jueves, 29 de octubre de 2020

Mecanismos de protección ante las principales amenazas en el correo electrónico (I)

 A pesar de que ya han pasado décadas desde su aparición, el correo electrónico sigue siendo una herramienta de comunicación básica en el ámbito personal, pero, sobre todo, en el profesional. En todos estos años han surgido apps de mensajería instantánea, redes sociales e infinidad de soluciones corporativas, cada cual más innovadora que la anterior, y, sin embargo, el clásico email sigue siendo el soporte de comunicación formal por excelencia dentro de cualquier compañía.

Por este motivo, los ciberdelincuentes ven el correo electrónico como una ventana muy atractiva para intentar “colarse” dentro de una organización o para contactar y engañar a los empleados de la misma, asegurándose el anonimato.

Imagen: freepik.es

En esta serie de dos artículos veremos: primero, algunas de las principales amenazas a día de hoy para una empresa; y a continuación, nos detendremos a revisar con más detalle cuál es el funcionamiento técnico de los mecanismos anti-phishing: SPF, DKIM y DMARC.

martes, 20 de octubre de 2020

La importancia de las suites de cifrado en las comunicaciones en PCI DSS

 1. Introducción

Desde 1995, SSL (Secure Sockets Layer) se convirtió en uno de los protocolos más utilizados y extendidos a nivel mundial para el cifrado de las comunicaciones. La gran cantidad de vulnerabilidades en SSL hizo que en 1999 se desarrollase Transport Layer Security 1.0 (TLSv1.0), un protocolo que buscaba mejorar la seguridad en las comunicaciones, aunque como ocurrió en SSL, fueron apareciendo vulnerabilidades en dicho protocolo, principalmente ante ataques BEAST, por lo que tuvo que evolucionar y ser sustituido por TLSv1.1 en 2006.

TLSv1.1 mejoró a TLSv1.0 en cuanto a la seguridad ya que añadía protección con el cifrado de bloques, garantizando el intercambio de datos en un entorno securizado y privado entre dos entes (usuario y servidor); su facilidad de implementación y su uso complementando a otros protocolos en expansión como HTTP, SSH o SMTP, permitió su consolidación en los sistemas de hoy día. Actualmente, son muchas las organizaciones y fabricantes que lo consideran obsoleto (poniendo como fecha límite marzo de 2020) y no se aconseja su utilización para aplicaciones comerciales y comunicaciones a través de redes públicas, por lo que la transición a las versiones TLSv1.2 (2008) o TLSv1.3 (2018) es lo más recomendable puesto que son protocolos más actuales y los cuales están menos afectados por vulnerabilidades y que ofrecen comunicaciones seguras.

NOTA: Este artículo no va enfocado a explicar la criptografía, sino que se centra en el uso de los protocolos de comunicaciones seguros y de cómo las suites de cifrado favorecen esa seguridad.

lunes, 5 de octubre de 2020

Anonimización y Seudonimización de datos de carácter personal

 1. Introducción

Desde la entrada en escena del nuevo Reglamento General de Protección de Datos personales (en adelante, RGPD) han sido muchas las técnicas estudiadas y utilizadas para cumplir con cada uno de los artículos del mismo y, en particular, para proteger de una manera efectiva los datos de carácter personal que se tratan por parte de una organización, de tal manera que, exista un equilibrio entre seguridad y negocio. Sin embargo, existen una serie de técnicas y/o conceptos que todavía causan bastante confusión en la industria y de los cuales se suelen utilizar indistintamente, cuando en realidad, son totalmente distintos. Estas técnicas de protección de datos personales son las que se conocen con el nombre de Anonimización y Seudonimización de datos de carácter personal. Realmente, el único concepto nuevo que se ha introducido con el RGPD ha sido el de Seudonimización, ya que la Ley de protección de Datos, anterior al reglamento, ya recogía en su cuerpo el proceso de anonimización.


En la actualidad, pocas empresas, debido precisamente a la falta de entendimiento de este tipo de técnicas tan beneficiosas en algunas ocasiones, utilizan la Anonimización y Seudonimización para la protección de los datos personales que tratan en sus procesos de negocio.