Noticias – Certsuperior
55 5985 - 5000
Av. Santa Fe no. 170, Col. Lomas de Santa Fe,CP. 01210
Noticias – Certsuperior
CertSuperior Banner

Descubre todo sobre el día del internet

El domingo pasado se celebró el Día del Internet, sin embargo, el primer día que se celebró esto fue un 25 de octubre. Sin embargo, la Cumbre de la Sociedad de la Información tomó la decisión de moverlo para el 17 de mayo.

Internet, la herramienta del siglo XXI

Debido a la actual contingencia, el internet se ha convertido en el mejor amigo del mundo entero. Pues gracias a ella, el mundo permanece conectado desde los hogares de las personas. La primera vez que se celebró este día fue el 25 de octubre de 2005, durante la Cumbre de la Sociedad de la Información, celebrada en Túnez. Y en noviembre de 2005, se decidió que el 17 de mayo fuera el Día Mundial de las Telecomunicaciones y de la Sociedad de la Información, mejor conocido como Día del Internet.

Cómo se celebra el Día del Internet

Se celebra con diferentes actividades en línea, y este año, por la misma contingencia, se realizaron totalmente en línea. Se realizan foros, talleres y seminarios que impulsan el conocimiento sobre el internet, así como sus avances y futuros descubrimientos. El tema de este año fue “Connect 2030: ICTs for the sustainable development goals (SDGs)”, que se enfocó en la búsqueda de mejores avances concentrados en el implemento de tecnologías sustentables en el uso de internet.

Con la mirada enfocada hacia el final de esta década, se busca impulsar un desarrollo sustentable y la reflexión de cómo el internet afecta al planeta, y de igual manera, cómo puede mejorarlo. Las tecnologías de la información son gran parte del camino hacia un futuro mejor conectado y sustentable. Por otro lado, también se buscan mejores soluciones a la seguridad del internet, que se mantiene en constante evolución y requieren de una adaptación evolutiva.

La importancia de los bancos de datos para combatir una pandemia

Una pandemia implica el trabajo de investigación de muchas personas para llegar a su solución y las bases de datos o bancos de datos son parte primordial de este proceso. En ellas se comparten todos los descubrimientos que se van encontrando con el fin de promover un avance más exitoso hacia una cura de la enfermedad que se esparce por el mundo.

¿Cómo funcionan las bases de datos de salud?

A través de la web podemos acceder a un sinfín de información sobre todos los temas posibles, sin embargo, en el área científica existen bases de datos como un recurso especializado para acceder a contenido. Estos bancos se alimentan de la información que los investigadores cargan a estos sitios que recopilan la información para que permanezca abierta al resto del mundo para su uso científico.

En el caso de una pandemia, que quiere decir el contagio de una enfermedad a nivel mundial, la OMS cuenta con la Red Mundial de Alerta y Respuesta Epidémicos (GOARN por sus siglas en inglés); esta red es “mecanismo de colaboración técnica entre instituciones y redes ya existentes que aúnan sus recursos humanos y técnicos para identificar, confirmar y responder rápidamente a brotes epidémicos de importancia internacional”. Esto quiere decir, que las instituciones de salud alrededor del mundo colaboran compartiendo información a través de bases de datos para solucionar el problema.

¿Cuáles son las principales bases de datos en ciencias de la salud?

Estudiantes, investigadores, médicos y personal de salud alrededor del mundo necesitan de sitios de donde recolectar su información para mejorar su desempeño, solucionar un problema o simplemente como parte de su investigación. Actualmente, existen diferentes sitios que responden a esta necesidad, los cuáles pueden ser catalogados de la siguiente manera:

  • -Referenciales
  • -Open Access, abiertas a todo el público
  • -Sitios con información bajo licencia
  • -Los mixtos

Las más importantes a nivel mundial son: PubMed, CINAHL y Scopus. Cada una cuenta con millones de referencias de información médica, sobre enfermedades, medicinas, etc. Compartir esta información ayuda a los médicos a reducir errores, uso de medicamentos no funcionales y a eliminar pruebas duplicadas. En el caso de una pandemia, promueve una investigación más rápida y efectiva para encontrar una vacuna. Es por esto que la seguridad web de estos sitios es muy importante, ¿te imaginas que sus datos cayeran en las manos equivocadas? Estas bases de datos están protegidas con certificados del más alto nivel, datos encriptados y muchos filtros de seguridad. Esto es una prueba más de la importancia de la web para compartir información y la seguridad que ésta debe llevar.

