Ciberseguridad archivos - ESign

Desafíos y consejos de Ciberseguridad en Chile

Soraya Piddo — Thu, 20 May 2021 16:41:13 +0000

La ciberseguridad informática en Chile y el mundo es más necesaria ahora que nunca y esto es una realidad que no tiene discusión, pues los ciberataques se han masificado en todo el mundo y se han transformado en eventos comunes. Un ejemplo de ello es que sólo en Estados Unidos un servidor es atacado cada 39 segundos y cuatro mil empresas son hackeadas todos los días usando ransomware.

Una encuesta reciente de Marsh, líder en Consultoría, Corretaje de Seguros y Administración de Riesgos, respaldada por Microsoft, mostró que en América Latina, aunque el 31% de las empresas percibe un aumento en el número de ciberataques desde el inicio de la pandemia, solo el 24% aumentaron sus presupuestos de ciberseguridad, con solo el 17% de las empresas de la región teniendo seguro contra los riesgos cibernéticos.

Con las amenazas cibernéticas en aumento en los últimos años, colaborar y comunicarse de manera segura dentro de las empresas, requiere canales que deben ser completamente seguros. Hay cientos de amenazas diferentes en este momento, y los piratas informáticos están utilizando esta pandemia como otra superficie para desplegar sus ataques, así que es imprescindible estar preparado para evitar brechas de seguridad.

“Esto puede causar que miles o millones de personas sean afectadas, apagando servicios masivos de gran importancia y utilidad a clientes o ciudadanos. Un ejemplo de ello fue lo que hemos vivido en Chile con varios bancos. También han existido casos dramáticos como el de la ciudad de Atlanta (Estados Unidos), la cual fue atacada con el ransomware SamSam, dejando a la ciudad completamente desconectada durante cinco días, provocando altísimos costos y serios daños”, comenta Andrés Cave – Gerente General de ESign.

Problemas de ciberseguridad de trabajo remoto

Si bien el trabajo desde casa tiene sus méritos, como los costos más bajos para las empresas, este aumento meteórico ha dado lugar a algunos problemas preocupantes de seguridad de TI, en las que DigiCert incluye:

- Transición a la nube. Desde la pandemia, se prefieren las soluciones de acceso remoto y las organizaciones están trasladando gradualmente los procesos comerciales críticos a la nube. Sin embargo, depender cada vez más de la nube y crear agilidad en la nube podría crear más vulnerabilidades si no se protege adecuadamente. Microsoft descubrió que el 39% de las empresas están dando prioridad a las inversiones en seguridad en la nube sobre la seguridad de los datos y la información o incluso la seguridad de la red. PKI puede ayudar a proteger la nube y proporcionar una autenticación sólida e integridad operativa a escala.
- Suplantación de identidad por correo electrónico. El phishing por correo electrónico durante la pandemia se disparó. Existe una mayor prioridad para capacitar a los trabajadores y prepararlos para reconocer y saber cómo lidiar con las amenazas desde la pandemia y desarrollar las mejores prácticas para el acceso seguro al correo electrónico.

- Diversos dispositivos remotos. Los dispositivos móviles necesitan su propia protección de seguridad única. Pero al 52% de las organizaciones les resulta difícil proteger los dispositivos móviles de problemas de ciberseguridad. Un primer paso fundamental para resolver esto es implementar una política eficaz de administración de dispositivos móviles (MDM).

- Sin ciberseguridad en la oficina. Su empresa es más vulnerable cuando su personal no puede utilizar las medidas de seguridad de TI de la oficina, como los firewalls. Afortunadamente, con herramientas como Enterprise PKI Manager de DigiCert, puede aumentar la seguridad y proporcionar a los trabajadores remotos un acceso VPN seguro.

- Protección de contraseñas. Los colaboradores deben estar capacitados en las mejores prácticas de la política de contraseñas y su organización debe implementar la autenticación multifactor. Además, con el personal que trabaja desde casa, pueden verse tentados a compartir contraseñas de trabajo con amigos o familiares para ayudarlos con ciertas tareas laborales. Obviamente, este es un problema de seguridad y debe abordarse con la capacitación adecuada para todo el personal.

“La transición al trabajo remoto ha sido un obstáculo difícil de navegar para muchas empresas. Es lo suficientemente desafiante mantener las operaciones y la productividad mientras se trabaja desde casa. Sin embargo, a medida que aumentan los problemas de seguridad (como las estafas de phishing), también debe hacerlo la seguridad y la resistencia de las organizaciones”, afirmó Dean Coclin, Director senior de desarrollo empresarial en DigiCert.

