Blogs

      • Un nuevo capítulo: DigiCert adquirirá Website Security y las soluciones de PKI relacionadas de Symantec

        Mar 29 2018, 8:56 PM

        por Roxane Divol 0

        Hoy, Symantec anunció un acuerdo según el cual DigiCert adquirirá Website Security y las soluciones de PKI relacionadas. En un momento en que es absolutamente crítico que las empresas estén protegidas ante las avanzadas amenazas a la seguridad cibernética que se infiltran en la web, a través de esta adquisición los clientes se beneficiarán de una compañía que está exclusivamente enfocada en ofrecerles las soluciones de identidad y encriptado líderes que ellos necesitan.

        DigiCert es un proveedor líder de soluciones escalables de identidad y encriptado para empresas. La compañía se encuentra en rápido crecimiento y actualmente tiene una gran cantidad de clientes corporativos de alto perfil y clientes de IoT. DigiCert goza de una reputación sólida y gran lealtad por parte de los clientes, y se concentra en ofrecer un servicio de soporte al cliente líder en la industria, soluciones de mercado innovadoras y una contribución significativa en la mejora de las prácticas recomendadas de la industria. DigiCert ha ganado varios premios por sus estrategias de innovación y crecimiento, y este verano Computerworld la seleccionó como uno de los 100 mejores lugares para trabajar en TI.

        La adición de Website Security y soluciones de PKI relacionadas de Symantec a la cartera de servicios ofrecidos por DigiCert le ofrecerá a usted una plataforma tecnológica mejorada, soporte incomparable e innovaciones líderes en el mercado. DigiCert contará con un talento y experiencia increíbles para dirigir la próxima generación de seguridad global de sitios web y ganará la capacidad de aprovechar oportunidades de crecimiento en IoT y sumar nuevos enfoques al mercado de SSL.

        Symantec Website Security y DigiCert comparten un compromiso sólido con la atención al cliente, y una de nuestras principales prioridades es proporcionarle continuidad a usted y su empresa. Una vez que se complete la transacción, trabajaremos para hacer la transición a una plataforma nueva que cumpla con todos los estándares de la industria y requisitos de navegadores y proporcione los cimientos para innovaciones futuras en el espacio de la CA.

        Confiamos en que este acuerdo cubrirá las necesidades de la comunidad de navegadores. DigiCert está comunicando este acuerdo y sus intenciones a la comunidad de navegadores y continuará trabajando estrechamente con ellos durante el período previo al cierre de la transacción. DigiCert aprecia y comparte el compromiso de los navegadores de generar confianza en los certificados digitales y proteger a todos los usuarios.

        Por último, pero no por eso menos importante, quisiera agradecerles personalmente a todos y cada uno de los empleados del equipo de Website Security, quienes han trabajado con gran esfuerzo y dedicación. Nos sentimos muy entusiasmados acerca de las oportunidades que tenemos por delante y estamos profundamente comprometidos con el éxito de esta transición para el negocio de Website Security, sus empleados y nuestros clientes.

        Saludos cordiales.

        Roxane Divol

        Vicepresidente Ejecutiva y Gerente General de Symantec Website Security 

        • Products
        • DigiCert Code Signing
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
      • Para los que hemos crecido en el mundo de la informática, no hay nada que nos dé más terror que sean los propios usuarios y líneas de negocio los que elijan y expandan su propia infraestructura informática.  A esta tendencia la hemos denominado "informática oscura" porque es un tipo de tecnología que se utiliza de forma oculta, sin el conocimiento del departamento informático.

        Por el contrario, para el usuario o la línea de negocio se trata simplemente de innovar. Los departamentos informáticos siempre rehuyen de los cambios, pues prefieren minimizar riesgos. En nuestro caso, aportamos tecnologías de antivirus y prevención de intrusiones para reducir los riesgos. Esta actitud de prevenir problemas a toda costa nos hace parecer pesados e irrelevantes para la empresa, de ahí que a menudo los usuarios elijan esquivar el proceso establecido para los asuntos informáticos.

        Lo cierto es que los usuarios cada vez se desplazan más, y no tienen ningún problema en trasladar los datos corporativos y almacenarlos en distintos dispositivos móviles o aplicaciones de almacenamiento en la nube, en aras de la innovación y aumento de la productividad.  Los que entendemos de informática sabemos que existe una forma de combinar estas prácticas y de proteger la empresa sin imponer políticas y procesos ineficientes.

