Etiqueta | "documentos"

Seguridad informática al alcance de tus manos: técnicas para proteger tus datos

Las técnicas de ingeniería social para vulnerar la seguridad y robar información

personal se vuelven cada vez más efectivas y exceden las tan conocidas

amenazas cibernéticas. Es fundamental promover la ciberseguridad y alertar sobre

otras formas de robo de datos.

 

El robo de información personal mediante técnicas de ingeniería social está relacionado en el imaginario de

las personas a los ciberataques populares como el caso de ‘phishing’, las falsas ofertas en internet o los regalos en las redes sociales. Sin embargo, existen muchas otras técnicas que son menos conocidas,

mediante las cuales los ciberdelincuentes pueden conseguir información sensible.

El ‘dumpster diving’, o recolección urbana pone nombre a una práctica muy común entre los

ciberdelincuentes, que se trata de obtener información personal y/o confidencial de la basura. Cuando esta

información, valiosa para las empresas y personas, es desechada como los documentos personales, correos

electrónicos impresos, contactos, número de cuentas y contraseñas, se corre el riesgo de que sean

recuperados por delincuentes de la red.

Para evitar este tipo de situaciones, las recomendaciones parten de tener cuidado al momento de descartar

información confidencial. Por eso, es fundamental la destrucción de todos los archivos que poseen

información sensible previo a su desecho.

El ‘trashing’ es una técnica muy similar, donde los ciberdelincuentes obtienen información personal de los

equipos y dispositivos que son descartados. En este caso, los datos que contienen estos equipos deben ser

borrados con antelación.

El ‘‘smishing’ es una modalidad de phishing que se realiza a través de mensajería como los SMS, WhatsApp

o mensajes privados en redes sociales. Este tipo de actos es una amenaza emergente y en crecimiento en el

mundo de la seguridad en línea. En este caso, se intenta obtener información privada mediante el envío de

vínculos. Son muy comunes las ofertas de promociones que solicitan información personal o que alientan a

hacer clic en enlaces. Una táctica muy común es informarle a los usuarios de teléfono que si no hacen clic en

el vínculo y especifican su información personal, se les comenzará a cobrar el servicio de forma diaria.

El ‘shoulder surfing’ es una práctica muy común para el robo de datos. En este caso, el ciberdelincuente

obtiene información mirando por encima de los hombros de las personas lo que teclea en la pantalla y así se

conocen contraseñas, PIN, patrones de desbloqueo. Es una táctica muy sencilla pero no menos eficaz. En

estos casos, el uso de filtros de pantalla ayudan a prevenir el fraude.

El vishing, por su parte, responde al uso de las llamadas telefónicas fraudulentas para conseguir información

financiera y/o útil para lograr el robo de identidad. Es una estafa que pretende suplantar la identidad del

afectado a través de VoIP (voice over IP), recreando una voz automatizada semejante a la de las entidades

bancarias. Es importante no proporcionar información personal por teléfono.

Consejos para proteger las operaciones diarias

Para BBVA Francés la información personal es un activo primordial que hay que proteger en todo momento y

lugar, pues los ciberdelincuentes se encuentran al acecho ante cualquier movimiento indiscreto por parte de

los clientes.

En estos casos, es importante:

En cajeros automáticos, tener a resguardo permanente la tarjeta de débito /crédito y solamente recibir

asesoramiento del personal de la organización. Además, tener cautela al ingresar el NIP (Número de

Identificación Personal) y no compartirlo con otras personas. Esta práctica evitará los fraudes realizados

antes, durante y después de la operación, incrementando la protección de información confidencial de

Al operar con tarjetas de crédito es fundamental supervisar con frecuencia el resumen de las cuentas

para reconocer todas las transacciones realizadas. Y en cuanto a los pagos, BBVA Francés pone a

disposición de los clientes con tarjetas Visa Signature LATAM Pass, Visa Platinum LATAM Pass,

Mastercard Black LATAM Pass y Mastercard Platinum, la tecnología ‘contactless’ que permite

simplificar los pagos sin necesidad de insertar la tarjeta en la terminal de venta.

El banco nunca solicitará todos los datos juntos de la tarjeta de coordenadas a través de ningún

medio. Solo se solicita completar dos coordenadas en cada operación que se realice.

Sea cuidadoso con la información que tira a la basura. Si usted va a tirar recibos, resúmenes o

comprobantes destrúyalos antes de arrojarlos a la basura.

No responda a ningún correo electrónico que pida información personal. Desconfíe de cualquier

entidad o persona que pregunte por sus claves o cualquier otra información que pueda ser considerada

confidencial. BBVA Francés nunca le solicitará sus claves o datos de su tarjeta de crédito por teléfono,

ni correo electrónico, ni sms.

