Etiqueta | "certificado"

Concurso ‘exprés’ de Correos para comprar 1.000 portátiles por 1,4 millones

Correos ha convocado un concurso exprés para comprar un lote de 1.000 portátiles con un presupuesto máximo de 1,38 millones, a razón de 950 euros (IVA excluido) por equipo. Las empresas interesadas apenas tendrán siete días hábiles para presentar las ofertas.

El Boletín Oficial del Estado (BOE) publica este jueves el anuncio de la Subdirección de Compras de la sociedad estatal por el que abre plazo para recibir propuestas para el suministro de nuevos ordenadores y el mantenimiento de equipos y accesorios. Las compañías que quieran pujar por este encargo -tramitado como procedimiento negociado con publicidad- disponen hasta las 18 horas del 11 de octubre para formalizar sus ofertas.

Por las características descritas en el pliego de condiciones técnicas y particulares que regulará el concurso, consultado por este diario, los nuevos equipos informáticos son de gama media: procesador de cuatro núcleos, 8 gigabytes de memoria RAM, disco duro de 256 gigabytes, pantalla de 14 pulgadas antirreflejo con retroiluminación, batería con autonomía de 12 horas y un peso máximo de 1,6 kilogramos.

Se trata de un lote de equipos informáticos de gama media, con un precio unitario de 950 €.

El proveedor tendrá que comprometerse a suministrar la mitad de los portátiles -con el software preinstalado y la configuración que Correos establezca- en un plazo máximo de dos meses desde la firma del contrato, teniendo que entregar el resto de las unidades dentro de los primeros seis meses. El 60 % de los ordenadores se entregarán en Madrid, desde donde se irán distribuyendo al resto de provincia en función de las necesidades del servicio.

Igualmente, el adjudicatario se encargará de las retirada de los equipos obsoletos o averiados, procediendo a su reciclaje o destrucción y a emitir un certificado del borrado de datos del disco donde se detalle el destino o uso que le ha dado a los ordenadores retirados. Será, además, el responsable del mantenimiento durante cinco años.

Oferta más barata

El pliego determina también que los portátiles deberán exhibir una etiqueta adhesiva de plástico con el identificador corporativo de Correos, es decir, el anagrama y el logotipo en color azul sobre fondo amarillo.

El único criterio que la empresa estatal tendrá en cuenta a la hora de seleccionar al contratista es el importe económico, de modo que adjudicará el encargo a la oferta más baja que cumpla los requerimientos técnicos.

Fuente: elindependiente.com

Publicat a General, Gestión Documental

El Hisense D6 es un rugerizado smartphone recién certificado con 5400 mAh

Hisense, junto con Vivo, es un fabricante chino que suele introducir teléfonos inteligentes en la plataforma de TENAA con frecuencia. Este se mantiene activo en el mercado de smartphones de manera ocasional y su última novedad fue el F30S, un terminal que lanzará dentro de poco tiempo con la plataforma móvil Tiger T310.

Pero ahora hacemos énfasis en un nuevo dispositivo, uno que es rugerizado y ha sido listado en la plataforma de TENAA, el ente certificador y regulador chino. Este ha aparecido en la base de datos como Hisense D6, y lo que más sorprende es la enorme batería que equipa.

El Hisense D6 es un teléfono portador de un diseño y resistencia robusta. Por lo tanto, se espera que llegue a las manos del consumidor para soportar todo tipo de pruebas extremas, así como golpes, vibraciones y otros maltratos. Sin embargo, no deja a un lado la bonita estética, pues, tal y como se puede apreciar en sus imágenes, pese a que su apariencia no es la más estilizada y tiene un grosor y peso muy por encima de la media, se muestra como una opción llamativa.

De acuerdo a lo que TENAA ha desvelado sobre las especificaciones de este rugerizado móvil, tiene una pantalla de 5.99 pulgadas de diagonal con resolución FullHD+ de 2,160 x 1,080 píxeles, una cámara selfie de 16 MP, un sensor trasero de 12 MP y un escáner de huellas dactilares montado en su espalda, ubicado debajo del flash LED.

En sus entrañas se encuentra un SoC octa-core de 1.8 GHz y 3/4/6 GB de memoria RAM junto con 64/128/256 GB de memoria interna, respectivamente. A su vez, presume de una pila de 5,400 mAh de capacidad, la cual nos proporcionará hasta dos días de autonomía sin carga alguna, muy probablemente.

