viernes, 11 de abril de 2014

Vulnerabilidad heartbleed

Todo lo que quieres saber de la debilidad heartbleed en mi artículo de Techtarget.


Es importante agregar que heartbleed NO es un virus. Es una vulnerabilidad de una librería llamada OpenSSL. Y al momento (11-abr-2014) no hay un virus que aproveche esta debilidad.

Son cosas muy diferentes hablar de vulnerabilidad y virus. 

Una vulnerabilidad es un error de quien haya desarrollado un software. Un virus es un software intencionalmente programado para hacer alguna acción maliciosa en una computadora. 

A veces los virus se aprovechan de una vulnerabilidad de software para hacer daño; otras veces (la mayoría) no aprovecha ninguna debilidad y simplemente hacen daño al ejecutarse.

Algunos medios confunden a heartbleed con un virus. Es totalmente incorrecto. Dicen que se está esparciendo rápidamente por todo Internet; también incorrecto porque es una vulnerabilidad ya presente en OpenSSL y como tal no se "esparce".

Dicen que hay que cambiar contraseñas de los sitios con una versión OpenSSL vulnerable. Sí, es una buena medida de precaución, pero no hay evidencia al día de hoy (11-abr-2014) de que haya habido extracción masiva de passwords de un sitio en particular.

Dicen que es la peor grieta de seguridad de todos los tiempos de Internet. Calma, no hay que ser alarmistas. Internet sigue ahí operando. Que sepamos, no hay hackers metiéndose  a las cuentas de usuarios de N sitios en Internet. Si bien no sabemos si esto sucedió o está sucediendo, los medios asumen que sí pasó. Y a una escala masiva.

Por último, si bien no sabemos si alguien aprovechó esta debilidad heartbleed desde que existe hace un par de años, hoy lo correcto a hacer para los administradores de sitios web es migrar a una versión segura de OpenSSL. Porque ahora sí ya sabemos que hay un problema y sería negligente no hacer nada al respecto.

jueves, 3 de abril de 2014

Cómo vender seguridad informática a tu organización

La revista .Seguridad (UNAM) me hizo el favor de publicr mi artículo de cómo hacerle para vender seguridad en una organziación.

Espero te guste.

jueves, 20 de marzo de 2014

Yo esperaba un buen reporte de pentest

Les comparto el artículo que TechTarget me hizo el favor de publicar, espero les agrade

http://searchdatacenter.techtarget.com/es/opinion/Yo-esperaba-un-buen-reporte-de-pentest

jueves, 13 de febrero de 2014

Microsoft deja de soportar XP en abril 2014

ComputerWorld México me hizo el favor de publicar mi artículo con el tema de la finalización del soporte (parches de seguridad) de Windows XP por parte de Microsoft.

http://www.computerworldmexico.mx/Articulos/31669.htm

sábado, 14 de diciembre de 2013

Siete medidas gratuitas de seguridad para la pequeña empresa

TechTarget me hizo el favor de publicar mi artículo que trata el tema de cómo tener seguridad gratuita (o a muy bajo costo) en una PyME.

http://searchdatacenter.techtarget.com/es/opinion/Siete-medidas-gratuitas-de-seguridad-para-la-pequena-empresa

lunes, 2 de diciembre de 2013

martes, 12 de noviembre de 2013

El eslabón más débil rompe la cadena de seguridad

Te comparto mi artículo que publicó ComputerWorld México. Trata sobre los eslabones más débiles en la seguridad. 

Muchos dicen que no puede haber eslabones débiles porque colapsan toda la cadena. 

Yo digo que siempre habrá eslabones débiles y que hay que estar preparados para vivir con ellos.

http://www.computerworldmexico.mx/Articulos/30775.htm