Dado que no existe una fórmula para ser inmunes a los ataques en temas de ciberseguridad, tanto empresas como usuarios individuales deben tener presente que “los delincuentes informáticos se encuentran 24/7 realizando pruebas/laboratorios buscando la manera de vulnerar un sistema, una aplicación o plataforma. Éstas pueden ser seguras hoy, pero el día de mañana puede salir a la luz un ataque de ‘día cero’, que es un ataque nunca antes visto”, destacó el especialista en Ciberseguridad de ESign.

El mundo vive una nueva era: la de información y el conocimiento. Cada año se incorporan nuevos paradigmas y tecnologías disruptivas que cambian sustancialmente la forma de realizar las cosas, en especial, en una época en que el Covid-19 obliga a los usuarios a realizar decenas de transacciones sólo por Internet y el mundo depende cada vez más de las Tecnologías de la Información, es por ello que las empresas en Chile y el mundo deben prepararse para tratar de reducir el porcentaje de éxito de estos ataques.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 16 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinum Partner del país.

La entrada Desafíos y consejos de Ciberseguridad en Chile se publicó primero en ESign.

Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos

Soraya Piddo — Thu, 22 Apr 2021 19:42:21 +0000

El robo de contraseñas de sitios web de entretenimiento, WhatsApp falso, noticias falsas sobre Covid-19 y la vacuna, estafas y ataques de ransomware más sofisticados, son algunas de las principales amenazas a las que están expuestos los usuarios. No es nuevo: la tecnología ha facilitado la rutina de las personas y más aún con las pandemias. Hoy en día ya no es necesario salir de casa para realizar un pago, realizar compras o incluso asistir a una reunión. Internet se ha convertido en un universo aparte, lleno de transacciones.

Con el objetivo de evitar estafas, el uso de certificados SSL para proteger e identificar sitios ha aumentado drásticamente. Esto ha sido impulsado por navegadores que muestran indicadores negativos para sitios que no son https, lo que alienta a los sitios web a usar SSL. Los certificados SSL vienen en tres versiones: Validado por dominio (DV), Validado organizacionalmente (OV) y Validación extendida (EV). Las diferencias básicas se muestran a continuación:

Certificado SSL de validación de dominio (DV)

Los certificados SSL de validación de dominio validado se comparan con un registro de dominio para demostrar la propiedad del dominio del sitio. Sin embargo, los certificados DV no ofrecen información de identificación de la organización. Por lo tanto, no se recomienda utilizar certificados DV con fines comerciales.

Certificado SSL de validación de la organización (OV)

Para recibir un certificado SSL de validación de la organización, las organizaciones son autenticadas por la CA (Autoridad de certificación) contra las bases de datos del registro empresarial alojadas por los gobiernos. Las CA pueden requerir ciertos documentos y personal de contacto para garantizar que los certificados OV contengan información comercial legítima. Este es el tipo estándar de certificado requerido en un sitio web comercial o público.

Certificado SSL de validación extendida (EV)

Los certificados SSL de validación extendida agregan pasos de validación adicionales y ofrecen el nivel más alto de autenticación para salvaguardar la marca y proteger a sus usuarios. Si bien no todos los sitios de la web utilizan certificados EV, las organizaciones líderes en el mundo los utilizan para garantizar la confianza del usuario. Más de la mitad de los 400 principales sitios de comercio electrónico utilizan EV, según los datos de 2019 de Comscore y Netcraft. Han descubierto que cambiar de certificado SSL OV a EV aumenta las transacciones en línea y mejora la confianza del cliente.

En todos los casos, se proporciona cifrado entre el navegador y el servidor. Sin embargo, el cifrado no proporciona autenticación. Sabemos que el navegador está encriptando datos en algún servidor con un nombre de dominio verificado. Pero no sabemos nada sobre ese dominio con certificado SSL DV. Con OV y EV, recibimos más información sobre el dominio, incluida la ubicación de la empresa (OV), e incluso más detalles con EV.

Mirando más allá del candado

Con la llegada de una web que está cifrada en más del 90% y con los navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente “buscar el candado”, ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes al buscar pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.

