miércoles, 30 de agosto de 2017

Seguridad Digital en América Latina

Seguridad Digital en América Latina





Los beneficios del Internet de todas las Cosas son innegables, y es hacia donde se dirige la tecnología en el corto y largo plazo, podemos intercambiar información de forma inmediata, nos podemos conectar con todos nuestros dispositivos, no solo computadores, celulares y tabletas, ahora estamos hablando de cualquier cosa, como nuestros relojes y hasta zapatos o refrigeradores inteligentes.

Latinoamérica es uno de los principales consumidores de tecnología en el mundo, lo que nos hace uno de los principales objetivos de los hackers, hemos visto como los ataques de los cibercriminales son cada vez más sofisticados y cada vez más difíciles de identificar, estos ataques no solamente generan pérdidas multimillonarias, pero afecta la imagen de las identidades tanto privadas como públicas de forma devastadora.

Cuando hablamos de una conectividad de todas las cosas, también estamos hablando de que las puertas de acceso de los cibercriminales para acceder a nuestra información son cada vez mayores. Diariamente compartimentos información de forma digital de múltiples maneras; correos electrónicos, páginas web, conexiones a redes wi-fi, acceso a diferentes aplicaciones, pero ¿estamos compartiendo esta información de forma segura? ¿Estamos asegurando esas puertas de entrada de los hackers? En mucho de los casos las respuestas serán negativas, lo que muestra que tan vulnerables son las entidades en nuestra región.

En América latina la cultura se ha enfocado en reaccionar a los ciberataques, ha existido una cultura reactiva, esta cultura ha comenzado a cambiar y las empresas están implementando políticas proactivas las cuales se han enfocado en implementar soluciones de seguridad digital, así ahorrando millones de dólares que un ataque puede provocar en pérdidas.

Es por esto que Seguridad America está trabajando con el fin de continuar educando a las diferentes entidades de la región en métodos de seguridad digital que les permitan asegurar su información.

Algunas consideraciones sobre seguridad digital.

La necesidad de implementar medidas de seguridad digital para individuos u organizaciones toma relevancia a partir de entender que algunas de nuestras comunicaciones se realizan por medios digitales y en muchos casos el almacenamiento de información se hace en formatos y dispositivos electrónicos.

Así que para adoptar una serie de prácticas de seguridad digital comparto algunas consideraciones a tomar en cuenta.

¿La seguridad digital es un proceso o una cultura en la organización? 

Toda práctica de seguridad digital inevitablemente implicará un cambio en la manera de hacer las cosas día a día. Por lo tanto, es importante asumir que los cambios toman tiempo y requieren de perseverancia para lograrlo.

De tal manera que la implementación de procesos en una organización son un buen punto de partida para lograrlo. Sin embargo, todo proceso tiene un periodo de inicio y fin, que en algunas ocasiones y dependiendo de su puntual cumplimiento generan un hábito arraigado.
En contraste, una cultura firme sobre seguridad digital dentro de una organización, obliga que toda actividad o proyecto a realizarse en un futuro tenga un enfoque claro sobre medidas y acciones de protección en temas como seguridad de la información o el intercambio de comunicaciones de maneras adecuadas.

No todo es para todos 

En las acciones a tomar sobre seguridad digital hay muchas prácticas que se pueden poner en marcha, y herramientas que apoyan esas acciones, aquí una muestra con una breve descripción de uso y una herramienta para ponerlo en marcha.

Navegación segura




Navegar por internet y acceder a sitios seguros mitiga la posibilidad de hackeo de cuentas y servicios, el uso de servicios https hace posible esto.

¿Cómo pueden los usuarios saber si un sitio web cuenta con la seguridad necesaria?

Las operaciones más comunes son las de compras y pago, correo electrónico, transferencia de datos y el protocolo de inicio de sesión. Los usuarios necesitan saber que los datos están seguros y protegerlos contra el acceso no autorizado. Este es el gran dilema del universo llamado internet, especialmente antes de realizar alguna de estas operaciones en línea.

Estas son algunas de las recomendaciones más básicas que podemos ayudar en concientizar y aprender a trabajar y confiar en un sitio web seguro.

La barra de dirección en color verde si el sitio visitado es con el nombre de la empresa en verde, estamos frente un mayor nivel de control de seguridad, llamado Extended Validación. Es la forma más fácil de confiar en un sitio web y una manera muy visible de identificarlo.