Por otro lado, pesa 235 gramos y mide 167.8 x 81.3 x 12.3 milímetros, además de estar solo en la opción de color negro. A su vez, como algo decepcionante, ejecuta Android 8.1 Oreo. También hay que mencionar que su fecha de lanzamiento y los detalles de disponibilidad y precio aún no se han revelado. Esperamos por estos datos y más información sobre el Hisense D6.

Fuente: androidsis.com

Publicat a General, Gestión Documental

Dar de baja un coche en la DGT: sigue estos sencillos pasos

Dar de baja un coche puede ser una tarea sencilla. Solo hay que conocer los pasos que hay que seguir. Ya sea porque quieres jubilar el coche, porque no quieres pagar una alta reparación o porque has sufrido un siniestro total, deberás tramitar la baja, ya que dejar un coche abandonado en la calle puede conllevar multas importantes.

LOS PASOS A SEGUIR PARA DAR DE BAJA UN COCHE SON

  • Lo primero que hay que hacer es cancelar cualquier limitación de disposición que estuviera inscrita en el Registro de Bienes Muebles, salvo consentimiento expreso de la financiera.
  • Realizar el trámite en un Centro Autorizado de Tratamiento de vehículos (CAT)
  • Entregar el vehículo junto con la documentación
  • Recibir el justificante de baja definitivo

¿CÓMO DAR DE BAJA UN COCHE DE FORMA DEFINITIVA?

Si quieres dar de baja un vehículo de menos de 3.500 kg de forma definitiva, estás obligado a hacerlo en un Centro Autorizado de Tratamiento de Vehículos (CAT), también conocidos como desguaces, que entregará al propietario dos documentos muy importantes: un Certificado de Destrucción y un informe de baja oficial emitido por la DGT.

¿QUÉ DOCUMENTACIÓN HAY QUE PRESENTAR PARA DAR DE BAJA UN COCHE DE FORMA DEFINITIVA?

Para dar de baja un coche deberás entregarlo físicamente a un CAT (ya sea por su propio pie o en grúa), presentar la ficha técnica, el permiso de circulación del vehículo y una fotocopia del DNI o del NIE del propietario. También será necesario rellenar la solicitud en impreso oficial que se facilita tanto en los CAT como en las Jefaturas de Tráfico.

La documentación necesaria para dar de baja un vehículo es:

  • Solicitud en impreso oficial, que se facilita tanto en los Centros Autorizados de Tratamiento de vehículos o desguaces (CAT) como también en las Jefaturas de Tráfico.
  • Identificación del interesado: Personas físicas: documento oficial que acredite tu identidad y domicilio (DNI, permiso de conducción español, tarjeta de residencia, pasaporte más NIE – Número de Identificación de Extranjeros). Personas jurídicas:Identificación fiscal  y  acreditación de la representación e identidad del que firme. Menores o incapacitados: datos y firma del padre, madre o tutor, su DNI y documento que acredite el concepto.
  • Permiso de circulación.
  • Tarjeta de ITV.

Si no es el propietario quien entrega el coche, la persona que lleve a término la gestión necesitará una autorización del titular del vehículo, el DNI del propietario y el suyo. Si se trata de un coche de empresa, será imprescindible presentar el CIF, el DNI del administrador y las escrituras o documento de representación de personas jurídicas.

La finalidad de llevar un vehículo a un CAT es la destrucción del mismo tras su descontaminación y tratamiento por parte del gestor de residuos autorizado, por lo tanto, se trata de una acción irrevocable.

¿CÓMO DAR DE BAJA UN COCHE DE FORMA TEMPORAL?

En ocasiones, no queremos dar de baja un vehículo para siempre, pero sí durante una temporada. Ya sea por haber entregado el vehículo a un compraventa, por robo del coche o por otros motivos personales, debemos realizar los pasos para tener los papeles en orden.

Para dar un coche de baja de forma temporal deberemos pedir cita previa en tráfico y presentar: el permiso de circulación del vehículo y la ficha técnica del mismo, así como DNI del titular.

Si tenemos el justificante de baja definitiva o temporal de un coche, evitaremos que el ayuntamiento nos reclame el pago del impuesto municipal o que el seguro nos cobre la siguiente póliza.

A pesar de que el Impuesto de Circulación (IVTM) se paga anualmente, el importe se calcula por trimestres y es posible recuperar la parte proporcional al periodo que el coche ya se ha dado de baja. Para ello, es importante presentar los justificantes de destrucción y baja de definitiva al Ayuntamiento.