        Symantec ha lanzado una nueva solución, el Identity: Access Manager, que le ayudará a unificar estas diferencias y permitirá que los usuarios y la empresa adopten unas prácticas laborales flexibles que promuevan la innovación mediante la movilidad, los sistemas con base en la nube y la infraestructura. Symantec™ Identity: Access Manager es una plataforma de control de acceso de última generación que ofrece a los usuarios y a los administradores el control, flexibilidad y cumplimiento necesarios para las aplicaciones con base en la nube.

        Access Manager empieza utilizando las herramientas "Symantec Validation and ID Protection (VIP)" y "Symantec Managed PKI" para proporcionar un acceso único a la cuenta y una autenticación sólida para los dispositivos móviles. Con Access Manager, los usuarios podrán iniciar sesión en su cuenta mediante contraseña, PIN o incluso huella digital, y acceder de forma segura a todas sus aplicaciones e información con base en la nube a la vez. La supresión de las malas prácticas relacionadas con las contraseñas garantiza una mayor seguridad en el uso de los dispositivos móviles y proporciona a sus usuarios un acceso rápido y fácil a los recursos que necesitan.

        Por otra parte, Access Manager proporciona conectores flexibles fáciles de utilizar y una identidad unificada y control de acceso según el contexto para cualquier aplicación o servicio con base en la nube, lo cual significa que podrá hacer cumplir sus políticas en materia de seguridad y requisitos legales, realizar registros de sus actividades para garantizar el cumplimiento y convertir esas oscuras aplicaciones en herramientas legítimas de productividad.

        Access Manager proporciona la máxima flexibilidad y potencia. Podrá elegir entre una implementación en las instalaciones o en la nube según las necesidades de su organización. Access Manager se integra fácilmente con su infraestructura actual, lo cual reduce la complejidad mediante la provisión de un único punto central desde el que gestionar todos los directorios de sus diferentes usuarios.

        En resumidas cuentas, estas son las 5 razones fundamentales para probar Symantec Identity: Access Manager:

        • Garantiza el control, flexibilidad y cumplimiento que requieren las aplicaciones en la nube tanto públicas como privadas
        • Mejora la seguridad gracias a una sólida autenticación y a un control de acceso según el contexto o la identidad
        • Homogeneiza las auditorías de cumplimiento gracias a la consolidación de los registros de acceso para los usuarios y aplicaciones protegidas
        • Aumenta la productividad de los usuarios con un acceso único de cuenta: con una sola contraseña podrá acceder a todas las aplicaciones

        Ofrece opciones flexibles de implementación, pudiendo elegir entre los servicios en las instalaciones o los alojados

        Si desea obtener más información, visite nuestra página de inicio

        • cloud security
        • Security Community Blog
        • User Authentication
        • Web Gateway
        • Products
        • Symantec Enterprise Security
        • Thought Leadership
        • Identity Access Manager
        • Device Certificate Service
        • Identity and Authentication Services
        • Digital IDs for Secure Email
        • Data Loss Prevention
        • VIP (Validation ID Protection)
        • Web Security.cloud
        • Managed PKI for SSL
      • Información sobre la vulnerabilidad POODLE (o POODLEbleed) del protocolo SSL 3.0

        Mar 29 2018, 8:27 PM

        por Brook Chelmo 1

        SSLv3_poodle-300px.png

        Se ha detectado una vulnerabilidad que afecta al protocolo criptográfico Secure Sockets Layer 3.0 (SSLv3) y que podría utilizarse para interceptar los datos transmitidos de un equipo a un servidor o viceversa, que en principio deberían estar cifrados. Tres investigadores de seguridad de Google dieron recientemente con el problema, al que denominaron Padding Oracle On Downgraded Legacy Encryption (POODLE) y asignaron el identificador CVE-2014-3566.

        Es importante recalcar que se trata de una vulnerabilidad del protocolo SSLv3, no de un defecto de los certificados SSL, de su diseño ni de sus claves privadas. Los certificados no presentan problema alguno y, aunque se utilicen para proteger servidores compatibles con el protocolo SSL 3.0, no es necesario sustituirlos.