Candado en la parte izquierda de la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber más sobre el tipo de certificado adjunto a una página web, haga clic en la pequeña cerradura y aparecerá una ventana emergente que proporciona información acerca de la compañía asociada con el sitio web.
Encontrará un sello de una entidad de certificación SSL, por lo general en la parte inferior de la página web. Las imágenes personalizadas están disponibles, pero la mayoría contienen un candado, “sello de seguridad”, y otros sellos indicando seguridad.

La dirección URL comienza con “https” para indicar que está conectado a través de un servidor seguro. Protocolo de transferencia de hipertexto (HTTP) es un sistema para la transmisión de datos en la web, y la “s” al final es el indicador de seguridad. HTTP era la norma antes de que los sitios web comenzaran a transmitir información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos como es el proceso de certificación para que puedan aprender que no todas las empresas califican para ser certificadas y esta acción solamente busca entregar más seguridad al usuario final.

¿Cómo es el proceso de certificación?
Independientemente del tipo de certificado que se compra, hay dos partes en el proceso de validación que va a suceder, en diversos grados, cada vez que se hace un pedido.
  • Validación de la empresa: Hay varias partes en el proceso de validación de su empresa. En primer lugar, se verifica que la empresa que solicita un certificado de buena reputación. Esto puede incluir la confirmación de la buena situación y la inscripción en los registros de activos corporativos, así como el fraude, phishing, y las entidades del gobierno limitado y bases de datos contra el terrorismo.
Además, se constata que la organización solicitante de un certificado es, de hecho, la organización a la que el título vaya a serlo. Esto es especialmente cierto con certificados SSL con Extended Validation (EV), Que requieren una serie de verificaciones de identidad amplia.
  • Validación de dominio: El objetivo de este proceso de validación de dominio es asegurarse de que la persona que solicita un certificado, de hecho, tienen la autoridad para solicitar un certificado para el dominio en cuestión.
La validación de dominio puede incluir correos electrónicos o llamadas de teléfono a la lista de contactos en un dominio de whois record, Así como mensajes de correo electrónico a los valores de las direcciones administrativas en el dominio. Por ejemplo, podríamos enviar un correo electrónico de autorización de administrator@domain.com o webmaster@domain.com, pero no tech@domain.com. En los casos en que se controla un dominio por una parte que no sea la parte que solicita un certificado, los métodos simples están en su lugar para completar rápidamente el proceso de obtener la aprobación para emitir un certificado del propietario del dominio.

Ventajas de certificación SSL.
  • Aumenta la seguridad de tu negocio ya que la información privada que vaya de un ordenador a otro se encuentra encriptada
  • Aumenta la confianza de tus clientes en ti, los certificados SSL hacen ver a la empresa que pueden depositar sin problemas de posibles robos sus datos ya que van a ser cifrados
  • Aumenta el número de ventas gracias a la confianza, a mayor confianza, mayor número de ventas; la repetición y el boca a boca de lo seguro que es te ayudarán a subir las cifras de ventas
  • Certificas la personalidad de tu empresa ya que demuestras que eres tú, hecho difícil ante el gran número de webs phishing que existen
  • Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno
  • Eliminas malware de tu web, ya que los certificados SSL escanean el sitio buscando programas dañinos
  • Aumenta el tráfico de tu web, porque sin virus la página se posiciona orgánicamente mejor en Google, consiguiendo más visitas sin pagar ni un solo peso
  • Evitas que los usuarios se vayan cuando van a comprar y tienen que introducir claves privadas, ya que está demostrado que las personas salen del sitio cuando tienen que poner datos privados si no están seguros de que va a haber seguridad
  • No da problemas con los navegadores, ya que funciona perfectamente con el 99 % de los navegadores
  • Conviertes Internet en una red más segura, porque la seguridad la formamos todos, y si tu web es insegura la incertidumbre entre los usuarios es mayor. Por el contrario, si hay más seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.
Correos seguros (Encriptación) 

Hoy en día con la necesidad de las empresas por reducir costos, fortalecer la confidencialidad y privacidad, incrementar la seguridad de cada uno de sus procesos internos y garantizar la interoperabilidad (habilidad de dos o más sistemas o componentes para intercambiar información y utilizar la información intercambiada) con socios y clientes a través del uso de medios electrónicos que permita no sólo agilizar los procesos, reducir los tiempos y evitar el uso de papel para mejorar los servicios y la gestión empresarial, sino también contar las garantías técnicas y jurídicas sobre los trámites hechos a través de medios electrónicos.