Fuente: neomotor.com

Publicat a General, Gestión Documental

España alcanza los 100.000 m2 construidos bajo el estándar Passivhaus

La Plataforma de Edificación Passivhaus, asociación sin ánimo de lucro que engloba a profesionales, empresas y personas con inquietudes y conocimientos en el campo de la edificación energéticamente eficiente contabiliza más de 100.000m2 construidos certificados en España, entre los que se encuentran más de 350 viviendas. Una muestra más de la significativa importancia que está adquiriendo este tipo de construcción en nuestro país.

También destacan proyectos terciarios, que, aunque suponen un 23% de la superficie que contabiliza la Plataforma, aparte de crecer exponencialmente en los últimos tres años, son de gran importancia. Destacan: edificios de oficinas, hoteles (el recién certificado Arima en San Sebastián), una biblioteca, un palacio de congresos, un edificio para la administración, un centro dotacional, dos casas rurales y un edificio comercial.

La Plataforma de Edificación Passivhaus, en sus 10 años de vida, ha desarrollado una importante labor de divulgación y formación sobre los beneficios y las ventajas de la certificación bajo este estándar para la sociedad en general. Una de las ventajas más destacables respecto a un edificio convencional es el importante ahorro en el coste de mantenimiento y en el consumo energético a lo largo de toda su vida útil. De hecho, un edificio Passivhaus con una superficie de 100 m2 requiere un gasto económico de 10€ al mes para su climatización y es quizá por ello que el 70% de los 100.000 m2 certificados corresponden a viviendas plurifamiliares, es decir, 290 viviendas.

Por su parte, existen diferencias respecto al avance del estándar entre comunidades. Por ejemplo, según el balance que hace PEP, País Vasco, Navarra y Aragón están bastante más avanzadas y lideran su implantación tanto en edificación púbica como privada. En el caso de Andalucía, durante mucho tiempo ha sido una comunidad con bastantes reticencias, debido al falso mito de que el estándar era solo para climas fríos. No obstante, el ritmo de certificación ha incrementado considerablemente en los últimos tiempos en esta comunidad; no en vano, el primer edificio certificado en España fue en Escúzar (Granada). Por el contrario, Castilla La Mancha y Extremadura, son las zonas más rezagadas en la materia.

Según explica Bruno Cuevas, Presidente de PEP, “alcanzar los 100.000 m2 en España no es una tarea fácil. Desde PEP estamos llevando a cabo una incesante labor de divulgación y de formación Consideramos que es básico que los profesionales de la construcción sean los primeros que puedan transmitir los beneficios del estándar.

También es cierto que nos queda mucha labor por hacer y muchos socios por sumar en esta causa, aunque contar con más de 700 personas y 100.000 m2 en el tiempo que llevamos trabajando, sin duda, es un logro que hay que celebrar.”

Cinco principios básicos

Una edificación pasiva es un tipo de construcción enfocada a la máxima reducción de la energía necesaria para su climatización, logrando mantener una temperatura constante y confortable mediante la optimización de los recursos existentes. En este sentido, existen cinco principios básicos para el diseño y la construcción bajo el estándar Passivhaus: aislamiento térmico de gran espesor, ventanas y vidrios de altas prestaciones, ausencia de puentes térmicos, ausencia de infiltraciones de aire no deseadas y ventilación mecánica controlada y continua con recuperador de calor para responder a los criterios de salubridad que exige la normativa.

La importancia del certificador

La Plataforma de Edificación Passivhaus (PEP) reivindica la estandarización en España de la construcción de Edificios de Consumo Casi Nulo (ECCN) sobre la base del estándar Passivhaus. Para ello, es importante obtener la certificación Passivhaus otorgada por un certificador independiente y autorizado porque es un mecanismo de garantía de calidad que asegura que tales requisitos se cumplen.

Reivindicando el estándar Passivhaus para el cumplimiento de la normativa europea

La Directiva Europea 2010/31 exige a los estados miembros de la Unión que todos sus edificios públicos sean Edificios de Consumo Casi Nulo a partir del 31 de diciembre de 2018 y todos los edificios, sin excepción, lo sean a partir del 31 de diciembre de 2020. Por ello urge legislar para garantizar en España la edificación energéticamente eficiente.

Desde PEP se han presentado alegaciones ante el nuevo proyecto del Real Decreto por el que se modifica el Código Técnico de la Edificación (CTE) para tratar de avanzar hacia un nuevo CTE más completo y eficiente.