¿Tú eres usuario de alguna base de datos?

Let’s Encrypt revocará millones de certificados SSL

Los certificados digitales de Let’s Encryprt son muy populares en Internet, pues ofrecen una opción de seguridad web sin costo. Recientemente, Let’s Encrypt se vio en la penosa necesidad de revocar más de 3 millones de certificados debido a un error en la programación de estos.

Este error convierte a esos sitios web en “Sitios no seguros”, permitiendo la entrada de agentes maliciosos, por lo que la información quedaría vulnerable para que personas desconocidas la tomen y le den un mal uso.

¿Qué error descubrió Let’s Encrypt?

El error reside en la verificación del nombre de cada dominio. El equipo de Let’s Encrypt descubrió que Boulder validaría un sinfín de veces el nombre de ese dominio en cada servidor. La compañía acepta resultados de validación de dominio por un periodo de 30 días, desde el momento de su solicitud, sin embargo, los registros CAA no pueden verificarse con más de 8 horas de anticipación.  

Por lo tanto, se abrió una ventana de 30 días donde los certificados serán rechazados, debido a que el CAA en DNS no permitirá su emisión. La única solución a este conflicto, por ahora, es la renovación manual.

Si no se realiza ese paso, los sitios mostrarán constantemente un letrero de advertencia, ya que el servidor detectará un certificado no válido. Let’s Encrypt emite certificados con intervalos de 90 días, esto significa que los navegadores detectarían el error por más de dos meses a menos que se realice la renovación manual.

Un gran ejemplo de la importancia de la vigencia de un certificado web

Como te lo hemos mencionado antes, la vigencia de un certificado resulta muy importante, pues es lo que define por cuánto tiempo tendremos un sitio seguro. Con vigencias más cortas, este tipo de errores se pueden evitar con mayor anticipación. En este caso en particular, el error se soluciona creando un comando que genere una renovación forzosa, algo relativamente sencillo, sin embargo, el periodo de tiempo que los sitios permanecen vulnerables puede provocar problemas más graves a futuro.

Mantén tu sitio con seguridad constante con CertSuperior

Empresas a favor de certificados SSL con vigencia más corta

Recientemente te comentamos sobre las nuevas medidas que adoptó Apple con respecto a la vigencia que, su explorador Safari, aceptará; sin embargo, no es la única compañía a favor de que los certificados SSL cuenten con una vigencia más corta. Las compañías a cargo de su emisión no están a favor por las complicaciones que esto representa, sin embargo, quienes se ven beneficiados directamente son los usuarios, y es por este motivo que otras empresas sí están a favor de esta medida.

¿Qué otras compañías están a favor de este cambio?

La vigencia de un certificado SSL es importante, sencillamente porque representa el tiempo que su protección será válida. Durante el CA/Browser (CA/B) Forum se llevó a cabo la votación SC22, donde se solicitaba que estos certificados no duren más de 398 días. Esta petición es resultado de un trasfondo donde la comunidad quería trabajar en equipo con las necesidades de las compañías y mejorar la seguridad de los usuarios; sin embargo, como ya les comentamos, esta votación resultó en contra y con la respuesta inmediata de Apple al reducir la vigencia de los certificados en su plataforma a partir de septiembre de este año.

Entre las compañías a favor se encuentran Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (former Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius PKIoverheid, SHECA y SSL.com. Los argumentos de estas compañías respaldan los beneficios que fueron presentados en la votación. Por otro lado, el objetivo de esta votación estaba enfocado en los usuarios y los posibles beneficios que reducir la vigencia de los certificados SSL podrían traer, por lo que todos los consumidores de certificados, es decir, los proveedores de browsers para los usuarios (Apple, Cisco, Google, Microsoft, Mozilla, Opera y 360) votaron a favor.

DigiCert a favor de los beneficios de una vigencia más corta

Entre las compañías que también se encuentran a favor de esta medida está DigiCert, quien publicó un comunicado en su sitio oficial mostrando su postura, en donde afirma que acortar la vigencia de los certificados SSL ayudaría a mejorar el ecosistema de seguridad web y que, además, tiene las herramientas con el fin de atender las necesidades de los usuarios para automatizar sus certificados y que no se vean afectados por las medidas de Apple, las cuales seguramente serán adoptadas por el resto de proveedores de navegadores.