Todo esto es posible en la actualidad gracias a las tecnologías que han revolucionado la forma de firmar los documentos, un tipo de firma que se está imponiendo en los procesos comerciales y financieros, esto gracias a los certificados digitales, la “firma digital” transforma rápidamente los flujos de trabajo basados en papel en flujos de trabajo sin papel, permitiéndole a la empresa recuperar rápidamente la inversión gracias a la mejora de la eficiencia y a la reducción de costes, pero además contar con plenas garantías y bajar los riesgos asociados a las operaciones electrónicas.
La firma digital consiste en un conjunto de datos asociados a un mensaje o documento electrónico, que permite garantizar con total seguridad la identidad del firmante y la integridad del texto o mensaje enviado.

¿Qué es una firma digital?

Una firma digital no es otra cosa que adicionar una marca especial o trozo de código al correo electrónico, con la finalidad de que el archivo que enviamos sea validado como nuestro y de nadie más. De este modo, la persona que recibe el documento o correo electrónico puede estar segura, de que el documento o archivo ha sido enviado y creado por la persona que adiciona la firma digital.
Este archivo tiene dos partes, una privada y una publica, la parte privada solo está bajo el poder del titular, no se puede duplicar y está protegida por un pin que el titular únicamente conoce y la parte publica que se comparte con el resto de personas, es la parte que avala que este certificado te pertenece.
El certificado digital es por lo tanto un archivo que vincula la parte pública y parte privada y la solución que garantiza la seguridad en el uso de los certificados electrónicos es la criptografía asimétrica.

¿Cómo se genera la firma digital?
  • Se obtiene un resultado matemático único del documento (huella digital) compuesto por todos los caracteres del documento que se quiere firmar.
  • Se realiza el cifrado de la huella digital con la parte privada del certificado digital.
  • Finalmente se guarda el documento original, la huella digital cifrada con la parte privada y la parte pública del certificado.
¿Cómo estamos seguros que la firma digital que recibimos es auténtica?
Aquí nos estamos refiriendo al proceso de verificación.
  • Se descifra la huella digital cifrada usando la parte pública del certificado.
  • Se obtiene la huella digital del documento original.
  • Se compara las huellas digitales y si coincide la firma es correcta.
Ventajas de la firma digital
  • Elimina los riesgos de suplantación de identidad, alteración o adulteración de documentos, confidencialidad, rechazo o repudio sobre documentos previamente firmados
  • Potencia el desarrollo de negocio, a través de Internet para el envío de documentos firmados digitalmente, fundamentales para el comercio y gobierno electrónico sin papeles y jurídicamente seguro.
  • Ahorro de tiempo y costos, ya que podrán realizar muchas de las tareas de negocio de forma telemática sin moverse del lugar de operación.
La constante evaluación del riesgo y su mitigación
No importa qué tan bien preparado pueda estarse, nunca debemos dejar de prestar atención al contexto y a su constante cambio, es decir la continua evaluación del riesgo y de entorno nos permiten vislumbrar alternativas para mitigar posibles amenazas o daños.

Existen diversas maneras para realizar una evaluación de riesgos y la mayoría comienzan con una formula sencilla:

Riesgo= Amenaza * Vulnerabilidad / Capacidades

Es decir, nuestro nivel de riesgo a un ataque o daño está basado en el tipo de amenaza a la que podemos ser expuestos.
Esa amenaza se incrementa al existir vuln
erabilidades en la organización (que son en mayor parte por la falta de preparación) y lo anterior se “divide” o “reduce” basado en nuestra capacidad y preparación para responder o mitigar las afectaciones de la amenaza.

Con la “formula” se ejemplifica y se pone en práctica un ejercicio de evaluación al que se debe recurrir cada determinado tiempo, para así detectar y en su caso prevenir riesgos.
De todo lo anterior podemos obtener algunas líneas de acción para echar a andar prácticas de seguridad digital en nuestras actividades y organizaciones, recordando siempre que son procesos continuos y no deben ser abandonados o subestimados.

Como Seguridad America les recomendamos ser precavidos con este tipo de correos electrónicos, estos enlaces suelen ser engañosos y prácticas como pasar por encima de un menú sin que cambie el cursor, sin poder acceder a estos, puede ser un gran indicio de que se está simplemente frente a una imitación de la imagen de un sitio bancario y no tiene nada que ver con el sitio oficial.