El objetivo de la Plataforma no es que el nuevo CTE adopte totalmente y per se los conceptos prestacionales del estándar Passivhaus para la construcción de ECCN, uno de los más exigentes del mercado, o la rehabilitación de otros existentes para aumentar su eficiencia energética, pero sí que los aproxime o, en cualquier caso, que no existan puntos de obstaculización o incompatibilidades directas entre ambos, a fin de permitir la aplicación del estándar en el proyecto, desarrollo y construcción de ECCN en España.

Fuente: profesionaleshoy.es

Publicat a General, Gestión Documental

El Hospital de Molina, Galardón ASSIDO “Premio Campeones” 2019

El Hospital de Molina ha recibido de manos de ASSIDO el Galardón ASSIDO “Premio Campeones”, en reconocimiento a su contribución a la inclusión laboral de las personas con Síndrome de Down y Discapacidad Intelectual, al tener integrada en su plantilla desde hace más de diez años, a una persona usuaria de la Asociación.

Durante el acto, el Gerente del Centro Hospitalario, Pedro Hernández Jiménez, ha explicado que “las personas con discapacidad conforman un núcleo importante dentro de nuestra sociedad a las que el Hospital de Molina no es indiferente. De hecho, nuestro compromiso con la discapacidad está reflejado explícitamente en nuestra Misión, Visión y Valores, que además llevamos a la práctica, desde prácticamente nuestro nacimiento, integrando a personas con discapacidad en nuestro equipo humano y contratando regularmente los servicios de empresas integradas por personas con discapacidad. Es un orgullo recibir este reconocimiento de ASSIDO, lo que demuestra una vez más, nuestro fuerte compromiso por ser un hospital que aporta valor añadido a la sociedad que confía su salud en nuestras manos”.

La integración laboral es una línea estratégica dentro de la Responsabilidad Social Corporativa (RSC) del Hospital de Molina, que la organización lleva a cabo de dos maneras. Por una parte, mediante la contratación directa de personas con discapacidad y su incorporación de manera estable a su plantilla, que lleva realizando desde el año 2006: actualmente, el 7% de su plantilla está integrada por personas con discapacidad. Y por otra, mediante contratos de prestación de servicios con empresas integradas por personas con discapacidad para el servicio de digitalización, custodia y destrucción certificada de los historiales clínicos del Hospital de Molina -, el taller ocupacional ASPAPROS encargado de tapizar los sillones de las habitaciones del centro hospitalario -, la empresa de inserción sociolaboral TOTAL PRINT impresión digital -, etc.

Paralelamente, el Hospital de Molina mantiene un convenio de colaboración con ASSIDO con el fin de proporcionar formación práctica, tutorizada por profesionales del Centro Hospitalario, a usuarios de ASSIDO, en tareas propias de auxiliar administrativo y de celador. Un convenio con el que se pretende mejorar la calidad de vida de las personas con Síndrome de Down y Discapacidad Intelectual de la Región de Murcia y así favorecer su integración escolar, familiar, social y laboral.

Fuente: murcia.com

Publicat a General, Gestión Documental

Hackers logran instalar una puerta trasera en el software de ASUS e infectan miles de ordenadores

Cientos de miles de ordenadores ASUS se han visto comprometidos después que hackers hayan infectado el software de la compañía y utilizado los servidores de la marca para distribuir malware, según adelantó la firma de seguridad Kaspersky y medios como Motherboard y Techcrunch han confirmado.

Los atacantes habrían infectado la herramienta ASUS Live Update para distribuir malware en al menos un millón de usuarios, según informan los investigadores de la firma de seguridad. Estos atacantes habrían instalado una puerta trasera en ese software y la habrían hecho pasar por la oficial después de utilizar el certificado de firma de la propia ASUS, utilizado para verificar que el código nuevo es legítimo.

ShadowHammer golpea a ASUS a través de su software de actualización

ShadowHammer es el nombre que ha puesto Kaspersky a este ataque, indicando una posible relación con ShadowPad, una investigación que ya mostraron en 2017.

¿Cómo lograron los hackers instalar una puerta trasera en el software de ASUS y pasar los controles? Según Kaspersky, los atacantes se habrían basado en una actualización de ASUS real fechada en 2015 y la habrían modificado ligeramente para enviarla en la segunda mitad de 2018.

