Aplicaciones más seguras introduciendo el DNIe

Durante los próximos meses Red.es y INTECO están organizando unos talleres técnicos formativos sobre el DNIe, dichos talleres son gratuitos y están orientados para desarrolladores y empresas del sector de las TIC, el objetivo es introducir la tecnología del DNIe para desarrollar las aplicaciones más seguras y certificables.

Los talleres se celebraran por varias comunidades, Barcelona, Madrid…Sevilla… los cursos duran a hasta el 16 de Junio.

Se combinarán teoría y práctica que incluirá una introducción a los distintos entornos de programación, características PKCS#11 CSP y novedades de arquitectura: CardModule Windows Vista/Windows 7.

También habrá espacio para explicar el marco regulatorio para entender las normas legales, y también las normativas técnicas o estándares aplicables al DNIe como son los Estándares PKCS, la firma electrónica avanzada y sus estándares (XAdES, CAdES, PAdES) o los servicios de certificación (gestión del ciclo de vida de certificados, sellado de tiempo, estado de revocación de los certificados).

Esta iniciativa esta muy bien, porque después de mucho tiempo, es probable que le preguntes a una persona que tiene el DNIe ¿y para que vale? Y seguro que te dirá que no lo sabe, esto puede llegar a comprenderse, pero entrando en el juego de las preguntas, es muy probable que vayamos a un informático, tecnólogo… y le realicemos la misma pregunta y puede ser que también nos conteste con ¿?

Hay que tener presente que realizar un cambio en la sociedad de pensamiento y uso del DNIe será lento, a la par que complicado, pero desde la parte tecnológica, se deben conocer todas las posibilidades que nos puede ofrecer las nuevas tecnologías.

Hace un tiempo redacte varios post sobre el DNIe, en uno de ellos hablaba de cómo se puede integrar el DNIe dentro de una aplicación de gestión para compañías, aquí os dejo los links:

http://segurosytecnologia.com/dni-e-como-utilizarlo-en-una-compania-de-seguros.html

http://segurosytecnologia.com/115-millones-de-dni-electronicos-pero-%c2%bfpara-que-sirve.html

Esta claro (o yo pienso) que en un futuro debe ser nuestra llave de acceso a las  aplicaciones, será la forma mas seguro para entrar en nuestro ordenador, pero igualmente, la seguridad que nos puede ofrecer el DNIe se puede llevar a la gestión interna del día a día en nuestra compañía.

Por ejemplo: todo el movimiento interno de documentación a nivel físico (valijas) se podría suprimir y realizar los envíos de documentación vía mail utilizando la firma electrónica, con este firmado lo que estamos haciendo es introducir un sello de seguridad que nos verifica que el documento que estamos enviado ha sido firmado por nosotros y que cualquier movimiento que se realice en el documento se marcara e indicara su modificación.

En conclusión, es una buena oportunidad para auditar y valorar nuestras aplicaciones y poder introducir un valor añadido a nivel de seguridad como la firma electrónica y así paralelamente poder llegar a reducir costes de administración.

Definición de un Esquema Nacional de Seguridad

La semana pasada se presentaba el Esquema nacional de seguridad, os preguntareis y para que vale esto , ¿no?

Se ha pensado para fijar un marco común para administraciones, empresas y ciudadanos en su relación digital.

En este sentido, nace con la siguiente finalidad:

La creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Una vez tiene se ha definido un esquema general, se trata de sentar las bases para que cada sistema tenga clara sus responsabilidades de seguridad, en un mundo donde cada vez están más interrelacionados con distintas administraciones.

Para ello es necesaria una coordinación efectiva entre los distintos responsables de seguridad.

No sólo se trata de seguridad de redes, sino de asegurar datos almacenados y su confidencialidad, la autenticidad y disponibilidad de los mismos.

Se ha realizado atendiendo a la normativa nacional sobre Administración electrónica, protección de datos de carácter personal, firma electrónica y documento nacional de identidad electrónico, Centro Criptológico Nacional, sociedad de la información, reutilización de la información en el sector público y órganos colegiados responsables de la Administración Electrónica.

En conclusión, para las personas que tenemos fe en que al final toda la administración electrónica se vea como uso típico, esperemos que esta noticia y la definición de un esquema de seguridad genérico fomente el acceso seguro a la administración electrónica y haga que muchos pierdan el miedo a lo digital, tanto para la tramitación y gestión con la administración como a la hora de aumentar las cifras del comercio electrónico.

CIBERDELINCUENCIA, ¿estamos preparados?

Con relación al articulo “CIBERDELINCUENCIA. Las 12 Estafas OnLine de la Navidad y el Timo de la Estampita” que se ha publicado en SegurosParaEmpresas.com puedo decir que en periodo de alto consumo como Navidades, se multiplica de una manera exagerada los ataques de los delincuentes, aunque no hay que olvidar que este tipo de delito es un proceso continuo y diario, y siempre debemos estar atentos a los mails que recibimos y que acciones realizamos con ellos. A nivel de persona física, hace unas semanas publique un artículo sobre “ciber fraude al consumidor” que os invito a que lo leáis, para hacer una idea de cómo esta la situación.

A nivel de empresa, hay que decir que por suerte y gracias a los departamentos de sistemas, con sus sistemas de seguridad, deja muy poco acceso a los ataques ajenos, pero siempre hay una puerta por donde entrar.

Al no ser una persona que me dedique a la seguridad ni a sistemas no puedo entrar en gran detalle, pero de mi experiencia y trabajo con dicho departamento, me gustaría comentaros la herramientas y técnicas de seguridad que se utilizan para que os quedéis “tranquilos” que vuestra información esta protegida y seguro.