Otra pista que debe buscar es el nombre de la autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden colocar el cursor sobre el candado para ver el nombre de la CA. Si el indicador dice “Verificado por DigiCert“, puede estar seguro de que la identificación del sitio se ha verificado de acuerdo con los requisitos de la industria. Las CA líderes, como DigiCert y ESign, único Platinium Partner de DigiCert en Chile, actualizan constantemente los estándares globales mediante los cuales las CA validan las identidades y siguen procesos rigurosos.

Los certificados de Validación de Organización (OV) y Validación Extendida (EV) requieren cierto esfuerzo para obtenerlos. Primero, la entidad solicitante debe ser una organización válida y la CA debe buscar registros públicos para autenticarla. Debido a que esto implica mano de obra, existe un costo asociado con la obtención del certificado. Normalmente, estos no son obstáculos para las organizaciones legítimas. Pero para los ciberdelincuentes, proporcionan una fricción significativa, que puede evitarse obteniendo un certificado DV.

Una investigación reciente mostró que casi la mitad de los sitios de phishing ahora tienen candado. La mayoría de las veces, los certificados de Validación de Dominio (DV) se obtienen con éxito para esos sitios web. Los piratas informáticos saben que pueden solicitar DV automáticamente sin proporcionar ninguna información personal y algunas CA las ofrecen de forma gratuita. Por lo tanto, ni siquiera es necesaria una tarjeta de crédito. Un informe reciente sobre un compromiso de DNS por parte de un supuesto estado-nación afirmaba que los piratas informáticos habían ocultado su operación mediante el uso de “suplantación de certificados”, obteniendo certificados de proveedores conocidos de certificados gratuitos o de bajo costo con poca o ninguna validación realizada. Dada la fácil disponibilidad de estos certificados, no es de extrañar que los ciberdelincuentes utilicen certificados DV de forma predeterminada para legitimar sus sitios web.

Tenga en cuenta lo básico

¿Qué pueden hacer los consumidores para reconocer los sitios web fraudulentos? Tres palabras: examinar, examinar y examinar.

1. Si bien en el pasado estaba bien buscar el candado en la barra del navegador, ahora se debe examinar la información de este, colocando el cursor sobre el ícono para ver qué CA emitió el certificado. Si es DigiCert, puede estar seguro de que el sitio web ha sido verificado de acuerdo con los estándares de la industria y que, en el caso de un certificado OV (validación de organización) o EV (validación extendida), la identidad del propietario del sitio web ha sido examinada para mayor protección.

1. Mire de cerca la barra de direcciones y lea la URL a la que ha sido direccionado con atención. ¿Es lo que esperaba?

1. Haga clic en el candado para revelar información adicional sobre el sitio. Si usa un certificado EV, el nombre de la empresa se identificará inmediatamente después de hacer clic en el candado.

Acerca de DigiCert, Inc.

DigiCert es el principal proveedor mundial de soluciones de PKI y TLS/SSL escalables para servicios de identidad y cifrado. Las empresas más innovadoras, entre las que se encuentran el 89 % de las empresas mencionadas en la lista Fortune 500 y el 97 % de los principales bancos del mundo, eligen DigiCert por su competencia en identidad y cifrado para servidores web y dispositivos del Internet de las Cosas. ESign, empresa con más de 17 años en el mercado chileno generando confianza en los canales digitales, lleva más de 11 años en alianza exclusiva en Chile con DigiCert, siendo los únicos Premium Platinium Partner del país.

La entrada Más allá del candado: aprenda paso a paso cómo identificar sitios fraudulentos se publicó primero en ESign.

Cómo la práctica de Ethical Hacking mejora su ciberseguridad

Soraya Piddo — Thu, 11 Mar 2021 14:35:16 +0000

Es un hecho que Internet se ha convertido en un espacio plagado de enlaces maliciosos, troyanos y virus; de esta manera, las filtraciones de datos son cada vez más frecuentes y los usuarios desprevenidos son más vulnerables que nunca.

Dado que los ataques en ciberseguridad no van a disminuir, sugerimos proactividad al utilizar Internet y recomendamos que se utilice la autenticación de dos factores, estar atento a las estafas de phishing, cambiar las claves con regularidad, mantenerse al día con las actualizaciones y realizar un seguimiento de la “huella digital”, incluidas las redes sociales, y eliminar las cuentas que no se usan, entre otras acciones.