        Según parece, la vulnerabilidad no es tan grave como Heartbleed (que afectaba a OpenSSL), ya que, para explotarla, el atacante debe tener un rol privilegiado en la red. No obstante, el riesgo de que se produzca un ataque de interposición «Man-in-the-Middle» aumenta si se utilizan puntos de acceso o redes Wi-Fi públicas.

        brook-4.png

        Información adicional

        Aunque SSL 3.0 es un protocolo criptográfico bastante antiguo (se introdujo en 1996), según el último informe de Netcraft, casi el 95 % de los navegadores web siguen permitiendo su uso. Al conectarse con servidores antiguos, muchos clientes que usan habitualmente el cifrado TLS (Transport Layer Security) pasan a utilizar automáticamente SSL 3.0, que resulta menos seguro. Según Google, un atacante que controle la red mediante la que se conectan el equipo y el servidor podría interferir con el handshake (el proceso que comprueba qué protocolo criptográfico admite el servidor) y hacer que la transmisión de datos se proteja con el protocolo SSL 3.0 en vez de usar otro más reciente. Un ataque de interposición «Man-in-the-Middle» realizado en estas condiciones permite descifrar las cookies HTTP seguras y, de este modo, robar datos o apropiarse de cuentas de servicios online. En el momento en el que se redactó esta entrada, muchos administradores de sitios web ya habían tomado medidas para que el servidor utilizara obligatoriamente el protocolo TLSv1 o versiones posteriores en lugar de SSL 3.0, pero no todo el mundo reacciona con la misma rapidez. Heartbleed ya demostró que las grandes empresas responden enseguida a problemas de este tipo, pero las de menor tamaño suelen tardar más en resolver las vulnerabilidades críticas.

        Recomendaciones para las empresas

        Para reducir los riesgos, recomendamos:

        1. usar la caja de herramientas de SSL, un recurso gratuito de Symantec, para comprobar si los servidores web de la empresa corren peligro;
        2. utilizar herramientas compatibles con el mecanismo TLS_FALLBACK_SCSV, que impide que los atacantes obliguen a los navegadores web a establecer una conexión mediante el protocolo SSL 3.0;
        3. desactivar el uso de conexiones SSL 3.0 o el cifrado en modo CBC con SSL 3.0;
        4. usar un firewall para aplicaciones web basado en la nube para extremar las precauciones (más información en nuestro sitio web);
        5. desconfiar de los mensajes sospechosos, ya que habrá quien pretenda aprovecharse de la incertidumbre y de la falta de conocimientos técnicos de algunas personas.

        Mi compañero Christoffer Olausson aconseja lo siguiente para resolver el problema en Apache:

        > SSLProtocol All -SSLv2 -SSLv3                   <- Elimina SSLv2 y SSLv3

        > apachectl configtest                                   <- Prueba la configuración

        > sudo service apache restart                      <- Reinicia el servidor

        Google ya ha anunciado que, en cuestión de unos meses, sus productos dejarán de ser compatibles con el protocolo SSL 3.0, y Mozilla también ha anunciado que Firefox 34 (que saldrá a finales de noviembre) tampoco admitirá su uso.

        Recomendaciones para los internautas

        En el caso de los internautas, Symantec recomienda:

        1. comprobar si el navegador que usan permite el uso del protocolo SSL 3.0 (por ejemplo, en Internet Explorer se puede comprobar yendo a Opciones de Internet > Opciones avanzadas);
        2. asegurarse de que la URL de los sitios web que visitan empiece siempre por «https», lo que reduce el riesgo de ataques «Man-in-the-Middle»;
        3. estar pendiente de los avisos que reciban de sus proveedores de servicios y cambiar las contraseñas o actualizar el software si es necesario;
        4. comprobar la procedencia de los mensajes de correo electrónico en los que se solicita un cambio de contraseña y asegurarse de que los enlaces conducen al sitio web oficial, ya que podría tratarse de intentos de phishing.

        Más información

        Symantec ya ha publicado varios artículos relacionados con este tema en la base de conocimientos.

        Artículo para usuarios de Symantec Managed PKI for SSL

        https://knowledge.verisign.com/support/mpki-for-ssl-support/index?page=content&id=AR2182

        Artículo para usuarios de Symantec Trust Center/Trust Center Enterprise

        https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR2183

        Manténgase al tanto de las novedades

        ¿Quiere que le informemos de todo lo relacionado con esta u otras vulnerabilidades? Síganos en TwitterFacebook. Si tiene algún problema para gestionar sus certificados SSL o Code Signing, le invitamos a pasarse por nuestros foros técnicos.