El software ASUS Live Update se utiliza para renovar las aplicaciones oficiales de ASUS, así como actualizar la BIOS y los controladores del ordenador. Un software principal que habría permitido a los atacantes instalar todo tipo de aplicaciones.

En el caso del incidente con ASUS, según describe Motherboard, los atacantes aprovecharon esta puerta trasera en al menos unos 600 ordenadores para escanear direcciones MAC, conectarse con un servidor a distancia e instalar malware adicional en esas máquinas.

Desde otra firma de seguridad como es Symantec, se ha confirmado también este problema descrito como un ataque a la cadena de suministro del software de ASUS.

Según las estimaciones de Kaspersky, del millón de afectados la mayoría de usuarios estaría en Rusia. Aunque afectaría a una gran variedad de países, entre ellos España.

La mayoría de usuarios de ASUS no notarán ningún problema, ni en el corto ni en el largo plazo. Pero todavía no está claro que pasó con esos 600 ordenadores infectados donde los atacantes sí habrían aprovechado la puerta trasera.

Por el momento, se desconoce la identidad de los atacantes y cuáles son sus motivaciones.

Cómo saber si mi portátil ASUS está afectado

Si tienes un portátil ASUS, es posible que tu ordenador haya sido comprometido con el fallo en este software de actualización. La nueva versión Live Update 3.6.8 implementa según ASUS varios mecanismos de verificación de seguridad y un nuevo sistema de cifrado.

Respecto a los ordenadores que sí fueron infectados y atacados, Kaspersky ha creado una herramienta web donde se puede añadir la dirección MAC para comprobar si fue una de las que los hackers aprovecharon. La firma de seguridad ha creado esta herramienta no solo para ayudar a los usuarios, también para identificar qué tipo de víctima han sido elegidas por los atacantes e intentar descubrir alguna relación.

Otra opción es descargar la herramienta de diagnóstico que ofrece la propia ASUS, para comprobar los sistemas afectados.

Según Kaspersky, se notificó a ASUS de este problema el 31 de enero de 2019. En respuesta a esta situación, ASUS ha catalogado al problema como una Amenaza Persistente Avanzada (APT), un tipo de ataque llevado a cabo por un par de países y dirigido hacia organizaciones, no individuos.

ASUS confirma la existencia de este ataque y explica que su departamento de servicio al cliente ya se ha puesto en contacto con los usuarios afectados para ayudarles a eliminar los riesgos de seguridad asociados.

Fuente: .xataka.com

Publicat a General, Gestión Documental

Ordenan la retirada de bolsas de agua caliente procedentes de China por riesgo de quemaduras

La Consejería de Empleo, Universidades, Empresa y Medio Ambiente, a través de la Inspección de Consumo, ha inmovilizado 17.200 unidades de bolsas de agua caliente procedentes de China por riesgo de quemaduras para los consumidores.

Ya se está produciendo la retirada de los productos en todo el país, y posteriormente se destruirán todas las unidades en colaboración con el importador.

El laboratorio del Centro de Investigación y Control de la Calidad, dependiente del Ministerio de Sanidad, Consumo y Bienestar Social, analizó las muestras remitidas por los inspectores de la Comunidad y certificó que el material del que están formadas estas bolsas presenta un espesor inferior al obligatorio.

Dicho grosor llega a ser de 0,8 milímetros, mientras que la norma obliga a un mínimo de 1,4 milímetros, y esa deficiencia puede traducirse en roturas y daños para la salud de los usuarios.

Así, la bolsa puede deteriorarse con mayor facilidad, e incluso rasgarse, y su capacidad de aislamiento es inferior a la permitida.

En concreto, se trata de un modelo de la marca Gerimport, con la identificación de ‘Bolsa de agua con funda de 2 litros, lote 02/2018’. El importador, radicado en Murcia, está colaborando en la retirada de productos y deberá entregar a la Inspección de Consumo el certificado de destrucción de todas las unidades.

Ante la posibilidad de que otros importadores siguieran comercializando este modelo de bolsas en el resto de España, la Comunidad lo ha incluido en la red nacional de alerta de productos no alimentarios peligrosos, coordinada por Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (Aecosan).

De forma que se ha extendido a todas las comunidades autónomas la orden de retirada y prohibición de comercialización dictada por el director general de Comercio, Consumo y Simplificación Administrativa, Francisco Abril.