Fuente: bbva.com

Publicat a General, Gestión Documental

Hace cuatro años, un historiador usó láser para hacer mapas digitales de Notre Dame; su trabajo podría ayudar a salvar la catedral

Aunque partes de la Catedral de Notre Dame ahora están en ruinas, la gente aún puede experimentar, con un detalle notable, cómo lucía la mayoría de sus rincones y grietas gracias a un historiador de arte estadounidense.

Andrew Tallon, profesor de Arte en el Vassar College, usó láseres para escanear minuciosamente la catedral en 2015, y nos dio una réplica digital casi perfecta de la estructura gótica. Su trabajo podría ayudar a los arquitectos e ingenieros a reconstruir Notre Dame después del incendio del 15 de abril.

Tallon estudió arquitectura gótica y trató de comprender cómo los constructores medievales erigieron algunas de las grandes catedrales de Europa. Así que creó un mapa espacial de Notre Dame usando más de mil millones de puntos medidos con láser.

Aunque Tallon murió en diciembre de 2018, su modelo digital será crucial para los esfuerzos de restauración porque detalla exactamente cómo se veía la iglesia antes de la destrucción del incendio.

“Si (los restauradores) tienen alguna pregunta sobre cómo se construyó antes, pueden examinar el escaneo y medir cada cosa”, dijo Dan Edleson, director de la empresa de modelado de información de edificios STEREO. Los escaneos son una “representación muy precisa al nivel que hasta hace unos años nadie podía hacer”.

La Catedral de Notre Dame ha sido modificada repetidamente durante casi siete siglos, lo que hace que la historia arquitectónica del edificio sea difícil de seguir. Pero a través del escaneo láser 3D, Tallon reveló las decisiones de los constructores y las características previamente desconocidas de la majestuosa estructura. Por ejemplo, sus exploraciones mostraron que las columnas interiores en el extremo occidental de la catedral no se alinean.

Los datos pueden ayudar a los arquitectos

La restauración llevará años, pero los datos de escaneo de Tallon serán invaluables en el proceso.

Tallon instaló un trípode con un rayo láser en más de 50 lugares diferentes alrededor de la catedral para reunir puntos de datos y obtener una comprensión espacial de la estructura. Es la misma tecnología que usan los autos que conducen por sí mismos para identificar los objetos que los rodean, dijo Edleson.

La parte más grande de la reconstrucción será el techo de la catedral, gran parte de la cual fue destruida en el incendio.

“Los datos de escaneo … los ayudarán a recrear las medidas de las vigas y la estructura general”, dijo Krupali Uplekar Krusche, quien dirige un equipo en la Universidad de Notre Dame que usa el escaneo 3D para documentar monumentos históricos.

Los datos pueden mostrar “cómo se construye el edificio … y se pueden ver cada esquina, cada detalle digitalmente”, agregó Krusche.

El nivel de detalle —que es exacto hasta un par de milímetros— será útil cuando se trata de restaurar la aguja de la catedral, que fue intrincadamente hecha, dijo Krusche.

Sin embargo, los datos de Tallon por sí solos no son suficientes para llevar a cabo una restauración. Los arquitectos también deberán incorporar información de restauraciones anteriores, como materiales de construcción, así como fotografías, medidas y dibujos.

En estado de deterioro

Antes de morir el año pasado, Tallon había expresado su preocupación por el estado de deterioro de Notre Dame. En un video de 2017, caminó a lo largo de su techo, señalando piezas faltantes, gárgolas en deterioro y daños por agua en las piedras.

El académico cofundó una organización, Amigos de Notre Dame de Paris en Estados Unidos, que recauda fondos para reparar la amada catedral.

“Entonces, lo que espero que puedas ver al caminar por este bosque de piedras es que están sufriendo”, dijo Tallon en el video. “Con la exposición al agua, con la exposición a la contaminación atmosférica, necesitan atención … mucha atención”.

Fuente: cnnespanol.cnn.com

Publicat a General, Gestión Documental

La Biblioteca Navarra Digital estrena una herramienta de gestión mejorada

La Biblioteca Navarra Digital (BiNaDi), promovida por el Servicio de Bibliotecas del Gobierno navarro, estrena herramienta de gestión mejorada, tanto en la identificación y visualización de las descripciones bibliográficas, como en la presentación y descarga de los objetos digitales. A la descarga directa de la obra completa en pdf se añade ahora la posibilidad de visualizar imágenes en miniatura y de descargar la imagen de una página concreta en formato jpg.