El recomendamos acceder al sitio oficial a través de sitios seguros con HTTPS. Afortunadamente, en el transcurso del análisis, el sitio fue dado de baja en el servidor donde estaba alojado, por lo cual ya no afectará a más víctimas. Pero no queríamos pasarlo por alto, para que vean lo simple que es detectar una estafa a tiempo.

Si necesita de mayor información de cómo entregar seguridad adicional a sus correos o accesos a sus sistemas con firma digital pki, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono:(+56-2)2307-7330
Visitemos en: www.seguridadamerica.com





miércoles, 2 de agosto de 2017

Alan Turing, problemas indecidibles, y el malware



Alan Turing, problemas indecidibles, y el malware







En 2003, en la Universidad de Oxford el profesor Nick Bostrom plantea la siguiente pregunta:
"si una inteligencia artificial (IA) de una máquina se le da una sola tarea"
crear tantos clips de papel como sea posible, Si se piensa en ello, esta máquina IA puede decidir acabar con la raza humana. ¿Por qué?, ¿Debido a que?

1) los seres humanos pueden decidir apagarlo
2) los seres humanos están compuestos de átomos que se podrían utilizar para hacer más clips de papel.

Alan Turing pensó en tales desafíos tecnología de la información hace casi un siglo. En 1936, Turing argumentó que los seres humanos no pueden predecir si un ordenador (una “máquina de Turing”), incluso teniendo en cuenta el poder infinito de procesamiento, espacio de almacenamiento, y el tiempo, proporcionarán un sí definitivo o un no (dando un programa aleatorio y la entrada al azar). En otras palabras, no podemos saber si o cuando un equipo va a terminar su trabajo, o simplemente correr para siempre, el cálculo de quién sabe qué. La razón es que cualquier algoritmo puede hacerse a contradecirse. Por lo tanto, los seres humanos sólo tienen que esperar a un ordenador para proporcionar algún tipo de respuesta, y luego evaluar si se trata de lo que estaban buscando, y si el resultado parece razonable.

Con los años, se han producido variaciones interesantes sobre este tema. En 1983, el ganador del premio Turing Ken Thompson argumentó que un compilador podría insertar automáticamente una puerta trasera secreta en todos los programas que genera, y que nadie podía saber sobre él, porque cada “rastro de malicia” en el código fuente del compilador podría ser eliminado. Ken afirma, que no se puede confiar en código que no “totalmente” crea usted mismo - incluyendo el compilador.

Estas no son preguntas ociosas, filosóficas con ningún valor práctico. Para el análisis de código malicioso - o “malware” para abreviar - programas sencillos no suponen demasiado de un problema. Sin embargo, en el actual entorno de TI, no es simplemente demasiado “espacio ataque.” Los piratas informáticos se cuelan regularmente el malware en imágenes, anuncios, actualizaciones de software, la estenografía, y más dentro de los millones de líneas de código que pasan a través de la red todos los días. E incluso con acceso al código fuente, no es posible descubrir todas las vulnerabilidades y ataques posibles, de los desbordamientos de búfer a las técnicas de inyección SQL.
Por otra parte, tenemos que considerar el impacto del tiempo. Análisis de software no sólo es compleja, sino que también requiere mucho tiempo. En la era de Internet, la capacidad de atención del humano promedio ha bajado a 9 segundos. Considere una analogía de torneos de ajedrez, donde cada jugador tiene dos oponentes: la persona que se sienta encima de la mesa, y el reloj de ajedrez de relojería. El mundo de los negocios tiene el mismo problema: el tiempo es dinero, y hay que actuar con rapidez.
Usuarios, especialmente que trabajen en entornos empresariales, necesitan tener acceso a muchas aplicaciones, programas y archivos - algunos de los cuales son desconocidos y no de confianza. Los atacantes saben que la complejidad y la presión del tiempo son una combinación de dinamita. Como resultado, siempre hay algún código nuevo, para lo cual las soluciones antivirus o cualquier método de detección automatizada no puede entregar un veredicto fiable dentro de un marco de tiempo razonable. Con Alan Turing como testigo, tenemos una prueba científica de que su solución de seguridad dejará de detectar algunos de los programas maliciosos.