La mayoría de los clientes llega a ESign en la búsqueda de socios de negocio confiables, técnicamente excelentes, que sean capaces de comunicar claramente las causas y efectos de sus servicios, y que tengan foco en la satisfacción de sus clientes. Por ejemplo, después de haber sufrido algún incidente en su infraestructura y luego de tomar acciones, recurren a servicios de ethical hacking o hacking ético para corroborar que los actos realizados hayan subsanado las vulnerabilidades explotadas en un inicio y verificar que, al haber hechos cambios en la configuración, no se hayan abierto nuevas brechas.

Actualmente las empresas están tratando de estar preparadas contra eventuales intentos de ataques por parte de personas mal intencionadas, y como resultado de lo anterior, el aumento en la demanda de servicios de ethical hacking.

Algunos de estos servicios más requeridos de Ethical Hacking son:

Hacking ético WEB: Busca encontrar vulnerabilidades a una aplicación Web y se utilizan metodologías como OWASP (Open Web Application Security Project) y OSSTMM (Open Source Security Testing Methodology Manual). El hacking ético también se utiliza para aplicaciones móviles con el fin de encontrar vulnerabilidades a una aplicación móvil usando OWASP y OSSTMM.
Ethical Hacking para redes externas e internas: En el caso de las internas, se busca encontrar vulnerabilidades a nivel de la red LAN, evaluando segmentos de red, puertos habilitados, servidores, etcétera. El servicio externo, realiza un análisis de vulnerabilidades de todo su segmento de Ip´s públicas y servicios que tengan publicados hacia internet.

Todos los servicios antes mencionados se pueden realizar en modalidad Blackbox y WhiteBox, las que incluyen un porcentaje de las tareas que se realizan con herramientas automatizadas y otras que se hacen de manera manual.

Aparte del hacking ético, hay otros puntos a considerar, como el servicio de revisión de configuración de plataforma de seguridad y servidores, el cual implica revisar la línea base de la configuración de servidores en todos los aspectos referentes a la seguridad, tales como actualizaciones, permisos de acceso, versiones de software base, etc. En tanto, la revisión de la configuración de dispositivos de seguridad implica analizar Firewall, WAF, IPS y Consola Antivirus, entre otros.

Además, nuestra empresa entrega servicios SOC (Security Operation Center) y NOC (Network Operations Center), puesto que muchas organizaciones no cuentan con los profesionales calificados en temas técnicos de seguridad informática para aplicar las mejores prácticas de la industria en sus plataformas.

Por lo anterior, recomendamos realizar servicios de hacking ético al menos 2 veces al año a sus servicios críticos, hacer una revisión del estado de las políticas de los dispositivos de seguridad, mantener actualizados sus sistemas en lo que se refiere a parches de seguridad, evaluar los controles de seguridad utilizando una metodología como la de los controles CIS y capacitar a sus colaboradores en el tema de la seguridad de la información.

La entrada Cómo la práctica de Ethical Hacking mejora su ciberseguridad se publicó primero en ESign.

Útiles consejos de ESign para resguardar la ciberseguridad

Soraya Piddo — Fri, 15 Jan 2021 16:00:08 +0000

La ciberseguridad informática en Chile y el mundo es más necesaria ahora que nunca y esto es una realidad que no tiene discusión, pues los ciberataques se han masificado en todo el mundo y se han transformado en eventos comunes. Un ejemplo de ello es que sólo en Estados Unidos un servidor es atacado cada 39 segundos y cuatro mil empresas son hackeadas todos los días usando ransomware.

“Esto puede causar que miles o millones de personas sean afectadas, apagando servicios masivos de gran importancia y utilidad a clientes o ciudadanos. Un ejemplo de ello fue lo que hemos vivido en Chile con varios bancos. También han existido casos dramáticos como el de la ciudad de Atlanta (Estados Unidos), la cual fue atacada con el ransomware SamSam, dejando a la ciudad completamente desconectada durante cinco días, provocando altísimos costos y serios daños”, explica nuestro Gerente General de ESign, Andrés Cave.

Con la llegada de redes de mayor velocidad y el uso extendido de servicios en la nube, las vulnerabilidades se expanden rápidamente. Además, la incorporación de nuevas tecnologías, como el 5G y IoT, aumenta la cantidad de dispositivos conectados, al punto de que habrá alrededor de 200 mil millones de aparatos activos para fines de 2020. En este sentido, los delincuentes informáticos están utilizando inteligencia artificial y aprendizaje automático para desencadenar ciberataques automatizados que pueden comprometer fácilmente los sistemas sin ninguna intervención humana.