Una vigencia más corta en los certificados SSL ofrece soluciones ante problemas como:

  • Errores provenientes de la mala interpretación o aplicación incorrecta de los requisitos iniciales. Con una vigencia más corta, se pueden resolver en menor tiempo.
  • Aun cuando los requisitos iniciales sean muy ambiguos, los ajustes pueden realizarse con más tiempo.
  • En la operación, el uso prolongado de certificados ha generado diversos problemas, los cuales pueden ser evitados con un menor tiempo de validez.

Estos son solo algunos ejemplos de los problemas que resolvería la reducción de la vigencia en los certificados SSL. Las empresas que están a favor de este cambio se encuentran más concentradas en el beneficio de los usuarios que en los procesos o dificultades que esto representaría.

Contrata DigiCert y recibe el mejor servicio en certificados SSL.

Sitios serán borrados por utilizar certificados antiguos

En 2018, importantes desarrolladores como Mozilla, Google, Apple y Microsoft, anunciaron que las versiones 1.0 y 1.1 del protocolo TSL creadas entre 1999 y 2006, son muy propensas a ataques que ya fueron resueltos en las versiones más recientes. Lo más grave es que sitios de bancos, gobiernos, noticiosos y telecomunicaciones mostrarán un anuncio como advertencia sobre los riesgos de visitarlos, para más tarde ser bloqueados permanentemente.

Protocolos antiguos son vulnerables

Estos bloqueos llegan después de advertencias a las que los sitios hicieron caso omiso y ahora enfrentarán graves riesgos de seguridad. Como se mencionó arriba, algunos de estos sitios corresponden a medios importantes como páginas de gobierno o de bancos. Recuerden que los certificados digitales protegen los datos de los usuarios, en este caso; datos bancarios o información delicada sobre ciudadanos.

Uno de los casos más graves es el de la red móvil más importante en Reino Unido; O2, la cual continúa usando un TSL 1.0. Por otro lado, el gigante asiático de telefonía celular, Huawei se encuentra entre las compañías que no prestaron atención a la actualización de certificados que utiliza. Encima, entre los casos de gobiernos, encontramos al Departamento de Justicia de Sudáfrica o la oficina encargada de los impuestos en California. Las advertencias fueron enviadas con el fin de proteger la información de sus usuarios, por lo que no actualizar el protocolo TSL es un acto muy irresponsable.

Certificados con más de 20 años de antigüedad

El primero de estos certificados fue presentado por la empresa Netscape, en el año de 1996. Y desde su lanzamiento se han encontrado múltiples formas de ataque, que fueron resueltas en 2008 con la versión 1.2. Algunos de estos ataques fueron identificados como BEAST, POODLE, LUCKY 13, entre otros.

Mientras no actualicen sus certificados, estos sitios mostrarán un anuncio a los usuarios que los visiten. Podrán encontrar una leyenda que afirma que “alguien más podrá ver su información” cuando ingresen sus datos. En el caso de Chrome o Firefox, el anuncio será de pantalla completa.

Aunque desde 2006, los certificados se estandarizaron, los compradores dieron por sentado su seguridad y decidieron no actualizarlos. Poco a poco, se acumularon los sitios que mantenían sus versiones en 1.0 o 1.1, incluso en 2014, Firefox les dio la oportunidad de mantenerse, sin embargo, en la actualidad cada vez son más los sistemas y navegadores que no los soportan. Ahora, desde marzo de 2020 los sitios comenzarán a ser bloqueados.

Actualiza tus certificados digitales con CertSuperior

Certificados Safari

Apple cambia la vigencia de los certificados TSL en Safari

La vigencia de los certificados digitales siempre ha sido un tema de conversación, pues forma parte crucial en la seguridad web. Compañías como Google y Apple han buscado reducir la vigencia desde el principio y este período bajó poco a poco. Ahora, en el marco del CA/Browser (CA/B) Forum, Apple decidió dar un paso unilateral y certero para reducir la vigencia de certificados que admite Safari.