Entonces, ¿cuál es la mejor manera de mantener su red segura, y para mantener alta la productividad, teniendo en cuenta que algunas de las aplicaciones que necesita pueden tener una funcionalidad maliciosa? Comodo ha desarrollado solución más sofisticada de la industria. Nuestra tecnología de contención permite la ejecución de código no confiable dentro de un espacio en cuarentena, muy limitado en el que simplemente no se permite el comportamiento malicioso. El código desconocido y no es de confianza no puede dañar la infraestructura de ordenador o de TI. Comodo es la única compañía que ofrece un alto nivel de flexibilidad y facilidad de uso, donde los usuarios no ven ningún impacto adverso en sus operaciones, y sin embargo son 100% protegida contra los programas maliciosos.

Centro de operaciones de seguridad

Comodo cWatch SOC amplía la capacidad de su equipo interno de TI para proteger sus aplicaciones, sistemas y redes con soluciones de seguridad avanzadas que son fáciles de implementar y gestionar totalmente, no requieren grandes inversiones iniciales. Está diseñado para absorber el proceso de investigación de incidentes de seguridad de tiempo complejo, mientras descarga los altos costos de un personal interno de seguridad.

Nuestro SOC proporciona:

Investigaciones y análisis completos de amenazas
Informes de evaluación de amenazas para identificar riesgos
Invertir malware e ingeniería de aplicaciones sospechosas
Escaneos de cumplimiento y vulnerabilidad PCI

Descripción de SaaS

Comodo cWatch se desarrolló para contrarrestar el creciente número de incumplimientos de datos mediante la validación continua de la integridad de la red y del servidor a través de la detección cibernética basada en la nube y la detección de infracciones. Basado en un diseño modular, permite a las organizaciones combinar varios módulos, lo que les permite supervisar todos los aspectos de la red, incluidos los usuarios y dispositivos.
  • Seguimiento continuo por parte de los expertos en seguridad de COM de Comodo que poseen una profunda experiencia en el monitoreo y administración de la seguridad de las aplicaciones.
  • Monitoreo de eventos de seguridad en tiempo real
  • Manejo y respuesta de incidentes 24x7x365
  • Gestión experta de ajustes y configuraciones
  • Actualizaciones continuas de políticas y prevención
  • Gestión continua de firewall de aplicaciones web
  • Cumplimiento inmediato


El equipo Comodo C-Watch utiliza la tecnología más avanzada para detectar amenazas a sus servidores web y aplicaciones. El motor de análisis de C-Watch combina Big Data Analytics con técnicas de aprendizaje automático para producir inteligencia accionable de riesgos conocidos y desconocidos y está ajustado para detectar amenazas de día cero antes de que puedan afectar su sitio web.

  • Potente motor analítico de C-Watch capaz de analizar un gran número de eventos.
  • Gran análisis de datos para descubrir incidentes de seguridad.
  • Métodos estadísticos para la detección de anomalías.
  • Ampliamente escalable
  • Escalamiento automático de incidentes de seguridad válidos

La inteligencia de amenazas es una parte indispensable de todas las soluciones de seguridad de aplicaciones o redes, independientemente de los escenarios de implementación o uso. El equipo de Comodo C-Watch cuenta con analistas dedicados que crean, distribuyen y despliegan continuamente políticas para protegerse contra las nuevas amenazas

  • Investigación de amenazas nuevas y emergentes
  • Investigar las solicitudes malformadas del sitio web para identificar e implementar los cambios de política necesarios
  • Reunir, normalizar y clasificar los datos de inteligencia de amenaza de todo el mundo.



C-Watch es una parte del Centro de Operaciones de Seguridad de Comodo que está compuesto por expertos certificados de seguridad que se especializan en monitoreo de seguridad de aplicaciones y redes, proporciona:


  • Monitoreo continuo para la comprensión y la acción
  • Manejo y respuesta de incidentes durante todo el día
  • Experiencia humana necesaria para la gestión y supervisión de hardware o software relacionado con la seguridad
  • Análisis de registros para la identificación de amenazas
  • Investigación de amenazas y creación continua de contenidos
  • Recomendación para el mejor curso de acción

Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:

Mail:  ventas@SeguridadAmerica.com

Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com



lunes, 31 de julio de 2017

Google anuncia el apocalipsis para los Certificados SSL de Symantec

Google anuncia el apocalipsis para los Certificados SSL de Symantec



Google va a desconfiar de todos los certificados SSL de Symantec existentes comenzando con octubre del 2018, y Symantec tendrá que reconstruir toda su infraestructura de emisión de certificados de cero si quiere permanecer como (Autoridad certificadora) en el negocio CA.
Este es el fallo definitivo de una investigación tras las prácticas de emisión SSL de Symantec iniciadas por los ingenieros de Google y Mozilla.