BiNaDi fue creada para ofrecer la mayor difusión posible al patrimonio bibliográfico de Nafarroa y para garantizar su conservación reduciendo el uso de las obras originales. Desde su origen, la herramienta se ha planteado como un instrumento para ofrecer acceso universal a contenidos digitales de interés específico para el herrialde. Actualmente cuenta con 8.050 documentos, que contienen 560.391 páginas.

Por lo que se refiere a los objetos digitales, se cuenta con diversos formatos: PDF multipágina para la descarga completa, JPEG a resolución suficiente para su visión en pantalla, JPEG en alta calidad para su ampliación realizando zoom sobre detalles y txt oculto para la búsqueda en contenido.

Por otra parte, la nueva herramienta facilita la autogestión de la colección digital y la diversificación de los contenidos digitales representados en BiNaDi. Está previsto por ello enriquecer progresivamente la colección de recursos gráficos de BiNaDi con carteles y hojas sueltas, e incluso archivos con imágenes en movimiento del patrimonio filmográfico de Nafarroa.

En materia de publicaciones periódicas, destaca la inclusión de algún título procedente de la biblioteca del tafallés José María Azcona, declarada Bien de Interés Cultural, y es previsible que a medio plazo se puedan incorporar otras colecciones digitalizadas de periódicos y revistas que hasta la fecha se consultan de manera presencial en la Biblioteca de Nafarroa.

Junto a las principales obras de carácter histórico y jurídico que han configurado la realidad institucional del herrialde, BiNaDi facilita el acceso a títulos menos conocidos y de difícil localización, seleccionados a partir de criterios bibliotecarios. Por ello, en BiNaDi está representada la variedad temática de producción bibliográfica de Nafarroa, desde la historia de los cronistas hasta los relatos de usos y costumbres populares, desde los tratados académicos o las memorias de entidades oficiales hasta los libros escolares y otros impresos menores para uso privado.

Aparte de encontrarse obras impresas, también se pueden localizar manuscritos, planos y mapas, grabados y hojas sueltas. De acuerdo con la diversidad lingüística de Navarra, se incluyen también las obras más significativas en euskara generadas en el contexto histórico navarro.

A este respecto, en BiNaDi tiene cabida también obras de autores o temáticas relacionadas con todos los territorios limítrofes históricamente vinculados con Nafarroa.

Con carácter general, solamente se incorporan a BiNaDi obras que no están accesibles desde otras bibliotecas digitales, salvo que los ejemplares o las impresiones conservadas en el herrialde presenten particularidades que aconsejen su digitalización. BiNaDi, además de reducir la necesidad de consulta de las obras originales y favorecer así la conservación del patrimonio bibliográfico de Nafarroa, se ocupa también de preservar los objetos digitales generados, gracias a su almacenamiento en un servidor corporativo del Gobierno navarro y permite la recolección de su repositorio por otras bibliotecas digitales como Hispana o Europeana.

Obras originales y entidades colaboradoras
Los títulos que componen la biblioteca digital proceden tanto de originales conservados en la Biblioteca de Nafarroa como de ejemplares pertenecientes a otras bibliotecas y centros de conservación de patrimonio bibliográfico que han acordado su difusión a través de BiNaDi en virtud de diversos acuerdos y convenios, suscritos algunos de ellos en el contexto de la elaboración del Catálogo Colectivo del Patrimonio Bibliográfico (CCPB).

Los originales aportados por la Biblioteca de Nafarroa incluyen sus piezas más significativas, tanto impresas como manuscritas, cabría mencionar a este respecto el manuscrito de los Estatutos de la Universidad de Iratxe, que recoge la documentación relativa al centro en los siglos XVII y XVIII o un plano manuscrito de Iruñea durante el asedio francés de 1823.

BiNaDi recoge también alguna pieza procedente de bibliotecas de la red pública navarra, como la Biblioteca Pública de Tutera, que aportó entre otros títulos un manuscrito de las Memorias de Tudela de José Vicente Díaz Bravo, o la biblioteca pública de Bera, que ha cedido recientemente dos raros impresos de Iván de Nogales (1884-1929) donados por Isidoro Fagoaga. Destaca también la colaboración con Lesaka, que ha permitido incorporar la ejecutoria del escudo de la villa conservada en su archivo municipal, además de varios títulos de la biblioteca pública local, como los estatutos de 1880 de la Compañía General de Tranvías de Nafarroa.

