Archivos de la categoría Seguridad

Seguridad, protege tu ordenador, proteger datos, protección

Ley de cookies en Prestashop

Me parece increíble el desconocimiento que aún existe en lo referente a este tema, y la cantidad de abusos que se comenten con el mismo. Así que voy a hacer un breve resumen para que se entienda bien el problema y la solución al mismo. La explicación vale para todas las webs, aunque los ejemplos de módulos son específicos para tiendas online Prestashop.

– La “ley de cookies”, como la conocemos todos, pide a los responsables de las webs alojadas en países donde la dicha ley exista que informe sobre el uso de cookies de dicha web, y que solicite el consentimiento para usarlas. España es uno de esos países, así que toca cumplirla a todos.

– Los simples módulos que ponen un cartelito avisando de la web cumplen la primera parte de la ley, es decir, avisan del uso de cookies (al menos esta parte la cumplen bien cada vez más webs). Normalmente se acepta que el usuario da consentimiento si sigue navegando o si pulsa un botón tipo “acepto el uso de cookies”.

– Dichos módulos NO IMPIDEN LA INSTALACIÓN DE DICHAS COOKIES antes de recibir el consentimiento. La única cookie que la ley permite en Prestashop es la “cookie técnica” que el sistema usa para guardar los datos de sesión del usuario. El resto de cookies típicas, como las de google analytics, scripts de chats, de botoneras para compartir en redes sociales, etc, NO ESTÁN PERMITIDAS HASTA QUE EL USUARIO CONSIENTA SU USO. Y no creas que vas a librarte porque la cookie sea de un tercero. La ley dice claramente que las cookies de terceros son responsabilidad de la web que las ofrece.

– El único MÓDULO CERTIFICADO POR PRESTASHOP, que impide la carga de cookies antes de tiempo porque permite seleccionar qué módulos bloquear hasta obtener el consentimiento es el que hemos desarrollado en Lineagrafica. Somos Agencia Web Prestashop, la única en España con certificación Platinum, y de módulos para prestashop creo que entendemos algo. Y no vendemos nuestro módulo fuera de la PrestaStore o de nuestra web.

Disculpad si os ofende un poco el tono del post u os parece algo altanero, pero motivos me sobran. No paro de recibir quejas de clientes a los que estafaron vendiendo módulos que no les permiten cumplir la ley al 100%, otros que ya vienen con una multa (si, una multa) por no cumplir la dichosa ley de cookies. Y personalmente me ofende cuando leo post muy bonitos donde dice que instalando un módulo gratuito se cumple con la ley, cuando es mentira. Intentemos informar bien a las personas, no inducirlas a errores que pueden salirles caros.

No escribo esto para vender módulos, el nuestro es top ventas para el problema de las cookies desde que lo lanzamos y hemos vendido ya unos cuantos cientos. Incluso hemos detectados copias ilegales y no hemos denunciado las tiendas que los usan (allá cada cual con lo que hace). Ni siquiera voy a poner los enlaces al módulo. Pero al menos espero que los que lo leáis, uséis Prestashop o no, tengáis claro que no basta con avisar de que usas Cookies. Tienes que bloquear las que no sean técnicas hasta que el usuario de su consentimiento. Si no lo haces, incumples la ley y corres el riesgo de llevarte una multa. Y os garantizo que en España eso de denunciar a la competencia para hacer daño se hace y mucho.

Espero que al menos quien lea el post tenga claro qué implica la famosa ley de cookies y cómo cumplirla. Y si no sabéis cómo mirar qué cookies carga vuestra web, usad firebug con firefox o edit this cookie con chrome. Con esos addons veis las cookies con 1 click.

Prevención de compras fraudulentas en Tiendas Virtuales con tarjetas robadas

Uno de los principales problemas con los que puede encontrarse una tienda virtual es con las compras realizadas por medio de tarjetas de crédito robadas. Si tenemos un tpv securizado el problema es del banco, ya que ellos son los que correrán con los gastos. El problema es que todavía hay muchos usuarios que no saben comprar usando un tpv securizado (el tpv te manda a la web de tu banco, debes identificarte en ella, poner las coordenadas de seguridad, volver al tpv, etc). Además la compra con tpv securizado es muy lenta en comparación con la compra por tpv no securizado (pones los 16 número de la tarjeta, la fecha de caducidad, el código de seguridad CVV que está detrás de la tarjeta y listo).

tpv virtual

No podemos detectar directamente si la tarjeta usada es robada o no, pero sí que podemos tomar una serie de medidas que nos ayudarán a prevenir dichas compras.

1- Revisa si existen diversas cuentas de usuario con la misma contraseña.