Votación en contra de la reducción de vigencia

En agosto de 2019, la reducción de la vigencia fue presentada por Google. La exigencia estaba en obtener un tiempo de validez de los certificados de un año. Sin embargo, las compañías que se encargan de dar estos certificados no estuvieron de acuerdo y la votación llevada a cabo en el CA/Browser (CA/B) Forum, obtuvo un resultado en contra. La propuesta de Google recibió cientos de comentarios negativos, pues requiere trabajo extra para los encargados de diseñar dichos certificados. Así que durante la votación recibió más votos en contra por parte de compañías como GoDaddy, Network Solutions, D-TRUST, SECOM, Chunghwa Telecom, entre otros. Por su lado, empresas como Amazon, Buypass, Let’s Encrypt y SSL.com votaron a favor.

Consumidores a favor de una vigencia menor

En el espacio de los consumidores, compañías como Cisco, Google, Microsoft, Mozilla, Opera, 360 y Apple votaron a favor, siendo este último el más radical después del resultado. La compañía fundada por Steve Jobs decidió unilateralmente reducir el tiempo que su explorador, Safari, admitirá. A partir del 1 de septiembre de 2020, todo certificado que tenga una vigencia superior a 398 días será considerado engañoso. Los certificados con vigencia superior admitidos antes del 30 de agosto, podrán permanecer hasta que terminen, después de esta fecha deberán tener la vigencia mencionada. Apple afirma que esta decisión es para proteger a sus usuarios, pues garantiza más seguridad. Después de esta decisión, seguramente el resto de compañías a favor de la reducción de la vigencia se sumarán a Apple.

Actualiza tus certificados digitales con CertSuperior

Certificados SSL en México

  • Los Certificados SSL en México cubren las necesidades de seguridad electrónica de los emprendedores, negocios y empresas de todos los tipos y tamaños.
  • Los Certificados SSL en México respaldados por CertSuperior® cuentan con los estándares de calidad más altos de la industria de seguridad electrónica a nivel internacional.
  • Los Certificados SSL en México son ideales para los consumidores en línea que prefieren los sitios que muestren, a primera vista, que las empresas son confiables.

Los países interesados en estar a la vanguardia en los avances tecnológicos, han adoptado las medidas necesarias para que las actividades en Internet sean seguras. Por lo anterior, desde las Pymes (Pequeñas y medianas empresas) hasta los grandes corporativos cuentan hoy día con Certificados SSL en México.

La oferta de Certificados SSL en México está avalada por Autoridades de Certificación como CertSuperior® que es sinónimo de confianza para millones de usuarios desde su primera visita a un sitio web. La confianza es el factor definitivo para los consumos en línea. De la confianza depende que las personas puedan hacer trámites como:

  • Usar sus tarjetas de crédito o débito para comprar o hacer reservaciones por internet
  • Llenar un formulario con sus datos personales para que los contacten y se conviertan en clientes.
  • Realizar descargas de las aplicaciones o contenidos que se ofrecen en los portales.
  • Acceder al mundo de los negocios haciendo transferencias bancarias, domiciliando pagos o consultando saldos y movimientos.

En otras palabras, el uso de Certificados SSL en México impulsa el crecimiento del comercio electrónico y otorga la seguridad necesaria para que las personas accedan a portales en los que, algunas veces, les piden datos personales. 

Además de satisfacer las demandas de seguridad on line del mercado, los Certificados SSL en México:

  • Protegen la información de las empresas y organizaciones en la Intranet corporativa y el correo electrónico.
  • Aseguran el intercambio de información entre servidores internos y externos.
  • Garantizan que la información que se envía y se recibe a través de dispositivos móviles se encuentra segura.
  • Resguardan las comunicaciones entre los sitios web y los navegadores de Internet de los usuarios como Microsoft Internet Explorer, Google Chrome, Apple Safari, Mozilla Firefox y RockMelt.
  • Previenen los fraudes en línea y amenazas en las redes como suplantación de identidad y malware, entre otras.
  • Facilitan a las empresas el cumplimiento de las normativas de seguridad, incluyendo la del sector de pagos con tarjetas de crédito y débito (PCI DSS, Payment Card Industry Data Security Standard).

