Consejos y Prácticas Recomendadas de Seguridad – Certsuperior
55 5985 - 5000
Av. Santa Fe no. 170, Col. Lomas de Santa Fe,CP. 01210
Consejos y Prácticas Recomendadas de Seguridad – Certsuperior
CertSuperior Banner

Consejos y Prácticas Recomendadas de Seguridad

Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas han empezado a contratar a desarrolladores especializados en SSL para mejorar el código y solucionar posibles errores. Así que ahora las bibliotecas SSL están más controladas que nunca y, además, se han establecido prácticas recomendadas comunes para utilizarlas.

La importancia de utilizar tecnologías SSL más seguras

En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminada.
Microsoft y Google anunciaron que pronto dejarían de aceptar certificados SHA-1 que caducaran después del 31 de diciembre de 2015ii. Si aún no ha migrado a SHA-2, Chrome mostrará una advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarán de funcionar en Internet Explorer a partir del 1 de enero de 2017.
Symantec también está potenciando el uso del algoritmo ECC, mucho más seguro que el cifrado RSA. En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1. Mayor seguridad. Las claves ECC de 256 bits son 10 000 veces más difíciles de descifrar que las claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque de fuerza bruta, se necesitaría mucho más tiempo y una potencia de procesamiento mucho mayor.
2. Mejor rendimiento. Anteriormente, muchas empresas tenían miedo a que los certificados SSL ralentizaran el funcionamiento del sitio web y optaban por una adopción parcial que ofrecía una protección muy deficiente. Un sitio web protegido con un certificado ECC requiere menos potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnología Always-On SSL no solo es recomendable, sino que está al alcance de cualquier empresa
3. Perfect Forward Secrecy (PFS). Aunque la tecnología PFS es compatible con certificados basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué importancia tiene esto? Si un sitio web carece de protección PFS, un hacker que se apropie de sus claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía la vulnerabilidad Heartbleed en los sitios web afectados, lo que dejó clara la gravedad de este problema. Con la tecnología PFS, alguien que robe o descifre las claves privadas de los certificados SSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad.

Uso adecuado de la tecnología SSL

En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido.
Por tanto, es necesario:
• Utilizar la tecnología Always-On SSL. Proteja con certificados SSL todas las páginas de su sitio web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.
• Mantener actualizados los servidores. No basta con mantener al día las bibliotecas SSL del servidor; toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir.
• Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.
• Hacer análisis periódicos. Vigile sus servidores web para detectar posibles vulnerabilidades o infecciones con malware.
• Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del protocolo SSL (SSL2 y SSL3) no son seguras. Cerciórese de que el sitio web no las admita y dé prioridad a las versiones más recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el servidor está bien configurado con herramientas como SSL Toolbox de Symantec.

Conciencie a sus empleados

Para que sus sitios web y servidores estén más protegidos este año, guíese por el sentido común y adopte los hábitos de seguridad que le recomendamos a continuación.
• Asegúrese de que los empleados no abran archivos adjuntos de gente que no conozcan.
• Ayúdeles a reconocer los peligros que acechan en las redes sociales. Explíqueles que, si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que conducen algunos enlaces pueden ser una trampa.
• Si un sitio web o aplicación ofrecen autenticación de dos factores, dígales que elijan siempre esta opción.
• Pídales que usen contraseñas distintas para cada cuenta de correo electrónico, aplicación, sitio web o servicio (sobre todo si están relacionados con el trabajo).
• Recuérdeles que usen el sentido común. No por tener un antivirus es menos grave visitar sitios web dañinos o de naturaleza dudosa.

Tiene dos opciones: la seguridad o la vergüenza

Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para lucrarse en Internet, pero las empresas y los particulares tienen muchísimas maneras de protegerse.
Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su sitio web se expone al escarnio público. Incluso puede acabar saliendo en HTTP Shaming, una página creada por el ingeniero de software Tony Webster en la que se señala a los culpables.v
Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.