Fuente: naiz.eus

Publicat a General, Gestión Documental

Detienen a cuatro personas en Málaga tras el expolio de más de 3.700 restos arqueológicos

La Guardia Civil ha detenido a cuatro personas y ha investigado a otras nueve más por el expolio de más de 3.700 piezas arqueológicas, que han sido localizadas e intervenidas en distintas localidades de Málaga, Córdoba y Tarragona. Es el resultado de las bautizadas como operaciones ‘Colum’ y ‘Patred’, que han desarrollado agentes del Servicio de Protección de la Naturaleza (SEPRONA) en coordinación con la Fiscalía de Medio Ambiente de Málaga, y en la que los arrestados están acusados de delitos de receptación de material arqueológico procedente de expolio y de tráfico ilegal de bienes arqueológicos pertenecientes al Patrimonio Histórico Español.

Las pesquisas comenzaron con la primera de estas operaciones, que se remontan al año 2016. Entonces se detectaron en Ronda la presencia de varios restos arqueológicos arquitectónicos (fustes) de origen romano. Algunas de estas piezas, según los arqueólogos oficiales, eran similares a las que existían en la antigua ciudad romana de Acinipo (Ronda) en el siglo I d.C y otras situadas en la zona del término municipal de Cabra (Córdoba).

Los investigadores también constataron que restos similares (columnas) habían sido adquiridos a varios anticuarios de la provincia de Málaga y estaban siendo utilizados como decoración ornamental en unos jardines de un establecimiento hotelero.

Los agentes comenzaron a tirar del hilo y comprobaron que, para realizar esas transacciones, los anticuarios habían confeccionado unos documentos fraudulentos de cesión y compraventa. Su objetivo no era otro que enmascarar la ilegalidad de las piezas con las que se estaba traficando comercialmente, algo prohibido debido a la protección especial que tienen los restos arqueológicos, los cuales son considerados bienes de dominio público.

Una vez identificada la procedencia de esas columnas, los guardias civiles realizaron un registro en la casa de unos anticuarios de Antequera, donde se intervinieron hasta de 60 piezas (columnas, basas, bustos, etc.).También se llevaron a cabo inspecciones en otros anticuarios de la citada localidad, así como de Marbella, Estepona y Cabra (Córdoba).

En uno de estos registros, los agentes se percataron de que uno de los anticuarios de Antequera tenía un pequeño museo. Este era ilegal, ya que carecía de la correspondiente autorización de la Administración de Cultura de la Junta de Andalucía, recuperándose otras 42 piezas arqueológicas.

La ‘operación Patred’ profundizó en Internet, donde los investigadores detectaron como existía un tráfico ilegal de material arqueológico. Fruto de esta investigación se ha podido intervenir 436 piezas (numismático, bisutería, etc.) en Torremolinos, 3.166 piezas (basas, numismático, bisutería, etc) en Lucena, una ánfora en Pizarra y otra en Tarragona.

Desde la Guardia Civil han informado de que el valor económico del total de las piezas recuperadas superarían los 500.000 euros en el mercado negro. Aun así, han explicado que el histórico es muy superior al económico.

De hecho, siempre según las mismas fuentes, el expolio ha provocado la destrucción total o parcial del yacimiento, puesto que ha podido perjudicar el contexto arqueológico en el que se localiza la pieza perdiendo de manera irremediable la información histórica que el yacimiento contenía.

Sobre el material recuperado, abarca diferentes épocas como la Prehistoria, Íbera, Romana, Medieval y Visigoda. Entre las piezas arqueológicas destacan por su importancia una escultura femenina de la época romana similar a las que se hallan en el Teatro Romano de Mérida y una punta de palmela de la época Prehistórica.

Una vez intervenidas y recuperadas dichas piezas han sido trasladadas al Museo de Antequera para su custodia, conservación y peritaje, donde han podido ser analizadas en profundidad por un técnico de la Delegación de Cultura de la Junta de Andalucía. Y es que en la operación se ha contado con la colaboración de estos últimos, además de con los ayuntamientos de Ronda, Estepona y Antequera.

Fuente: diariosur.es

Publicat a General, Gestión Documental

PP pide información de “destrucción de documentación del Ayuntamiento”

El Partido Popular de Alcalá la Real ha solicitado información al equipo de gobierno socialista sobre la presencia de un camión de la empresa Resurja “el pasado sábado día 13 por la tarde en la plaza del Ayuntamiento, en el que se depositaron cientos de expedientes procedentes de la Casa Batmala para ser trasladados y destruidos”.

En concreto, los populares han preguntado al equipo de gobierno “por el protocolo de traslado y destrucción de documentación que sigue el Ayuntamiento, así como información sobre la relación de documentos entregados a Resurja o a cualquier otra empresa encargada de eliminar ficheros”.