Los investigadores descubrieron que el año pasado Symantec rompió reglas de la industria acordadas por el CA / B Forum, la autoridad que regula los procedimientos de expedición de los certificados SSL que se utilizan para apoyar el tráfico HTTPS cifrado.
Symantec castigado por emitir de forma errónea 30.000 certificados SSL
En marzo de 2017, Los ingenieros de Google y Mozilla encontraron que Symantec emitió de forma errónea 127 certificados SSL, pero a medida que la investigación avanzaba esta estimación inicial creció a una cifra enorme de más de 30.000 CERTIFICADOS.
El número sorprendió a expertos de la industria. Debido a que Symantec fue el más grande de la CA en el mercado, pocos se atrevían a reaccionar.
 El primero en mostrar su descontento con los procedimientos de emisión SSL de Symantec fue Google, que a los pocos días después del descubrimiento anunciado su intención de eliminar gradualmente el apoyo a los certificados de Symantec en Chrome.
Aunque Mozilla, Microsoft o Apple nunca hablaron del tema, que también estaban descontentos con la CA, permitieron a Google encabezar la investigación, que se prolongó durante meses.
Symantec negó y negó las acusaciones, llamando a los resultados "exagerados y engañosos." No obstante, la compañía se vio entre la espada y la pared, con el tiempo llegó a la mesa de negociación.

El resultado es complicado, Google puede decir que prohibió a Symantec, mientras Symantec puede continuar emitiendo certificados SSL bajo su nombre, pero con mucho control e innumerables procesos de validaciones a los clientes de forma reiteradas.
A continuación, se muestra un desglose de lo que sucederá en el transcurso de los próximos meses.
Fase Uno - Symantec se convierte en un SubCA
01 de diciembre 2017- Symantec se asociará con otra CA que emitirá certificados SSL en nombre de Symantec. Symantec va a ser efectiva, en términos técnicos, una autoridad de certificación subordinada (SubCA).
Este paso es crucial en la supervivencia de Symantec como autoridad de certificación válida porque permitirá la emisión de nuevos certificados SSL en un futuro próximo, manteniendo sus clientes con muchas validaciones reiteradas.
Google también está satisfecho de que Symantec se convierte en una SubCA debido a la CA que toma bajo su ala Symantec será responsable de la emisión de certificados SSL. Google y otros proveedores de navegadores esperan que, al descargar el proceso de emisión de SSL en la infraestructura de otra CA, se evitará que Symantec vuelva a romper las reglas y la emisión de certificados para los sitios de forma errónea.
Mientras tanto, Symantec no obstante ha comenzado a explorar la idea de vender su negocio de CA, Por lo que existe la posibilidad de que podemos ver el  paso de Symantec en la puesta del sol.
Los damnificados en un 100% son los clientes de Symantec, ellos pasaran por validaciones reiteradas y solo podrán mantener sus certificados si otra C.A los aprueba, es complicado ya que para que confiaremos en una C.A que ni siquiera la industria confía en sus validaciones, es entendible que quieran vender su negocio.
Fase 2 - desconfianza parcial de los CERTIFICADOS de Symantec en Chrome
La segunda etapa se iniciará cuando Google lanza Chrome 66 (estimado de abril de 2018). A partir de esta versión, Chrome mostrará errores de certificado SSL para todos los certificados emitidos por Symantec a partir del 1 junio 2016.
En el año 2018, la mayoría de estos certificados habría expirado, y esto es sólo una "prueba de la desconfianza" por lo que Google y Symantec pueden tener una idea de lo que ocurrirá durante la fase 3.
Fase 3 - desconfianza completa de los CERT de Symantec en Chrome
Con el lanzamiento de Chrome 70 (estimado de octubre de 2018), Chrome mostrará errores para todos los sitios web con certificados SSL de Symantec.
En esta fase es donde la mayoría de los certificados SSL de Symantec se extinguirán, similar a un apocalipsis SSL para Symantec, una empresa que, según estadísticas proporciona uno de cada seis certificados SSL desplegados actualmente en línea.
propietarios de sitios web y otros desarrolladores que utilizan certificados SSL de Symantec dentro de su aplicación, tendrán que llegar a Symantec para obtener un nuevo certificado SSL (emitida a través de la SubCA), o llegar a otro proveedor de CA por completo.
GeoTrust, Thawte certificados, y también afectaron RapidSSL
Google eliminará certificado SSL raíz de Symantec. Los certificados SSL son como los árboles gigantes con un sinnúmero de ramas, y todos convergen hasta el certificado raíz. Una vez que se elimina este certificado, todos los certificados adjuntos a esta raíz dejarán de funcionar también.
Google será el responsable de la eliminación del certificado raíz actual de Symantec, pero Google ha dejado la puerta abierta a Symantec para presentar un nuevo certificado raíz para su aprobación en el próximo futuro.
Además, debido a que Symantec compró otras CA como en GeoTrust, Thawte y RapidSSL, los certificados raíz de esas antiguas empresas se han añadido a la raíz Symantec. Los certificados emitidos bajo estas tres entidades emisoras van a sufrir el mismo destino que los certificados y usuarios nativos SSL de Symantec, tendrán que solicitar otras nuevas.
Hasta que Symantec renueve sus procedimientos de emisión SSL y con un sistema que sea más seguro y fiable, es muy poco probable que Google permitirá un nuevo certificado raíz de Symantec en Chrome. Mientras tanto, la opción SubCA permite a Symantec para seguir apoyando a su marca, incluso si el certificado raíz de otra persona.
El año pasado, Google ha decidido no confiar en los certificados de WoSign y StartCom en una decisión similar.
Lo que nos lleva a pensar que si Symantec no mejora sus prácticas podrá sufrir el mismo destino que estas empresas.


