rescatamos la información que tengamos

Página web

Tanto si trabajamos con WordPress, como con otro CMS, hay una “solución universal”: guardar las carpetas de nuestro CMS, y también la base de datos que empleemos. Todo con sus mismos nombres.

Correo electrónico

Hay que recordar que perderemos el correo electrónico antiguo, porque lo va a gestionar otro proveedor. Siempre está bien comprobar si nos compensa que el registrador nos gestione también el correo electrónico. En este caso, no habría ningún problema ni desaparecería nada.
Si vemos que no nos interesa, y que lo vamos a perder, siempre guardar el correo antiguo. Tenemos dos posibilidades. Estoy hablando de las soluciones para Thunderbird, que es mi caso:

      1. Copiar los e-mails que nos interesen en las carpetas locales. Después, cuando se pierda todo lo de nuestro servidor imap, lo tendremos en dichas carpetas, donde siempre lo podemos consultar.
      2. Convertirlo en pop3, de forma que se descargue todo en local, en nuestro equipo. De todas formas, esto va a dejarlo en nuestra actual cuenta. La experiencia nos dice que Thunderbird nos puede dar quebraderos de cabeza si modificamos los datos de la cuenta para que apunte al nuevo servidor, más que si simplemente borramos dichas cuentas y las activamos de nuevo.

Gestiones desde nuestro panel de Godaddy

Desde nuestro panel de Godaddy tendremos que eliminar toda configuración de otros proveedores anteriores en relación a dns, Ips, MX, etc., y dejarlo con la configuración original. También podemos indicar la nueva ip que vamos a emplear, en el campo en el que figuraba la anterior. Respecto a los nombres dns, podemos emplear los nuevos de OVH o seguir con los de Godaddy. Para el correo electrónico sí necesitaremos otra gestión una vez que activemos lo que vamos a hablar en el siguiente punto.

Las zonas dns

Al menos con ovh, si queremos comenzar a trabajar con un dominio registrado externamente, me dicen los técnicos que es mejor que, desde la página del registrador, restaure los dns originales de Godaddy para que no dé problemas. Y cuando nos pide el nombre de dominio para el que vamos a generar una zona dns, ¡importante! Recordar ponerlo sin las www; en caso contrario, activaríamos unas direcciones de e-mail del tipo contacto@www.nuestrodominio.com.
Al registrarlo nos pide si queremos con los registros básicos. Le decimos que sí. Esto es importante a la hora de poder activar luego un plan de correo electrónico. No haría falta si no quisiéramos la prestación de este servicio.
Una vez que nos confirman que ya está todo activado, y podemos ver que nos aparece el dominio en nuestro panel de gestión, ya podemos migrar la web.

Migrando la web

Si la web está hecha con WordPress, dado que el nombre de dominio se mantiene, el procedimiento es sencillo pero tal vez no tan evidente. Y no necesitamos emplear ningún plugin. Hay que tener en cuenta algo: tenemos que crear una base de datos con el mismo nombre que teníamos, y el usuario y sus permisos también tienen que ser idénticos. De esta forma, no tendremos problemas.

    1. Copiamos los archivos y carpetas que tenemos guardados, a la ubicación correspondiente.
    2. Creamos la base de datos y su usuario, recordando lo que hemos dicho de hacerlo con los mismos nombres y permisos que ya tenían. Nos aseguramos de que el archivo de configuración de wordpress mantiene esos datos.
    3. Volcamos con una instrucción mysql el contenido de la base de datos antigua en la base nueva que acabamos de crear.

Y en principio, ya está. Podemos ya acceder a la página web tal cual. Si viésemos que algún plugin nos dificulta el acceso, podemos ir, a través del servidor, a la carpeta de los plugins, renombrar dicho plugin añadiéndole una extensión .old (por ejemplo), de tal forma que ya no esté activado al arrancar. Una vez dentro del wordpress, ya veremos qué hacemos con él.

El procedimiento no es complicado; pero puede resultar todo un contratiempo si nos vemos obligados a realizarlo cuando teníamos otros planes de acción. Moraleja: como ya dijo alguien, en esto de los servicios de infraestructura web, como en tantos otros servicios y productos, hemos de recordar la máxima de: «Tenemos tres baremos: bueno, bonito, barato. Elige dos». A buen entendedor… ¡Hasta el próximo post!

fin de vida navegadores web internet explorer 8-9-10

Información de seguridad: fin de vida de los navegadores web Internet Explorer 8, 9, y 10

Importante información de seguridad

UrBerri se considera en compromiso con la seguridad informática como uno de los pilares básicos de un buen servicio. Por consiguiente, y a pesar de poder resultar redundante, y de que tal vez los usuarios ya conozcan la noticia, puede ser conveniente recordar lo siguiente: Tal y como se ha comunicado oficialmente desde Microsoft, las versiones del navegador web Internet Explorer anteriores a la 11 han dejado ya de tener soporte de mantenimiento y seguridad. En otras palabras, son herramientas que, además de quedar rápidamente obsoletas, son un peligro para la seguridad en nuestros equipos. En resumen: fin de vida navegadores web Internet Explorer 8-9-10.

UrBerri siempre recomienda a sus clientes el uso de navegadores web modernos y que cumplen los estándares de navegación y de seguridad, como Firefox o Google Chrome; y recuerda que el uso de navegadores obsoletos no es sólo una cuestión de «desfase en prestaciones», sino que puede acarrearnos problemas serios: virus, troyanos, accesos no deseados a nuestros sistemas y a nuestros datos, etc.

Nube y privacidad de datos: Adios al protocolo Puerto Seguro

Hace mucho tiempo ya que desde los sectores sociales e institucionales preocupados por el binomio Nube y privacidad de datos.  La seguridad y privacidad de los datos de los ciudadanos se cuestionaba la seguridad y conveniencia del uso de la nube como almacén de datos. UrBerri apuesta firmemente por la nube; pero teniendo claro que tiene que hay que emplear la nube desde la seguridad y transparencia. Parece obvio que, desde ese punto de vista, nubes como las de las grandes corporaciones internacionales, o simplemente ubicadas en lugares fuera de la Unión Europea, son muy cuestionables.

Recientemente, desde el Tribunal Europeo de Justicia se ha dado una nueva vuelta de tuerca a este tema: ha dejado sin efecto los acuerdos de Puerto Seguro. Podemos decir, por simplificar para que se entienda, y sin entrar en excesivos detalles, que era un acuerdo al que se adherían empresas norteamericanas, por el que manifestaban respetar la legislación europea sobre protección de datos. El tribunal europeo ha entendido que dichas empresas pueden manifestar tal intención; pero en la práctica es irrealizable, por la situación en que se encuentra la actual legislación norteamericana, que es ante la que deben responder.

Podemos ver este enlace del portal de la Agencia Española de Protección de Datos, donde se explica más a fondo esta sentencia.

Tras lo enunciado, UrBerri se reafirma en lo importante que es un uso responsable de la nube. UrBerri no expone la seguridad de los datos, porque siempre busca un hospedaje de datos dentro del espacio europeo, donde todas las empresas de hosting y los centros de datos han de responder escrupulosamente a la legalidad europea sobre la materia. Además, animamos expresamente a nuestros clientes y seguidores a ser exquisitamente rigurosos con este tema tan serio, sobre el que se cimentan gran parte de las libertades individuales.