El análisis del producto no sólo reveló irregularidades en su composición, sino que también puso de manifiesto incumplimientos de etiquetado, ya que no se aporta su cliente información sobre el nombre o la marca del fabricante. Igualmente, en la etiqueta se especifica que la capacidad es de dos litros, cuando en realidad es de 1.900 mililitros.

Técnicos de la Inspección de Consumo visitaron la empresa importadora y notificaron a sus responsables la retirada de la venta de este modelo de bolsa. Los clientes del importador ya están procediendo a devolver las unidades con las que contaban, para la posterior destrucción.

Fuente: europapress.es

Publicat a General, Gestión Documental

Riesgos de los certificados SSL gratuitos modernos y registros DNS obsoletos

Los certificados SSL han sido adoptados por muchos sitios web, pero en los últimos cuatro años, la adopción de SSL ha crecido enormemente. Una de las principales razones de ese crecimiento gigante es el hecho de que Google y otras compañías como Let’s Encrypt alientan a los usuarios a proteger sus sitios web encriptando la información mediante un certificado SSL.

A pesar de haber existido durante más de dos décadas, los certificados SSL (HTTPS) comenzaron a crecer en popularidad en el 2014 y en el año 2018 se terminó convirtiéndose en uno de los temas de la seguridad más populares de todo Internet.

En la actualidad casi todos los usuarios quieren implementar un certificado SSL debido a que están en un principio creando un entorno seguro para sus visitantes, pero muchos ignoran los riesgos que pueden suponer los registros dns obsoletos.

Los origines del uso de los certificados SSL

En los últimos años, no era tan importante si tu sitio no estaba usando un certificado SSL. Solo los sitios web que operaban con tarjetas de crédito o que realizaban un procesamiento de datos confidenciales eran los únicos que debían usar certificados SSL. De hecho, nunca obtendría una certificación PCI válida para su tienda en línea si no instaló un certificado SSL.

En ese momento, los certificados SSL gratuitos no eran una opción, y la mayoría de los usuarios tenían que confiar en los populares proveedores de SSL, como las soluciones de Symantec, Trustwave o Comodo.

Antes del 2014, tener un sitio web con HTTPS era una tarea bastante complicada, ya que seguramente incluiría un certificado SSL caro, así como características de alojamiento adicionales para tener una IP dedicada, o el pago de certificados CDN SSL.

Pero los problemas de mover un sitio web a HTTPS no se notaban solo por el gasto económico que requiere. Realizar la configuración de una dirección IP dedicada para una web requería tiempo de propagación para los DNS, para que el administrador del sitio web pueda comenzar a generar los códigos de CSR para enviarlos a su proveedor de SSL. Una vez que los proveedores aprueben el SSL, le responderían con un código de CRT; el que finalmente instalaría en su sitio para tener la configuración SSL activa.

Hoy en día las cosas han cambiado, el SSL gratuito está disponible para todos, las IP dedicadas ya no son necesarias, y el proceso de instalación se puede realizar con unos pocos clics por personas que no tengan conocimientos técnicos en tan solo unos segundos.

La historia detrás de la adopción masiva de SSL

Desde principios de los años 90 hasta 2014, la adopción de SSL fue bastante lenta y solo fue utilizada por sitios web que trabajaban con información sensible como con las tarjetas de crédito o banca en línea.

Una de las primeras compañías que comenzó a ofrecer certificados SSL gratuitos fue Cloudflare, que anunció su SSL gratuito universal en 2014. En marzo del 2016, Google anunció su objetivo de una Internet segura, mostrando sus planes para hacer de Internet un lugar más seguro.

Let’s Encrypt nació más tarde por varias compañías que fundaron el Internet Security Research Group (ISRG). Este fue el primer paso para que los certificados SSL estén disponibles gratuitamente para todos.

Otras compañías como Comodo y cPanel se unieron para ofrecer certificados SSL gratuitos, haciendo que la configuración SSL sea aún más fácil y casi 100% automatizada.

Ahora que los certificados SSL gratuitos están disponibles para cualquier persona, la adopción se ha vuelto masiva para casi todos los propietarios de sitios web y proveedores de servicios basados en Internet

La mayoría de las grandes compañías de TI usan cifrados ssl ofreciendo una mejor seguridad para todos sus usuarios. Un buen ejemplo de esto es cómo Google comenzó a migrar casi todos sus servicios y plataforma (93~95% en este momento) para usar el cifrado SSL:

Además de ofrecer certificados SSL gratuitos, también ayudó a esta gran adopción de los certificados SSL fue la automatización de las validaciones de dominio en el proceso de instalación de SSL. La instalación de un SSL no es difícil en absoluto, pero requiere que el registrador/proveedor de SSL se asegure de ser el propietario del dominio antes de aprobar su certificado.