En cuanto a los tipos de Certificados SSL en México existen opciones que se adaptan a las necesidades de cada organización o empresa. CertSuperior®, que cuenta con 10 años de experiencia en la industria de seguridad electrónica, ofrece los Certificados SSL en México respaldados por las marcas de confianza con mayor prestigio en el mundo; que funcionan con la tecnología más avanzada de criptografía canalizada en el servidor SGC (Server Gated Cryptography) y pueden ser administrados desde una plataforma. Asimismo, cuentan con atención personalizada, soporte especializado de alta calidad en español y garantías con altos montos (Seguro Netsure en dólares), entre otras ventajas. 

¿Qué es un certificado digital?

  • Un Certificado digital es la garantía de seguridad para los usuarios web que buscan privacidad en sus comunicaciones desde dispositivos móviles.
  • El Certificado digital queemite CertSuperior® facilita la conectividad y las comunicaciones seguras que necesitan las empresas para sus operaciones en Internet.
  • El Certificado digital es la mejor prueba de que las empresas y organizaciones son confiables y se pueden hacer negocios o intercambios de información con ellas.

La importancia de la seguridad en las comunicaciones en Internet, tanto en el ámbito público como en el privado, conlleva a que las soluciones de seguridad electrónica sean imprescindibles para quienes busquen establecer relaciones de confianza con los usuarios web y el Certificado digital es la pieza fundamental de la protección de datos en línea. 

El Certificado digital funciona con el protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security) que, en términos sencillos, se encarga de que la comunicación entre el servidor web y el navegador sea privada, gracias a la implementación de procesos de cifrado, integridad, autenticación y ausencia de rechazo.

  • Cifrar o encriptar es un método que codifica los datos para que sólo puedan leerse por los interesados.
  • La integridad se refiere a que la información no sea interceptada o sufra alteraciones durante su paso por las redes.
  • La autenticación consiste en que un tercero de confianza, como CertSuperior®, compruebe y valide la existencia de la organización o empresa y que ésta sea poseedora del portal web. 
  • La ausencia de rechazo, con todas las etapas, constata quienes y la forma en que se establecieron las comunicaciones on line.

Entre las ventajas del Certificado digital destaca que hace evidente ante los visitantes de un sitio web que las empresas son confiables y están respaldadas por una Autoridad de Certificación.

Por otro lado, el Certificado digital cuenta con lo más avanzado en infraestructura de seguridad electrónica, por lo que se reducen al mínimo las posibilidades de fraude o mal uso de datos personales. Al mismo tiempo, se protegen los servidores en el intercambio de información y los equipos de los usuarios de software malicioso y ataques en las redes como malware, phishing, ransomware, cryptojacking y formjacking, entre otros.

Otra ventaja importante de contar con un Certificado digital es que ayuda al crecimiento de las empresas, ya que aumenta considerablemente sus ventas en línea. En este sentido, es importante que las empresas elijan el Certificado digital más conveniente de acuerdo a sus actividades y necesidades de seguridad electrónica.

CertSuperior® ofrece un Certificado digital acorde a las necesidades de cada persona con actividad empresarial, emprendedor, empresa u organización. Existe un Certificado digital comodín que asegura cualquier host de un dominio. Con más versatilidad funciona el Certificado digital de Nombre Alternativo de Sujeto (SAN Subject Alternative Name) que se caracteriza porque permite que se agregué más de un dominio a un Certificado SSL.

A su vez, el Certificado digital de firma de código se especializa en garantizar que el software descargado no sea manipulado ni sufra amenazas mientras viaja en las redes. Y el Certificado digital EV (Extended Validation) es el que cuenta con el grado más alto de validación y los mayores estándares de confianza disponibles para los clientes.