martes, 18 de julio de 2017

¿Venderá Symantec su negocio de certificados web? Los únicos damnificados son los clientes.

¿Venderá Symantec su negocio de certificados web? Los únicos damnificados son los clientes.







¿Cuál será el impacto para los clientes y socios, qué deberá hacer de cara al futuro?

Aunque por ahora no es más que un rumor, son muchas las fuentes fiables que se están haciendo eco de la noticia de que Symantec se está planteando vender su negocio de certificados web, tuvimos conocimiento a partir del artículo de Reuters publicado el 11 de julio de 2017. El rumor se ha visto avivado en gran medida por la lucha abierta entre Symantec y Google en relación con los certificados SSL emitidos de forma indebida. Uno de los titulares más fuertes es: Google castiga a Symantec por la emisión indebida de 30.000 certificados HTTPS.
Tan pronto como se detectó la existencia de estos certificados emitidos indebidamente, Google adoptó una serie de medidas extremas, incluyendo el rechazo y la retirada de la confianza de Chrome hacia los certificados de Symantec durante nueve meses. Symantec es una empresa del sector de los certificados SSL, y esta medida podría hacer que cientos de miles de sitios web y servidores careciesen de seguridad y confianza. Se trata de un problema nada pequeño, puesto que Symantec cuenta entre su cartera de clientes con grandes organizaciones del sector. Esta medida ocasionaría importantes trastornos para los clientes y el comercio en términos más amplios.

Las últimas noticias apuntan a que Google dejará de confiar en los certificados de Symantec a partir del 8 de agosto de 2017, para lo que quedan tan solo unas pocas semanas. Además, los efectos no se limitan a los clientes de Symantec, sino también se extienden a sus socios. Tras hacer una búsqueda rápida en el sitio web de Symantec, identifiqué 626 socios que ofrecen certificados SSL de Symantec como parte de sus actividades comerciales. Para algunos de estos socios, la venta de certificados SSL de Symantec es una parte muy sustancial de su negocio. Otro aspecto a tener en cuenta es que los clientes de estos mismos socios confían en ellos para dar respuesta a sus necesidades de tecnología, incluyendo la seguridad y los requisitos de SSL. Como socio de Symantec, no puede permitirse perder parte de su fuente de ingresos o su cartera de clientes.

A la luz de los rumores de venta, ¿qué deben hacer los clientes y socios para proteger los negocios de sus clientes? DATO: Si sus certificados Symantec han dejado de gozar de confianza, su negocio se verá afectado... ¡PUNTO! ¿Debería estar preocupado? ¡DESDE LUEGO QUE SÍ! Pero si reacciona rápidamente y adopta una serie de pasos sencillos, podrá garantizar la seguridad, la continuidad empresarial y la experiencia positiva de sus clientes.