Es muy común que las compras con tarjetas robadas sean sistemáticas. Hay muchas tarjetas que probar y lo normal es no hacer más de una compra con la misma cuenta. Normalmente los delincuentes ponen la misma clave a sus cuentas. También tendrán siempre un correo web (hotmail, gmail, walla, etc) para mantener en lo posible su anonimato.

2- Guarda las direcciones IP con las que se realizan la compra.

Suelen operar conectando a internet por medio de una conexión móvil, y las IPs o son iguales o están siempre dentro del mismo rango (dependiendo del operador con el que contraten).

3- Guarda los intentos de compra.

Este es quizás el medio más útil para prevenir compras fraudulentas. Normalmente para realizar una compra online con una tarjeta de crédito robada tienes que probar con varias de ellas hasta que una te funciona. Así que si detectas un pedido que ha realizado más de 2 intentos de compra en el tpv antes de completarse deberías verificarlo manualmente antes de enviar nada.

Hay más técnicas para detectar el fraude que podemos poner en práctica, pero tampoco es cuestión de desvelarlas todas y dar esa información “a los malos”. Aunque siempre cabe la posibilidad de que realicen alguna compra fraudulenta, siguiendo estos sencillos consejos lograréis reducir significativamente su número. Personalmente prefiero un tpv no securizado y asumir un posible % de compras fraudulentas que tener un tpv securizado y perder ventas por no saber el usuario cómo completar la compra. ¿Qué opinais vosotros?.

Falsos Antivirus

No es nuevo, pero últimamente proliferan como chinches. Se trata de los falsos antivirus.

falsos antivirus

Haciéndose pasar por los originales, y mediante técnicas de ingeniería social, los cyberdelincuentes logran que te los instales en tu ordenador. Al escanear encuentran virus que no existen y te piden el pago de una licencia. Lo gracioso es que, además de sacarte el dinero, ya han cogido tus datos bancarios. Infectando más de un millón de ordenadores al día la amenaza ya es más que seria. Cuidado con lo que instaláis.

Proteger nuestro ordenador: buenas prácticas.

En este último post dedicado a la seguridad básica en nuestros ordenadores vamos a elaborar una pequeña guía sobre buenas prácticas a la hora de utilizar nuestros equipos informáticos. Vamos a presuponer que tenemos instalado antivirus, firewall, controlador del registro y software de backups y tenemos bien configurado el sistema operativo (S.O.).

buenas practicas

1- Controlar el email que recibimos.

El email es uno de los principales focos de contagio de virus informáticos. Asegúrate de que todos los archivos adjuntos se escanean. Y si no confías en el email que te ha llegado, no pulses los enlaces que te mandan, pueden llevarte a webs peligrosas para la seguridad de tu ordenador.

2- Controlar los programas P2P.

El emule, Ares y similares son fuente constante de problemas de seguridad. Cuando nos descargamos un fichero no conocemos su contenido, así que haremos bien en escanear cada archivo que descarguemos. Si puedes, programa tu antivirus para que lo haga automáticamente por tí, y que controle todos los archivos que entren en la carpeta de descarga. Y el firewall que filtre bien las conexiones de tus “amigos” P2P.

3- Cuidado con las “vacunas”.

Mucho cuidado con los Keygen y cracks que se descargan, muchos tienen un regalito incorporado (sobre todo troyanos y gusanos), y se puede caer fácilmente en este tipo de trampa. Consultad a conocidos y en foros antes de descargaros este material potencialmente tan peligroso.

4- No aceptarlo todo al instalar.

Ni al instalar, ni al registrarse en algún formulario del tipo que sea. Hay que leer, y leer con atención lo que se pone. Y controlar que si el registro se modifica que sea porque nosotros lo permitimos. Y no instalar por instalar, tened sólo lo que necesitáis, ahorraréis recursos y el ordenador irá más deprisa.

5- Controla el tráfico y los recursos de tu ordenador.

De vez en cuando mira el tráfico con el firewall (si te lo permite, si no tendrás que descargarte software apropiado para ello) y la gestión de recursos de tu máquina. Es posible que existan procesos que no deberían estar y que algunos consuman más recursos de los que deberían.

6- Realiza un escaneo con el antivirus de tu equipo completo regularmente.

Esto no lo hace casi nadie, y es más que recomendable. Al menos una vez por semana, o cada 15 días (según configures tu política de backups para no pillarte los dedos). Los antivirus siempre actualizados y haciendo que trabajen.

7- Contraseñas adecuadas.

Mezclad letras con números, mayúsculas y minúsculas, y con un mínimo de longitud. Ni fechas conocidas, ni nombres conocidos, ni nada relacionado con vosotros. La ingeniería social es más poderosa de lo que nos pensamos.