7 Principales Recomendaciones de Ciberseguridad para Empresas

Con la pandemia del COVID-19 en Chile y el mundo, se ha visto un aumento de correos electrónicos de phishing y estafas enviadas a personas y empresas. “El ciberdelito llegó para quedarse y no va a ser menos peligroso en los próximos años, ya que estos delincuentes siempre están ideando formas nuevas y más sofisticadas para atacar, por lo que será cada vez más importante proteger su negocio de manera efectiva”, agrega Andrés Cave.

El Ingeniero Civil y especialista en Ciberseguridad de nuestra compañía, Willians Rodríguez, detalla que “en la actualidad las empresas se encuentran en una época donde la información tiene un valor monetario para los delincuentes cibernéticos, es decir, listas de clientes, de proveedores, información confidencial sobre la compañía, sobre los clientes, datos personales de sus empleados, entre otros”.

Asimismo, nuestro experto en seguridad informática añade que las empresas “también tienen la necesidad de aumentar la seguridad de su infraestructura productiva para evitar ‘secuestros’ de servidores, indisponibilidad de servicios debido a usuarios malintencionados, traduciéndose esto en grandes pérdidas monetarias”.

De esta manera, las compañías deben preocuparse en la inversión de plataformas que los ayuden a mitigar los intentos de los delincuentes cibernéticos de vulnerar sus redes de datos, pero también deben invertir en concientizar a sus empleados, ya que ellos se han convertido en uno de los principales objetivos de los “hackers” mediante la utilización de Phishing o Ingeniería Social. Este último término se basa en el siguiente principio: “El usuario es el eslabón más débil”.

Nuestro Oficial de Seguridad, Ronald Pérez, detalla que se aconseja, “primero, definir claramente cuáles son sus activos de información críticos, los que pueden ser servicios, datos o infraestructura. En el fondo es saber qué es lo que quieren proteger”.

Otras sugerencias de nuestro Oficial de Seguridad son:

Verificar si cuentan con la seguridad necesaria para resguardar estos activos.
Agregar a todas las cuentas un segundo factor de autenticación seguro, partiendo pero no limitado a las cuentas de privilegio.
Generar procesos de Gestión de Incidentes completos, que permitan actuar de manera ordenada ante un incidente y crear medidas de mitigación de forma rápida y obtener lecciones aprendidas.
Implementar un buen sistema o servicio de monitoreo de su plataforma, así, una vez habilitadas las herramientas de seguridad, se monitorea que éstas se encuentren cumpliendo sus funciones y de esta forma ir adoptando medidas preventivas.
Realizar evaluación de su plataforma de manera periódica, realizando análisis de vulnerabilidades (Ethical Hacking).
Verificar el estado de concientización de sus colaboradores para evaluar el nivel de riesgo que existe en este punto; para esto, pueden realizar un servicio de Phishing con charla de concientización, e informar constantemente a sus colaboradores las buenas prácticas en materia de ciberseguridad.

Otros pasos a seguir en caso de ciberataque

Al respecto, Gonzalo Yañez, nuestro Gerente de Tecnología y Transformación de ESign, sugiere que “en primer lugar, en materia de seguridad en las empresas, se debe realizar un profundo diagnóstico de vulnerabilidades tanto a procesos, plataformas y prácticas. En base a esto, se deben identificar los riesgos críticos, medios y bajos, a partir de los cuales abordar soluciones de corto, mediano y largo plazo, diseñando un plan con una hoja de ruta dimensionada y contrastada con las necesidades de continuidad del negocio”.

“Para este plan se deberá determinar qué tipo de competencias requiere su equipo técnico y qué habilidades y conocimientos deberá tener toda la organización, así como las inversiones a evaluar. Los planes normalmente contendrán: mejoras tecnológicas y en plataformas, incorporación de componentes de seguridad, mejoras en los procesos y procedimientos y generación de una cultura de seguridad a todo nivel, reforzando que el riesgo más alto siempre está en las personas”, recalca nuestro Gerente de Innovación y Tecnología.