Los 5 Vectores de Ataque más Comunes de la Tecnología SSL

Desde que comenzamos a poner en práctica y utilizar el comercio electrónico, descubrimos que un tema se vuelve fundamental para su correcto funcionamiento. Hablamos acerca de la seguridad, misma que de no atenderse puede causar la pérdida de nuestra empresa por robos y atentados contra la misma o simplemente la desaprobación por parte de los usuarios y las autoridades correspondientes, motivo por el cual nuestra plataforma desaparecería.
Fue entonces que para medrar la situación, se lanzó desde hace ya varios años la tecnología SSL.  Es gracias a este elemento que las personas, los clientes y usuarios tienen la posibilidad de lograr una navegación confidencial y protegida, manteniendo su información fuera del alcance de personas externas a la transacción y evitando con ello que se vean envueltas en engaños o fraudes. La única condición, es que para gozar óptimamente de este elemento, se debe de saber administrarle correctamente.
Esto quiere decir que gestionarlo, no debe de tomarse como una opción, debe tomarse como una obligación. El entender sus requerimientos nos dará como resultado su correcta implementación, misma que traerá los resultados esperados. En muchas ocasiones se critica o se cuestiona la eficacia de este elemento, sin embargo no concientizamos que el motivo del fallo está en una mala gestión o incorrecta utilización de este elemento.
De igual forma, ya hablando como clientes, también debemos de ser partícipes en la identificación de dicho protocolo. Sabiendo identificar cuáles son los sitios que en verdad lo utilizan, nos evitamos ser víctimas de fraudes, engaños y robos, algo que según estadísticas de importantes firmas de seguridad digital, es algo de todos los días. Asimismo, es nuestro deber saber cómo funciona. Por ejemplo, es de vital importancia entender que lo primero que hay que identificar es:

  • La barra de navegación se tornará a un color verde cuando nos dirija al sitio
  • La dirección URL iniciará con las siglas HTTPS, protocolos que nos garantiza un canal seguro de comunicación entre el sitio-cliente
  • Un ícono en forma de candado aparecerá en el sitio y al darle clic se desglosará toda la información que corresponde a quién gestiona el sitio

Una vez identificado lo anterior, es de suma importancia que comprendas los elementos técnicos que entran en juego al iniciar el proceso de solicitud del servicio. Lo básico, es que al entrar en dicho proceso es que obtenemos dos claves, una pública y una privada, mismas que nos otorgan la seguridad de que solo las partes en cuestión tendrán acceso a la información personal que se comparta. Además de esas llaves, se ponen en función algoritmos llamados hash, mismos que dan pie a la firma digital, certificados digitales y la seguridad que nada se modifique sin la validación de quienes están llevando a cabo el proceso.
Es entonces que a través de este protocolo de seguridad las personas han sido parte de una completa revolución, donde la principal constante es la renovación y actualización de los parámetros de seguridad para que los ciberdelincuentes no tengan acceso a nuestra información o en su defecto a la de nuestros clientes. Sin embargo, así como se dan avances positivos en la materia, los ciberdelincuentes han logrado descifrar nuevas maneras de atacar, motivo por el cual es normal encontrarnos con la noticia de que existen algunos elementos que debemos atender para no ser víctimas de cibercrímenes.
Todo lo anterior hace funcional y confiable que las transacciones electrónicas se realicen de manera confiable para las partes que entran en acción y, a su vez, validadas. Y vaya que es importante lo anterior, ya que todo lo debemos de verificar mediante las autoridades de certificación. Ellas son las encargadas de identificar cuáles son los sitios oficiales para mantener protegida la navegación de los usuarios y la integridad de los mismos. Así como también se encargan de mantener informada a la comunidad en general de cuándo se deben revalidar los certificados, ya que de no hacerse la seguridad se vuelve obsoleta y da pie a posibles ataques.

Los 5 vectores de ataque a tecnología SSL

Si bien son innumerables las opciones de ataque, debemos de saber que la razón principal es que no contemos con certificados SSL ni que una vez que los obtenemos, tengamos un control sobre ellos, actualizándolos, renovándolos y ajustándolos a las necesidades que tenemos que cubrir por los servicios que ofrecemos. Por ejemplo, al no hacer lo anterior podríamos ser víctimas de estos 5 dolores de cabeza para los administradores de plataformas:

  • Heartbleed: Su error se encuentra en las bibliotecas criptográficas OpenSSL. Este fallo le da la posibilidad a los cibercriminales de leer la información personal de los clientes, consiguiendo con ello claves privadas y accesos a cuentas. Según información de Symantec, alrededor de 4.5millones de pacientes fueron afectados al vulnerar la seguridad de un hospital y dejar al descubierto su información.
  • POODLE: El problema era que en esta versión de protocolo SSL, se remitía al uso de otras versiones TLS o de igual forma SSL obsoletas, con lo que se obtenían datos guardados en cookies y descifrar con ello lo que según se estaba encriptando. Se dice que a pesar de que se hizo público el fallo, todavía muchas empresas se mostraban vulnerables por no atenderle y verificar las versiones.
  • FREAK: Este fallo se convirtió en el elemento por el sistema vulnerable favorito de los ciberdelincuentes. Permitía que se realizaran ataques men in the middle, o sea, que se interpusieran los ciberdelincuentes en la comunicación que establecían los clientes con una plataforma, consiguiendo así la información. Es provocado por defectos en el software de OpenSSL. Se dice que usuarios de Apple fueron los más afectados.
  • Shellshock: Este elemento vaya que provoca el dolor de cabeza de usuarios Linux, pues es de los más comunes con un 70% de uso. Su principal afectación era que al vulnerar su protocolo, los cibercriminales podían instalar malwares y asimismo engañar a quienes visitan el sitio, con el fin de estafarlos o infectarlos. Si bien no es fallo de los certificados SSL, da muestra que para que SSL funcione correctamente debe de funcionar óptimamente el servidor.
  • Bar Mitzvah: Esta vulnerabilidad corresponde a la intercepción de credenciales por el fallo del algoritmo encargado de la encriptación, el RC4. Según su uso corresponde al 30% de uso, algo que se busca cambiar pues ya existe la opción AES.

Acciones que pueden medrar las afectaciones que generan estos vectores

  • Coordinarse con Autoridades de Certificación: Cuando se busque una autoridad de certificación debemos de tener como prioridad que ante las fallas que pudieran presentarse, tomarán inmediatamente las medidas necesarias como cambios de claves y protocolos.
  • Realizar análisis constantes: Los análisis de vulnerabilidades deben de hacerse las veces que sean necesarias para adelantarse a los posibles ataques de los entes maliciosos.
  • Actualizaciones y renovaciones a punto.
  • Comparación de sistemas con las demandas del mercado.
  • No irse por el costo, ya que como en todo, lo barato sale caro.
  • Revisa comentarios y opiniones acerca de las autoridades de certificación, ya que en los foros y comentarios puedes encontrar la solución a tus problemas.

Al utilizar Certsuperior y Symantec, podrás obtener una autoridad de certificación que te ofrezca todo lo anterior, además de una robusta defensa contra vulnerabilidades y ciberdelincuentes.

Seguridad Cibernética 2016: Guía Actualizada de Seguridad Web

Certificado de Transparencia

El certificado de transparencia ha sido liberado para actualización de seguridad para todos los certificados DV y OV a partir del 19 de enero de 2016.

¿Qué es un Certificado de Transparencia?

Un certificado de transparencia es un mecanismo por el cual las Autoridades Certificadoras almacenan los detalles de los certificados emitidos a servidores CT de acceso publico, de esa manera las organizaciones pueden saber quien ha emitido los certificados de los dominios.
Los certificados de transparencia son una herramienta critica para mejorar la seguridad de los certificados de confianza publica. Todos los certificados deben ser añadidos a los servidores CT a menos que hayan optado por lo contrario de manera directa.

¿Qué ha hecho Certsuperior y Symantec para cumplir con este requerimiento de seguridad?

Todos los Certificados SSL EV y OV de nuestra marca son añadidos automáticamente a los servidores CT. Los certificados DV no son agregados a dichos servidores.

¿Qué está cambiando?

Todos los certificados SSL procesados en MMAVIS serán agregados al log de los servidores CT. algunos certificados SSL procesados en otros sistemas no serán agregados a los servidores CT hasta una próxima actualización.

¿Cómo me afecta a mi?

Ordenes pendientes a la fecha de liberación de esta actualización requerirán la opción de ser agregados a CT antes de emitirse.
Las ordenes de certificados hechas a partir de la fecha de esta actualización (19 enero 2016) serán emitidos automáticamente bajo la modalidad PreCert a menos que usted desee lo contrario lo cual se solicita de forma manual.
Para quedar fuera de este registro usted deberá contactar al área de Soporte de Certsuperior o con su asesor de ventas, solicitar “No hacer la información de mi certificado publica”.
Durante procesos de renovación, el certificado de transparencia será restablecido a la opción de registro automático, por lo que usted deberá optar quedar fuera del registro de manera manual de la forma antes indicada.

Si un certificado se configura para quedar fuera de este registro, los usuarios finales del dominio pueden experimentar diversos errores o advertencias cuando se navegue usando Google Chrome.

Si tiene dudas respecto a la configuración optima de su certificado SSL, no dude en contactarnos.