Según el comunicado del PP “La ley determina que toda documentación ha de ser custodiada un mínimo de años en función de su tipología, aspecto que ha de ser controlado por la Secretaría General del Ayuntamiento. Incluso en los contratos ya vencidos el Ayuntamiento está obligado a conservar los expedientes durante varios años”.

En este sentido, desde el PP se ha solicitado saber “quién ha sido la persona que ha autorizado la entrega de expedientes a Resurja el sábado 13 de abril, puesto que ha de ser un proceso controlado desde la Secretaría municipal. Desde el PP se espera una pronta justificación del equipo de gobierno del PSOE ante los hechos”.

Fuente: andaluciainformacion.es

Publicat a General, Gestión Documental

Detectan vulnerabilidad crítica en la popular biblioteca PHP ‘PCPDF’

Un investigador de seguridad informática ha descubierto un error de seguridad crítico en TCPDF, una de las bibliotecas PHP más importantes para la creación de archivos PDF a partir de documentos HTML.

El investigador, apodado Polict, reveló a través de su blog que el fallo puede ser aprovechado por un hacker para ejecutar código de forma remota en sitios web y aplicaciones web que disponen del servicio de TCPDF, así como también controlar estos sistemas. Según ZDNetla vulnerabilidad es básicamente una variación de un error descubierto por el experto en seguridad informática, Sam Thomas, de la firma Secarma Limited.

En 2018, Thomas detectó el error de deserialización que exponía las aplicaciones PHP, y posteriormente publicó un informe de investigación donde detalló los ataques contra las plataformas Typo3 CMS y WordPress, además de TCPDF.

La publicación de Polict afirma que el fallo puede ser explotado de dos formas. Una de ellas es a través de sitios web que permiten que los datos de los usuarios formen parte del proceso donde se generan los archivos PDF, como cuando se agregan números de facturas, nombres u otros datos. La segunda manera es a través de sitios web que incluyen bugs de secuencias de comandos entre sitios XSS, en los que un hacker puede inyectar malware dentro del código fuente HTML que posteriormente se enviará a TCPDF y se convertirá en un archivo PDF.

Según Polict, la clave detrás del ataque es suministrar información con el formato incorrecto a TCPDF. En definitiva, estos datos son modificados a un punto tal que propician que la biblioteca PHP llame al “phar: //”wrapper del servidor PHP, y posteriormente se aprovechan del procedimiento de serialización de PHP para ejecutar malware en el servidor subyacente.

Luego de que Thomas detectó la vulnerabilidad el año pasado, los administradores de TCPDF actualizaron la biblioteca a la versión 6.2.20, sin embargo, ZDNet afirma que los usuarios deben actualizarse a la versión 6.2.22 porque los desarrolladores introdujeron de forma accidental el error de Thomas al intentar lanzar el parche de seguridad del fallo notificado por Polict. En este sentido, la compañía reveló que con la versión 6.2.22 queda resuelto el problema.

Fuente: tekcrispy.com

Publicat a General, Gestión Documental

La Generalitat invertirá un millón de euros en Archivo de la Alta Ribagorça

La Generalitat invertirá un millón de euros en el Archivo Comarcal de la Alta Ribagorça, ubicado en Pont de Suert (Lleida), que estará finalizado en 2021 según el proyecto ejecutivo que ha presentado hoy la consellera de Cultura, Laura Borràs.

La consellera ha visitado este sábado en Pont de Suert el edificio que acogerá el archivo, el antiguo Palau Abacial, acompañada de la directora general de Patrimonio Cultural, Elsa Ibar; del presidente del Consejo Comarcal de la Alta Ribagorça, Josep Lluís Farrero, y del alcalde de Pont de Suert, José Antonio Troguet.

Borràs ha destacado que “los archivos son los preservadores de nuestra memoria y, por tanto, de lo que somos” y que “cumplen una función fundamental en la preservación de esta memoria”.

 

 

El Departamento de Cultura está tramitando actualmente el acuerdo plurianual para la construcción del archivo comarcal, así como el convenio de construcción.

Una vez se apruebe, el Ayuntamiento de Pont de Suert iniciará los trámites para la licitación de las obras de construcción y equipamiento del archivo.

La superficie útil total del edificio rehabilitado es de 330,99 metros cuadrados y la superficie construida, de 600,88 memtros cuadrados.

Con este proyecto se completa la Red de Archivos Comarcales de Cataluña, que contará con una superficie construida de más de 50.000 metros cuadrados.

La Red de Archivos Comarcales de Cataluña cuenta actualmente con 38 archivos y 2 depósitos externos, custodia más de 120 kilómetros de documentos, unos 15.000.000 millones de documentos digitalizados y recibe unos 60.000 visitantes anuales.