8- Gestión adecuada de usuarios.

En este apartado me encanta Linux. Si el ordenador es compartido, o no vamos a realizar tareas de instalación o manteniemiento, usemos un usuario con permisos limitados. Nos ahorrará más de un disgusto. Y bloquead el equipo cuando no estéis delante…

Si a alguien se le ocurre alguna otra práctica que no dude en ponerla en los comentarios.

Espero que esta serie de post sobre seguridad básica os hayan sido útiles. Más adelante realizaré otra serie de post sobre seguridad media en nuestros ordenadores.

Proteger nuestro ordenador: los backups.

Los backups o copias de seguridad son las copias que realizamos a nuestros datos para poder recuperarlos en caso de necesitarlo. Se pueden hacer en diferentes formatos, dependiendo de gusto de cada uno. Generalmente los backups se realizan de los datos de nuestro ordenador (documentos, bases de datos, ficheros de proyectos, etc) y no de los programas con los que generamos esos datos. Además los datos comprimidos ocupan relativamente poco espacio, así que el almacenamiento no suele suponer un problema.

backup

Para aquellos que no quieran reinstalar programas en caso de tener que formatear nuestros ordenadores, pueden optar por realizar una imagen de su disco duro. Una imagen es una copia exacta del disco duro de nuestro ordenador, incluyendo sistema operativo, software instalado, datos y configuraciones. Nos permite restaurar un ordenador y dejarlo exactamente como estaba en el momento en que realizamos la imagen.

La gestión de copias de seguridad es muy variada (incremental, diferencial, etc) y podemos programarlas como nos apetezca. Os cuento cómo tengo yo configurada la política de seguridad de mi ordenador de trabajo (la de mis servidores web es mucho más potente, lógicamente).

1- Copia de seguridad diaria incremental de datos (documentos, trabajo desarrollado) en un disco duro externo (se guardan 1 semana)

2- Copia de seguridad semanal completa de datos (documentos, trabajo desarrollado) en un disco duro externo (se guardan 1 mes).

3- Imagen del disco duro del ordenador mensual en un disco duro externo (se guardan 2 meses).

4- Copia de datos en DVD una vez cada 2 meses aproximadamente.

Para las copias de seguridad utilizo Cobian Backup y para las imágenes del disco duro Norton Ghost.

En el siguiente post completaremos la serie dedicada a seguridad básica haciendo un pequeño manual de buenas prácticas en el uso del pc.

Proteger nuestro ordenador: el registro.

Controlar el registro de nuestro sistema operativo (S.O.) es básico para mantener nuestros ordenadores protegidos. No digo que tengamos que comprender todo lo que hay en el registro (eso nos llevaría demasiado tiempo y esfuerzo), pero sí que debemos tener controlado aquello que se guarda en el registro y si lo hemos autorizado o no.

spybot search and destroy

Lo mejor para estos casos es instalarnos un software que nos permita controlar en tiempo real los intentos de modificación del registro, así como sacar copias del mismo por si alguna vez tenemos que restaurarlo. Para Windows, el que siempre he usado es SpyBot, que además permite limpiar de Spyware y demás bichitos molestos nuestro ordenador, y proporciona protección en tiempo real frente a intrusiones en el registro. Cuando se intente modificar cualquier dato del registro, por ejemplo instalando un programa, SpyBot nos preguntará si queremos permitirlo o no, y podremos elegir y elaborar una lista con los permitidos y los denegados.

Personalmente lo considero también un tipo de protección básica, aunque hay gente que piensa que no es tan importante como para prestarle tanta atención. El día que se les cuele algo realmente molesto en el registro, se acordarán mucho de no haberlo controlado en su momento.

En el siguiente post hablaremos de los backups como medida de seguridad.

Proteger nuestro ordenador: el firewall

El firewall o cortafuegos es un elemento (de software o hardware) que controla las comunicaciones en una red. Para nosotros, usuarios de a pie que usamos el PC desde casa, un firewall o cortafuegos es un programa que filtra el tráfico que entra y sale de nuestro ordenador. Un firewall nos va a permitir establecer reglas (políticas) para controlar dicho tráfico, como por ejemplo decidir qué programas pueden establecer conexiones externas a nuestro ordenador, qué puertos pueden o no conectarse, etc.

firewall

Al igual que en los antivirus, existen cortafuegos (hablamos de software) gratuitos y de pago, con mayores o menores prestaciones. Lo que yo le pido a un cortafuegos es que cumpla los siguientes requisitos (obtenidos de la web de panda security):

1- Diferentes niveles de protección según la red a la que nos conectemos.

2- Protección eficaz con redes inalámbricas (wifi).