Herramientas de seguridad:

Firewalls
Un firewall es un sistema o grupo de sistemas que establece una política de control de acceso entre dos redes.
Tienen las siguientes propiedades:

• Todo el tráfico de adentro hacia afuera, y viceversa debe pasar a través de él.
• Sólo el tráfico autorizado, definido por la política de seguridad es autorizado para pasar por él.
• El sistema es realmente resistente a la penetración.

Un Protocolo es una descripción formal de cómo serán intercambiados los mensajes y las reglas que deben seguir dos o más sistemas para transferirlos de tal forma que ambos puedan entenderse.

TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados paquetes, y le da a cada uno un número. Estos paquetes pueden representar texto, gráficas, sonido o vídeo; o cualquier elemento que la red pueda transmitir. La secuencia de números ayuda a asegurar que los paquetes puedan ser re ensamblados una vez recibidos. Entonces cada paquete consiste en contenido, o datos, y la información que el protocolo necesita para hacerlo funcionar, llamado protocolo encabezado.

Software
SPX
Usa claves asimétricas RSA certificadas según la norma X.509 combinadas con el uso de DES como algoritmo de cifrado con claves de sesión. El proceso de autenticación se basa en el uso inicial de una clave privada RSA por parte del usuario que se autentica, esta clave se sustituye por una clave temporal llamada clave de delegación disminuyendo la exposición de la clave privada del usuario.

IPSec
Es una extensión del protocolo IP. Proporciona servicios criptográficos de seguridad basados en estándares definidos por el IETF como control de acceso, integridad, autenticación del origen de los datos, confidencialidad

Firewalls internos
Alguien fuera de la empresa podría solicitar cierta información, pero no necesariamente necesita accesar a toda la información interna. En estas circunstancias, los firewalls juegan un papel importante forzando políticas de control de acceso entre redes confiables protegidas y redes que no son confiables.

Servidores proxy
Un servidor proxy (algunas veces se hace referencia a él con el nombre de “gateway” – puerta de comunicación – o “forwarder” – agente de transporte -), es una aplicación que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutos de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes.

Hardware
Routers de Selección
Estos pueden proporcionar un mecanismo poderoso para controlar el tipo de tráfico de red que puede existir en cualquier segmento de una red

Routers como Firewalls
El Router es un tipo especial de switch el cual realiza el trabajo de hacer las conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN. Los paquetes de datos transmitidos hacia internet, desde un visualizador de una PC, pasarán a través de numerosos ruteadores a lo largo del camino, cada uno de los cuales toman la decisión de hacia donde dirigir el trabajo.

Firewalls con Encriptación
Algunos firewalls proveen servicios de seguridad adicionales. Como encriptación y desencriptación.

Técnicas de protección

Aplicación Gateway

Para contar algunas de las debilidades asociadas con el ruteador de filtrado de paquetes, los desarrolladores han creado aplicaciones de software que adelantan y filtran conexiones para servicios tal como telnet y ftp. Las aplicaciones referidas son servidores proxy, también conocido como aplicación gateway.

El Monitoreo De Paquetes
Otro punto de vista que gana aceptación es la inspección de paquetes que no sólo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los firewalls de este tipo emplean una inspección de módulos, aplicable a todos los protocolos que comprenden los datos de los paquetes destinados desde el nivel network (IP) hasta el nivel de aplicación.

Firewalls Híbridos
En la práctica, muchos de los firewalls comerciales de hoy usan una combinación de estas técnicas. Por ejemplo, un producto que se originó como un firewall filtrador de paquetes puede haber sido mejorado con filtrado inteligente a nivel de aplicación

En conclusión, a nivel de persona física, a parte de tener en nuestros PC’s un buen antivirus y/o firewall, el 90% es a nivel de persona y sentido común, como dice mi abuela “no te dan 6 pesetas por 1 duro” hay que estar siempre atento.

A nivel de empresa, podéis observar que están bien preparadas y tiene un buen abanico de soluciones para proteger nuestros datos.

¿Cuál es la contraseña más robusta? Google tiene la respuesta

La noticia sobre el robo de claves que afectó a unos 10.000 usuarios de Hotmail y que también ha salpicado a los usuarios de Gmail y Yahoo Mail, ha animado a Google a explicar las pautas básicas que debe tener el usuario cuando escoge una contraseña para sus cuentas de Internet.

Michael Santerre, responsable de las operaciones de consumo de Google, recomienda que se use una clave única para cada sitio web, evitando las contraseñas clásicas de series como abcd1234 o palabras como password. El directivo ha explicado que lo mejor es seleccionar una frase y utilizar la primera letra de cada palabra o alguna variación de ella como contraseña.

Santerre indica que las claves deberían ser una mezcla de caracteres de números, símbolos y letras combinadas en mayúsculas y minúsculas para minimizar el riesgo. Hay que tener en cuenta que los cibercriminales en su filtrado para averiguar las contraseñas suelen utilizar todas las palabras recogidas en los diccionarios como bases de datos potenciales para claves.

Google cree que utilizar información personal para las claves es una práctica inadecuada pues estos datos podrían recogerse de la información que escribimos en las redes sociales. Finalmente, hay que tener en cuenta el mismo consejo cuando escojamos la pregunta de seguridad para recuperar nuestra password. En ese caso hay que elegir una pregunta de seguridad de la que tengamos certeza que sólo nosotros sabremos la respuesta o hacer modificaciones en la misma siguiendo las recomendaciones expuestas para las claves (combinando números y letras en mayúsculas y minúsculas).
(*) http://www.itespresso.es/es/news/2009/10/08/contrasena-mas-robusta-google