¿Qué puede hacer ahora?

Ya sea un cliente o un socio de Symantec, debía comenzar a explorar otros proveedores de SSL YA y MIGRAR a un nuevo proveedor de SSL tan pronto como sea posible. Por supuesto, yo recomiendo GlobalSign que es la única certificadora que mantiene en Latino America el mismo o mejor nivel de clientes que la devaluada Symantec y por la siguiente razón:

1)    Servicio, Asistencia, Plataforma  

Destacamos las características, ventajas, el servicio y la asistencia, la gestión integral del ciclo de vida, la confianza y compatibilidad. En lo que se refiere a los certificados SSL, los aspectos básicos son prácticamente los mismos. La diferencia real radica en la plataforma, los servicios, el tipo (DV, OV, EV) y el personal de asistencia disponible para emitir, gestionar y garantizar que no se generan periodos de inactividad.
También deberá buscar una Autoridad de Certificación (CA) de confianza. GlobalSign es una CA pública desde 1996 auditada por WebTrust que ofrece un servicio totalmente integral. Además de satisfacer todas las necesidades de SSL, su sofisticada plataforma de PKI gestionada emite certificados para la autenticación de usuarios y máquinas, así como dispositivos móviles, firmas digitales de documentos, firma de código, firmas digitales y cifrado para correos electrónicos S/MIME. GlobalSign es un miembro activo del Foro de Navegadores y Autoridades de Certificación y del Consejo de Seguridad de Autoridades de Certificación. Más de 25 millones de certificados confían en nuestra raíz, lo que nos convierte en una CA totalmente fiable para nuestros clientes.

2) La migración de sus certificados SSL a GlobalSign es un proceso sencillo y rentable.

Simplificamos la seguridad SSL para usted desde el primer momento. Nuestra plataforma de PKI ofrece una gestión completa del ciclo de vida de sus certificados, incluida la reemisión y revocación.  La administración delegada de usuarios y potentes funciones de notificación y auditoría. Todos los dominios incluidos en la plataforma de certificados gestionada de GlobalSign se someten a una inspección previa para permitir la emisión inmediata de certificados tan pronto como sean solicitados. También podrá usar software cliente ACME para automatizar la provisión e instalación de certificados SSL. Nuestra implantación de ACME es compatible con los certificados OV y EV de la máxima seguridad y con periodos de validez flexibles.

GlobalSign es la única CA que ofrece herramientas de gestión de SSL gratuitas, como nuestra Herramienta de inventario de certificados, que le ayudará a localizar todos sus certificados. Desde luego, resultará muy útil localizar y sustituir fácilmente todos sus certificados SSL de Symantec. Como parte de nuestro servicio, ofrecemos SSL Server Test (prueba de servidor SSL), que ayuda a configurar los servidores correctamente y detectar posibles debilidades y vulnerabilidades. Gracias a ello, tendrá la certeza de que todos sus certificados se instalen y configuren correctamente desde el primer momento.
Así mismo, ofrecemos condiciones comerciales flexibles que se adaptan a las organizaciones de cualquier tamaño y estructura, la cual incluyen planes de emisión ilimitada, opciones de prepago y depósitos. Todos los certificados SSL incorporan licencias de servidor ilimitadas, que le facilitan la instalación en tantos dispositivos como necesite. Además, nuestro servicio y asistencia en idioma local en todo el mundo nos permite atender a las organizaciones a escala mundial.
El tiempo de validez restante en su certificado se añadirá a su nuevo certificado de GlobalSign y además disfrutará de 30 días de validez adicionales, hasta un máximo de 27 meses.

3) ¿Cuáles son los pasos necesarios para migrar a GlobalSign?

Contacte a los expertos asesores de Seguridad America GlobalSign, explica la migración en cuatro sencillos pasos.  Es el momento de pasar a la acción y GlobalSign puede ayudarle en este proceso. Póngase en contacto con nosotros hoy mismo y reciba la asistencia de uno de nuestros expertos en certificados SSL.

Para terminar, informo que Seguridad América lleva más de 5 años como líder en seguridad SSL con más del 58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web.

Si necesita de más información, de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad América o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com



Populares