3- Control de programas y puertos que tienen acceso a la red.

4- Protección contra intrusos.

5- Bloqueos de conexiones.

6- Definición de reglas de uso.

Me acuerdo cuando Windows introdujo el firewall como update de XP, algo que le hacía falta desde hacía tiempo. De todas formas el firewall de XP deja bastante que desear, pero mejor ese que ninguno. Aunque un cortafuegos no garantiza ni mucho menos una protección total proporciona otra barrera de seguridad básica para nuestros ordenadores.

En el siguiente post hablaré del control del registro del S.O.

Proteger nuestro ordenador: el antivirus

El antivirus se ha convertido en parte fundamental de nuestro ordenador. Es la herramienta básica de protección frente a los virus informáticos que acechan constantemente nuestro PC. Los tenemos gratuitos y de pago, con mayores y menores prestaciones, para todos los gustos.

Para mí un buen antivirus debe cumplir los siguientes requisitos:

1- Bajo consumo de recursos de nuestro ordenador.

No es agradable ver cómo tu ordenador se resiente por tener el antivirus activo. Algunos antivirus consumen tantos recursos que la velocidad de trabajo desciende sensiblemente. No por estar protegido tengo que dejar de ser productivo. Es un factor más importante de lo que pueda parecer a simple vista.

2- Actualizaciones constantes.

El antivirus hay que actualizarlo a diario. Conviene tener un antivirus que disponga de un equipo de desarrollo competente, que actualize lo más rápido posible y que nos mantenga actualizados con la máxima rapidez posible. En este aspecto casi todos los antivirus conocidos tienen un rendimiento más que aceptable.

3- Facilidad de uso y configuración.

Que el antivirus se integre en el menú contextual, que se puedan configurar los escaneos y los tipos de ficheros a vigilar y que su usabilidad sea alta. No queremos que usar el antivirus se convierta en una tarea tediosa, tiene que ser algo sencillo e intuitivo.

4- Prestaciones.

Que tenga protección residente, que controle los emails, transferencias de archivos, descargas, navegación web, buena heurística, etc. Me gusta que el antivirus se ocupe automáticamente de chequear todos esos movimientos de información por mí, y no tener que indicárselo manualmente en cada uno de ellos.

Hoy día existen en el mercado muchas soluciones de antivirus válidas y eficaces. Personalmente desde hace algún tiempo utilizo avast, pesa poco, está muy automatizado y de momento me está dando muy buen resultado. Y es gratis para uso doméstico.

En el siguiente post hablaremos sobre los cortafuegos o firewalls.

imagen: thaslayer.com

Proteger nuestro ordenador: el S.O.

A raíz de un post en el foro de oscommerce, donde un forero nos comentaba los problemas que había tenido porque su ordenador tenía virus, me ha surgido la idea de crear una serie de post sobre seguridad básica en nuestros ordenadores. No pretendo escribir un gran manual de seguridad, simplemente dar un poco de orientación a los que nunca se han preocupado de la seguridad de sus ordenadores.

En este primer post vamos a hablar sobre el sistema operativo (S.O.) de nuestros ordenadores. La mayoría de nosotros utilizamos Windows para nuestras tareas diarias, aunque lo que voy a comentaros puede aplicarse también a otros S.O.

1- Configuración correcta del S.O.

Una configuración correcta de nuestro S.O. nos ahorrará muchos sustos. Por defecto cuando instalamos un S.O. viene configurado de forma muy genérica, intentando que la mayoría de usuarios puedan usarlo sin tener que modificarlo.

Un ejemplo claro de mala configuración es la famosa recuperación de XP. Por defecto, XP va creando puntos de restauración para poder volver atrás en la configuración de nuestro equipo. Eso está muy bien, pero lo que muchos ignoran es que hay muchos virus que también quedan guardados en esos puntos de restauración, y que podrían volver a infectarnos si usamos la restauración aunque previamente hubiésemos limpiado el ordenador de dicho virus.

En internet encontraréis cientos de consejos para configurar vuestro S.O. y que sea más seguro.

2- Actualización frecuente del S.O.

Constantemente surgen nuevas vulnerabilidades en los S.O., es algo inevitable. Por eso es importante tenerlo constantemente actualizado con los parches y actualizaciones que vayan surgiendo. Y muy importante, cuando instalamos un S.O. lo primero que debemos hacer es instalarle todas las actualizaciones de seguridad que se encuentren disponibles.

Yo personalmente programos las actualizaciones para que se instalen antes de apagar el ordenador, así me ahorro tener que estar pendiente de esta tarea.

En el siguiente post hablaremos sobre los antivirus como herramienta de protección para nuestros ordenadores.

imagen: Tecnogeek 1.0