Los nuevos SSL gratuitos ofrecidos por empresas populares como Let’s Encrypt o Comodo funcionan de forma automática, lo que evita el proceso de espera eterno hasta que el registrador le envíe el código CRT para que pueda instalarlo en su sitio web.

En lugar de eso, usan procesos de validación de dominio automatizados que aceleran mucho la propiedad del dominio. Sin embargo, las recientes investigaciones de seguridad descubrieron nuevos riesgos de este tipo de validación de dominio cuando se combina especialmente con registros obsoletos del DNS.

Validaciones SSL basadas en dominio y registros DNS obsoletos

Investigadores de seguridad de TU Delft, UT Dallas y UC Santa Barbara publicaron un documento que muestra los riesgos de utilizar dominios SSL basados en la confianza lo puede permitir sufrir ataques dominios de adquisición explotando la reutilización de direcciones IP en los dos proveedores públicos más grandes de la nube en el mundo (Microsoft Azure y Amazon AWS). Los registros DNS obsoletos también son uno de los puntos clave en esta investigación.

¿Qué es un registro DNS obsoleto?

Un registro DNS obsoleto es solo un registro que señaló a una IP específica hace tiempo y que ahora mismo ya no dispone de la misma.

Supongamos que compra un servicio en la nube para la base de conocimientos en línea de su empresa definida en el subdominio: kb.suempresa.com, y lo señala a una IP predefinida como 123.123.23.23.

Al final, usted termina en el servicio en la nube que compró originalmente. Pero no elimina el registro DNS que creó para cd.domain.com. Ese es un registro DNS obsoleto es registro que aún existe para un servicio en la nube descontinuado.

Los atacantes pueden usar registros DNS obsoletos para generar nuevos vectores de ataque

Al escanear los registros DNS a través del historial de DNS, un atacante podría notar fácilmente los registros DNS obsoletos presentes en su nombre de dominio. Un atacante podría asignar direcciones IP a las que apuntan los registros DNS obsoletos, suplantar el servicio y luego instalar un certificado SSL validado.

Imagine que se despierta una mañana y descubre que el subdominio que usa como base de conocimientos (recuerde el ejemplo de cd.domain.com) que usaron sus clientes en el pasado ahora está en línea, funciona con un certificado HTTPS completo y probablemente se usa para realizar ataques maliciosos de phishing, malware o spamming.

En sus pruebas, los investigadores de seguridad encontraron que este tipo de ataques podrían ejecutar el ataque en menos de 70 segundos (tiempo más lento que la mayoría de la configuración TTL en registros DNS), permitiendo a los atacantes incluso interrumpir los servicios normales sin registros DNS obsoletos durante el tiempo de migración de un servicio a otro.

¿Hay alguna manera de mitigar este tipo de ataques?

La mejor forma de evitar la validación de este dominio y los ataques basados en registros obsoletos de DNS es introducir un nuevo método de autenticación en el proceso de validación de dominio.

Básicamente, la mitigación propuesta incluye el nuevo llamado “Desafío de validación de identificador resistente a adquisición de dominio” en el protocolo ACME (actualmente utilizado por Let’s Encrypt para automatizar el proceso de emisión de certificación SSL), específicamente al introducir la nueva fase de validación dentro de ACMEv2 RFC.

Una cosa buena de este nuevo método de mitigación es mantener el proceso de validación del dominio SSL lo más simple posible para el usuario final, que a menudo no es técnico.

En este caso, este cambio es 100% transparente, ya que no se necesita una solicitud de certificado adicional: la misma solicitud de certificado se utilizará en el proceso de emisión del certificado SSL.

¿Como funciona?

  1. El cliente envía una solicitud de certificado para el nombre de dominio, por ejemplo, coma una autoridad de certificación que valida el dominio.
  2. La autoridad de certificación verifica si ya existe un certificado SSL para el dominio o no.
  3. Quién solicita el SSL debe superar la comprobación de los DNS o basado en whois si un certificado anterior ya existe.
  4. Una vez que la URL ha sido verificada, la CA autorizará que se emita el certificado SSL.

La fase de transición del modelo de validación actual al nuevo no debería ser difícil para los proveedores de SSL actuales, ya que hay muchas validaciones ya utilizadas en las configuraciones actuales.