Fuente: lavanguardia.es

Publicat a General, Gestión Documental

Beneficios de una buena gestión documental para la empresa

Una gestión documental adecuada es una de las principales metas que persiguen las empresas. El objetivo es implantar un sistema que permita realizar las operaciones de manera versátil, tener acceso a la información en el momento en el que se necesite y contar con un sólido sistema de seguridad, entre otros factores.

¿Sabías que entre un 10 y 15% de los recursos de las empresas se desaprovechan? Y la principal razón de ello es la falta de organización: se pierde mucho dinero en electricidad, en impresiones que no van a ninguna parte, en tinta, y especialmente tiempo buscando documentos importantes que podemos tener almacenados de manera sencilla con un buen software de gestión documental.

¿Por qué deberíamos trabajar en mejorar la gestión documental?

Ahorro

El ahorro de tiempo es el principal factor de una gestión documental adecuada, puedes localizar, modificar, enviar, personalizar y automatizar los procesos. Evitas pasar minutos tedioso buscando en interminables estanterías llenas de archivadores.

El hecho de encontrar algo cuando lo buscas supone un aumento de la agilidad en los procesos importante, lo que deriva en tener más tiempo para tareas más importantes, y en definitiva, un mejor aprovechamiento del tiempo de trabajo supone más beneficios para tu empresa.

Seguridad

Con un buen sistema de gestión documental no tendremos que preocuparnos por la integridad de nuestros datos personales. La seguridad en la nube limita los accesorios del usuario según se desee.

Estos permisos son revocables en cualquier momento: así, la información tan solo se podrá visualizar y modificar por aquellos usuarios que cuenten con las acreditaciones correspondientes.

Disponibilidad

Otra de las ventajas de este sistema es que la información estará disponible en todo momento (24 horas al día, 7 días de la semana). Para acceder a la misma tan solo hará falta contar con un dispositivo que tenga conexión a Internet.

No hará falta tener que sentarse delante de un ordenador de sobremesa, o de un ordenador portátil. Tampoco tendremos que estar buscando datos entre muchas hojas de papel física, ya que la búsqueda se simplificará con los mecanismos online. Esto es beneficioso para reuniones o para que los trabajadores en movilidad puedan disponer de cualquier tipo de documento en cualquier momento y lugar.

Mayor control sobre el consumo recursos

La única manera de saber si una empresa es o no eficiente es controlando los recursos que consume y, para ello, necesitaremos tener toda la información actualizada. Una buena interfaz de gestión documental nos dará acceso a estos consumos en tiempo real, para llevar un mayor control.

Reducción de espacio

Olvídate de tener que estar llenando los estantes con archivadores repletos de documentos que nunca se van a utilizar. Todo estará almacenado en discos duros en la Nube.

Estas son las principales ventajas de contar con un sistema de gestión documental.

Fuente: getafecapital.com

Publicat a General, Gestión Documental

Riesgos de los certificados SSL gratuitos modernos y registros DNS obsoletos

Los certificados SSL han sido adoptados por muchos sitios web, pero en los últimos cuatro años, la adopción de SSL ha crecido enormemente. Una de las principales razones de ese crecimiento gigante es el hecho de que Google y otras compañías como Let’s Encrypt alientan a los usuarios a proteger sus sitios web encriptando la información mediante un certificado SSL.

A pesar de haber existido durante más de dos décadas, los certificados SSL (HTTPS) comenzaron a crecer en popularidad en el 2014 y en el año 2018 se terminó convirtiéndose en uno de los temas de la seguridad más populares de todo Internet.

En la actualidad casi todos los usuarios quieren implementar un certificado SSL debido a que están en un principio creando un entorno seguro para sus visitantes, pero muchos ignoran los riesgos que pueden suponer los registros dns obsoletos.

Los origines del uso de los certificados SSL

En los últimos años, no era tan importante si tu sitio no estaba usando un certificado SSL. Solo los sitios web que operaban con tarjetas de crédito o que realizaban un procesamiento de datos confidenciales eran los únicos que debían usar certificados SSL. De hecho, nunca obtendría una certificación PCI válida para su tienda en línea si no instaló un certificado SSL.

En ese momento, los certificados SSL gratuitos no eran una opción, y la mayoría de los usuarios tenían que confiar en los populares proveedores de SSL, como las soluciones de Symantec, Trustwave o Comodo.

Antes del 2014, tener un sitio web con HTTPS era una tarea bastante complicada, ya que seguramente incluiría un certificado SSL caro, así como características de alojamiento adicionales para tener una IP dedicada, o el pago de certificados CDN SSL.