Para reforzar lo expuesto anteriormente, nuestro Gerente General, nos enumeró otros pasos a seguir en caso de un ciberataque y así minimizar el daño:

Contener la brecha: Si bien se puede tener la tentación de eliminar todo después de que se produzca una vulnerabilidad a los datos, se debe preservar la evidencia, la cual es fundamental para evaluar cómo ocurrió la brecha y quién fue el responsable. El primer paso que se debe tomar después de un ciberataque es determinar qué servidores se han visto comprometidos y contenerlos lo más rápido posible, para asegurarse de que otros servidores o dispositivos no se infecten también.
Deshabilitar el acceso remoto.
Mantener la configuración de su firewall.
Instalar las actualizaciones o parches de seguridad pendientes.
Cambiar contraseñas de manera inmediata: Es necesario crear contraseñas nuevas y seguras para cada cuenta y evitar reutilizar las mismas, así, si se vuelve a producir una violación de datos en el futuro, el daño puede ser limitado.
Evaluar el ciberataque o Vulnerabilidad: Si se es víctima de un ataque más amplio que ha afectado a varias empresas, siga las actualizaciones de fuentes confiables encargadas de monitorear la situación para asegurarse de que hacer a continuación. Averigüe si fue parte de un ataque más amplio o la única víctima.
También se deberá determinar la causa del ataque dentro de su instalación para que se pueda trabajar para ayudar a evitar que no vuelva a ocurrir el mismo tipo de ataque.

A continuación, nuestro gerente general señala que uno siempre se debe preguntar: “¿Quién tiene acceso a los servidores infectados? ¿Qué conexiones de red estaban activas cuando ocurrió la vulneración? ¿Cómo se inició el ataque? Es posible que se pueda identificar cómo se inició la vulneración al verificar los registros de datos de seguridad a través de su firewall o proveedores de correo electrónico, su programa antivirus o su Sistema de Detección de Intrusiones. Si tiene dificultades para determinar la fuente y el alcance de la infracción, considere contratar a un investigador forense calificado. Puede valer la pena la inversión para ayudar a protegerse en el futuro”, recalca.

Una violación de datos puede ser estresante, pero siempre que tome las medidas correctas, su empresa estará mejor preparada para recuperarse con éxito. En el futuro, realice controles de seguridad frecuentes para ayudar a reducir la probabilidad de que un incidente vuelva a ocurrir en el futuro.

Dado que no existe una fórmula para ser inmunes a los ataques en temas de seguridad cibernética, tanto empresas como usuarios individuales deben tener presente que ”los delincuentes informáticos se encuentran 24/7 realizando pruebas/laboratorios buscando la manera de vulnerar un sistema, una aplicación o plataforma. Éstas pueden ser seguras hoy, pero el día de mañana puede salir a la luz un ataque de ‘día cero’, que es un ataque nunca antes visto”, destaca nuestro experto Willians Rodríguez.

El mundo vive una nueva era: la de información y el conocimiento. Cada año se incorporan nuevos paradigmas y tecnologías disruptivas que cambian sustancialmente la forma de realizar las cosas, en especial, en una época en que el Covid-19 nos obliga a realizar decenas de transacciones sólo por Internet y dependemos cada vez más de las Tecnologías de la Información.

Como conclusión, las empresas en Chile y el mundo deben prepararse para tratar de reducir el porcentaje de éxito de estos ataques de “día cero”, siguiendo nuestros consejos sobre seguridad informática.

La entrada Útiles consejos de ESign para resguardar la ciberseguridad se publicó primero en ESign.

Cambios en la emisión de certificados SSL

ESign — Tue, 13 Oct 2020 20:47:36 +0000

El pasado mes de febrero Apple anunció que su navegador Safari ya no confiará en los Certificados SSL / TLS que cuenten con una validez de más de 398 días. El 11 de junio, Dean Coclin, presidente emérito del Foro CA / B ( Certificate authority/ Browser Forum), dio la noticia en Twitter de que Google seguirá el ejemplo de Apple para limitar los certificados de igual manera en la que lo hará Apple a partir de 1 de septiembre 2020.

Esta medida implica que a partir del 31 de agosto de 2020, Digicert, ESIGN LATAM y su e-commerce SSLfull, en calidad de Platinum Partner de Digicert no emitirán certificados SSL con vigencia de 2 o más años. Es importante comentar que aquellos certificados que han sido emitidos a más de un año antes del 31 de Agosto del 2020 serán respetados y esta nueva norma rige a partir de los certificados emitidos desde el 1 de Septiembre del 2020 en adelante.

El objetivo de esta acción es asegurar que los sitios web utilicen certificados actualizados y con los últimos estándares criptográficos, por lo que se disminuirá la cantidad de certificados antiguos o abandonados que pueden ser robados y reutilizados para ataques de phishing o malware.

ESign – Más de 15 Años Construyendo un Mundo de Confianza Digital

La entrada Cambios en la emisión de certificados SSL se publicó primero en ESign.