Reanudar: agregar la nueva capa de autenticación y mitigación no causaría ningún problema adicional, sino que ayudaría a prevenir nuevos problemas de seguridad.

Para un análisis completo y profundo de cómo funciona esta solución técnica, puede encontrarla en la investigación original, “Cloud Strife: Mitigating the Security Risks of Domain-Validated Certificates“, en el capítulo IV. MITIGATION (página 08).

Además de este nuevo desafío de autenticación, los autores sugieren recomendaciones generales de seguridad para propietarios de dominios y proveedores basados en la nube para reducir su exposición y la de sus clientes a problemas de DNS para evitar ataques de control de dominio como la asignación de direcciones IP y operaciones de liberación de direcciones IP, reforzando DNS seguridad, implementación de DNSSEC, entre otros.

Conclusión

Como puede ver, estos riesgos pueden reducirse adoptando nuevas tecnologías de mitigación por parte de los proveedores de SSL, pero también por la mayoría de los proveedores de Cloud necesitan seguir las mejores prácticas desde los servidores TCP/IP y DNS, así como cambiar los modelos de asignación de IP.

Fuente: tecnonucleous.com

Publicat a General, Gestión Documental

El Ayuntamiento elimina las tasas por el certificado de viajes y para empadronarse

El Ayuntamiento de Adeje cierra el 2018 con la aprobación de la supresión de algunas tasas por expedición de documentos administrativos. La ciudadanía ya no tendrá que pagar por las altas en el padrón, los certificados de viaje, empadronamiento o convivencia, así como por informes certificados sobre datos catastrales, relación de fincas, entre otros trámites que hasta ahora solo eran gratuitos si se hacían telemáticamente.

Según el informe de gestión tributaria presentado ayer en el Pleno, el objetivo de esta decisión es “agilizar los trámites de la contratación administrativa municipal. Con la supresión de algunos cobros, se reduce al mínimo el manejo de dinero en metálico en las Oficinas de Atención al Ciudadano, así como de Tesorería”.

 Otra de las tasas que sufre una modificación es la de recogida y retirada de vehículos de la vía pública con grúa y su custodia en el depósito municipal. Al tratarse de una tasa, esta debe ajustarse a los costes del servicio que se ha visto modificado a raíz del nuevo contrato con la empresa adjudicataria. Además, el pago de la tasa se realizará por autoliquidación, la persona deberá abonarla mediante tarjeta.
Fuente: laopinion.es

Publicat a General, Gestión Documental

Una universidad emite 1200 certificados en blockchain

Estos certificados son accesibles con un código QR que no solo almacena sus calificaciones, sino también su registro de asistencia, proyectos y portafolio

La tecnología blockchain llegó para quedarse, ahora también a la educación. La escuela de negocios india SP Jain School of Global Management concretó un hito en esta materia: emitió por primera vez 1189 certificaciones educativas en blockchain.

Según Business World, estos estudiantes marcaron un antes y un después dentro del ámbito educativo.Nitish Jain, presidente de SP Jain School of Global Management, explicó que es la primera vez que esta iniciativa se completa con éxito: “Los certificados digitales son el futuro. Ha habido varios intentos globales para emitir certificados en la cadena de bloques. Pero hasta ahora nadie ha capturado el ciclo de vida completo de la certificación. La asistencia de los estudiantes y otros datos privados se almacenan de forma segura en la cadena de bloques privada de la escuela y solo los datos relacionados con la certificación se exponen a la cadena de bloques pública de Ethereum”.

Cabe destacar que estos certificados permitirán que posibles empleadores, empresas o instituciones puedan verificar los datos de los títulos de los egresados sin necesidad de conectarse con la escuela.

Otro dato importante es que estos certificados no solo almacenan las certificaciones con sus calificaciones, sino que tiene un registro de asistencias, proyectos y portafolio.

Para acceder, los empleadores pueden escanear un QR desde una credencial. Asimismo, pueden encontrar la información registrada en blockchain, todo sin comprometer la privacidad de los profesionales.

De esta forma, la SP Jain School of Global Management da un paso al frente en el uso de blockchain en campos particulares y así luchar para reducir los fraudes relacionados con las credenciales educativas.

Fuente: iproup.com

Publicat a General, Gestión Documental

Calendario

noviembre 2019
L M X J V S D
« Oct    
 123
45678910
11121314151617
18192021222324
252627282930