Pero los problemas de mover un sitio web a HTTPS no se notaban solo por el gasto económico que requiere. Realizar la configuración de una dirección IP dedicada para una web requería tiempo de propagación para los DNS, para que el administrador del sitio web pueda comenzar a generar los códigos de CSR para enviarlos a su proveedor de SSL. Una vez que los proveedores aprueben el SSL, le responderían con un código de CRT; el que finalmente instalaría en su sitio para tener la configuración SSL activa.

Hoy en día las cosas han cambiado, el SSL gratuito está disponible para todos, las IP dedicadas ya no son necesarias, y el proceso de instalación se puede realizar con unos pocos clics por personas que no tengan conocimientos técnicos en tan solo unos segundos.

La historia detrás de la adopción masiva de SSL

Desde principios de los años 90 hasta 2014, la adopción de SSL fue bastante lenta y solo fue utilizada por sitios web que trabajaban con información sensible como con las tarjetas de crédito o banca en línea.

Una de las primeras compañías que comenzó a ofrecer certificados SSL gratuitos fue Cloudflare, que anunció su SSL gratuito universal en 2014. En marzo del 2016, Google anunció su objetivo de una Internet segura, mostrando sus planes para hacer de Internet un lugar más seguro.

Let’s Encrypt nació más tarde por varias compañías que fundaron el Internet Security Research Group (ISRG). Este fue el primer paso para que los certificados SSL estén disponibles gratuitamente para todos.

Otras compañías como Comodo y cPanel se unieron para ofrecer certificados SSL gratuitos, haciendo que la configuración SSL sea aún más fácil y casi 100% automatizada.

Ahora que los certificados SSL gratuitos están disponibles para cualquier persona, la adopción se ha vuelto masiva para casi todos los propietarios de sitios web y proveedores de servicios basados en Internet

La mayoría de las grandes compañías de TI usan cifrados ssl ofreciendo una mejor seguridad para todos sus usuarios. Un buen ejemplo de esto es cómo Google comenzó a migrar casi todos sus servicios y plataforma (93~95% en este momento) para usar el cifrado SSL:

Además de ofrecer certificados SSL gratuitos, también ayudó a esta gran adopción de los certificados SSL fue la automatización de las validaciones de dominio en el proceso de instalación de SSL. La instalación de un SSL no es difícil en absoluto, pero requiere que el registrador/proveedor de SSL se asegure de ser el propietario del dominio antes de aprobar su certificado.

Los nuevos SSL gratuitos ofrecidos por empresas populares como Let’s Encrypt o Comodo funcionan de forma automática, lo que evita el proceso de espera eterno hasta que el registrador le envíe el código CRT para que pueda instalarlo en su sitio web.

En lugar de eso, usan procesos de validación de dominio automatizados que aceleran mucho la propiedad del dominio. Sin embargo, las recientes investigaciones de seguridad descubrieron nuevos riesgos de este tipo de validación de dominio cuando se combina especialmente con registros obsoletos del DNS.

Validaciones SSL basadas en dominio y registros DNS obsoletos

Investigadores de seguridad de TU Delft, UT Dallas y UC Santa Barbara publicaron un documento que muestra los riesgos de utilizar dominios SSL basados en la confianza lo puede permitir sufrir ataques dominios de adquisición explotando la reutilización de direcciones IP en los dos proveedores públicos más grandes de la nube en el mundo (Microsoft Azure y Amazon AWS). Los registros DNS obsoletos también son uno de los puntos clave en esta investigación.

¿Qué es un registro DNS obsoleto?

Un registro DNS obsoleto es solo un registro que señaló a una IP específica hace tiempo y que ahora mismo ya no dispone de la misma.

Supongamos que compra un servicio en la nube para la base de conocimientos en línea de su empresa definida en el subdominio: kb.suempresa.com, y lo señala a una IP predefinida como 123.123.23.23.

Al final, usted termina en el servicio en la nube que compró originalmente. Pero no elimina el registro DNS que creó para cd.domain.com. Ese es un registro DNS obsoleto es registro que aún existe para un servicio en la nube descontinuado.

Los atacantes pueden usar registros DNS obsoletos para generar nuevos vectores de ataque

Al escanear los registros DNS a través del historial de DNS, un atacante podría notar fácilmente los registros DNS obsoletos presentes en su nombre de dominio. Un atacante podría asignar direcciones IP a las que apuntan los registros DNS obsoletos, suplantar el servicio y luego instalar un certificado SSL validado.

Imagine que se despierta una mañana y descubre que el subdominio que usa como base de conocimientos (recuerde el ejemplo de cd.domain.com) que usaron sus clientes en el pasado ahora está en línea, funciona con un certificado HTTPS completo y probablemente se usa para realizar ataques maliciosos de phishing, malware o spamming.

En sus pruebas, los investigadores de seguridad encontraron que este tipo de ataques podrían ejecutar el ataque en menos de 70 segundos (tiempo más lento que la mayoría de la configuración TTL en registros DNS), permitiendo a los atacantes incluso interrumpir los servicios normales sin registros DNS obsoletos durante el tiempo de migración de un servicio a otro.

¿Hay alguna manera de mitigar este tipo de ataques?

La mejor forma de evitar la validación de este dominio y los ataques basados en registros obsoletos de DNS es introducir un nuevo método de autenticación en el proceso de validación de dominio.

Básicamente, la mitigación propuesta incluye el nuevo llamado “Desafío de validación de identificador resistente a adquisición de dominio” en el protocolo ACME (actualmente utilizado por Let’s Encrypt para automatizar el proceso de emisión de certificación SSL), específicamente al introducir la nueva fase de validación dentro de ACMEv2 RFC.

Una cosa buena de este nuevo método de mitigación es mantener el proceso de validación del dominio SSL lo más simple posible para el usuario final, que a menudo no es técnico.

En este caso, este cambio es 100% transparente, ya que no se necesita una solicitud de certificado adicional: la misma solicitud de certificado se utilizará en el proceso de emisión del certificado SSL.

¿Como funciona?

  1. El cliente envía una solicitud de certificado para el nombre de dominio, por ejemplo, coma una autoridad de certificación que valida el dominio.
  2. La autoridad de certificación verifica si ya existe un certificado SSL para el dominio o no.
  3. Quién solicita el SSL debe superar la comprobación de los DNS o basado en whois si un certificado anterior ya existe.
  4. Una vez que la URL ha sido verificada, la CA autorizará que se emita el certificado SSL.

La fase de transición del modelo de validación actual al nuevo no debería ser difícil para los proveedores de SSL actuales, ya que hay muchas validaciones ya utilizadas en las configuraciones actuales.

Reanudar: agregar la nueva capa de autenticación y mitigación no causaría ningún problema adicional, sino que ayudaría a prevenir nuevos problemas de seguridad.

Para un análisis completo y profundo de cómo funciona esta solución técnica, puede encontrarla en la investigación original, “Cloud Strife: Mitigating the Security Risks of Domain-Validated Certificates“, en el capítulo IV. MITIGATION (página 08).

Además de este nuevo desafío de autenticación, los autores sugieren recomendaciones generales de seguridad para propietarios de dominios y proveedores basados en la nube para reducir su exposición y la de sus clientes a problemas de DNS para evitar ataques de control de dominio como la asignación de direcciones IP y operaciones de liberación de direcciones IP, reforzando DNS seguridad, implementación de DNSSEC, entre otros.

Conclusión

Como puede ver, estos riesgos pueden reducirse adoptando nuevas tecnologías de mitigación por parte de los proveedores de SSL, pero también por la mayoría de los proveedores de Cloud necesitan seguir las mejores prácticas desde los servidores TCP/IP y DNS, así como cambiar los modelos de asignación de IP.

Fuente: tecnonucleous.com

Publicat a General, Gestión Documental

El Ayuntamiento elimina las tasas por el certificado de viajes y para empadronarse

El Ayuntamiento de Adeje cierra el 2018 con la aprobación de la supresión de algunas tasas por expedición de documentos administrativos. La ciudadanía ya no tendrá que pagar por las altas en el padrón, los certificados de viaje, empadronamiento o convivencia, así como por informes certificados sobre datos catastrales, relación de fincas, entre otros trámites que hasta ahora solo eran gratuitos si se hacían telemáticamente.

Según el informe de gestión tributaria presentado ayer en el Pleno, el objetivo de esta decisión es “agilizar los trámites de la contratación administrativa municipal. Con la supresión de algunos cobros, se reduce al mínimo el manejo de dinero en metálico en las Oficinas de Atención al Ciudadano, así como de Tesorería”.

 Otra de las tasas que sufre una modificación es la de recogida y retirada de vehículos de la vía pública con grúa y su custodia en el depósito municipal. Al tratarse de una tasa, esta debe ajustarse a los costes del servicio que se ha visto modificado a raíz del nuevo contrato con la empresa adjudicataria. Además, el pago de la tasa se realizará por autoliquidación, la persona deberá abonarla mediante tarjeta.
Fuente: laopinion.es

Publicat a General, Gestión Documental

Calendario

mayo 2019
L M X J V S D
« Abr    
 12345
6789101112
13141516171819
20212223242526
2728293031