        • POODLEbleed
        • SSLv3
        • Poodle bug
        • Products
        • bug
        • website security solutions
        • Symantec Website Security
        • SSL
        • POODLE Attack
        • SSL 3.0
        • DigiCert SSL TLS Certificates
        • vulnerability
        • Products and Solutions
        • POODLE
      • Proteja su sitio web y mejore su posicionamiento en Google con Always On SSL

        Sep 23 2014, 7:17 PM

        por Charla Bunton-Johnson 0

        Websites using https boosted in google rankings

        Las pymes ofrecen una mezcla inigualable de iniciativa, inventiva y atención al cliente; para muchos, son el pilar que sustenta el comercio global.

        Hoy en día, las pymes deben competir contra rivales de todos los tamaños en el mercado virtual. Por suerte para ellas, el éxito de una empresa en Internet no depende de la superficie de su oficina, sino de su competitividad. De hecho, la agilidad de las pymes hace que sean las primeras en sacar partido de las plataformas digitales (comercio online, posicionamiento en buscadores, redes sociales, dispositivos móviles...). Gracias a Internet, las pymes pueden impresionar a sus clientes y dar a conocer su marca con un presupuesto muy limitado, aunque su mercado esté dominado por competidores de mayor renombre y presupuesto.

        Una de las iniciativas que puede ayudar a las pymes a adelantarse a sus rivales en el mundo digital es adoptar el sistema Always On SSL de Symantec, también conocido como «HTTPS Everywhere». Esta tecnología de seguridad está al alcance de cualquier presupuesto y está especialmente indicada para pymes que operan a través de Internet. Además, cuenta con el respaldo de empresas clave de la esfera digital, como Google, PayPal, Facebook, Twitter y Microsoft. Siga leyendo para descubrir este tipo de SSL, que le ayudará a proteger los datos en tránsito y a mejorar su posicionamiento en los buscadores.

        Descargue hoy mismo nuestras infografías

        UNA SOLUCIÓN SSL COMPLETA, CORTESÍA DE SYMANTEC

        Imagínese que sale de casa y cierra la puerta principal, pero se deja la puerta trasera abierta de par en par. Algo así ocurre cuando una empresa decide proteger con SSL solo algunas partes de su sitio web, como las páginas de inicio de sesión y pago. Muchas empresas creen que este tipo de seguridad —también conocido como «SSL intermitente»— las protege adecuadamente contra los hackers y fugas de datos, pero en realidad deja todo el resto de su sitio web expuesto y vulnerable ante ataques como el «sidejacking».

        Por suerte, existe una solución para proteger el conjunto del sitio web y garantizar la seguridad de los clientes: la tecnología Always On SSL de Symantec.

        ALWAYS ON SSL: SEGURIDAD Y CONFIANZA CONTINUAS

        Como integrante de la Online Trust Alliance y del Certification Authority/Browser (CAB) Forum, Symantec es un firme partidario de la tecnología Always On SSL. Al contrario que el SSL intermitente, que se limita a proteger partes específicas del sitio web, este sistema hace que todas las comunicaciones entre un sitio web y un usuario se efectúen mediante el protocolo HTTPS y estén protegidas por un certificado SSL. Adoptar el protocolo HTTPS en todas las páginas es la única forma de garantizar que todas las interacciones entre el sitio web y el visitante, desde que este llega hasta que se marcha, estén cifradas. Si solo protege con HTTPS las páginas de inicio de sesión y pago, los hackers podrán robar las cookies donde se almacenan las sesiones abiertas del usuario para acceder a todo tipo de información confidencial. De hecho, existen herramientas diseñadas especialmente para explotar este tipo de vulnerabilidades, como Firesheep (usada para ataques de sidejacking) y SSLStrip. En definitiva, por mucho dinero y esfuerzo que invierta en proteger las secciones clave de su sitio web con SSL intermitente, todo su trabajo puede caer en saco roto mientras siga teniendo páginas (y cookies) desprotegidas.

        SSL secure sites get ranking boost

        El COSTE DE LAS FUGAS DE DATOS

        Bastan unas pocas cifras para poner de relieve la importancia económica de la protección integral de datos: a lo largo de 2012 se produjeron casi 35 000 fugas de datos solo en EE. UU.; a escala mundial, la cifra supera las 100 000. El coste para las empresas estadounidenses fue de 5,4 millones de dólares, entre gastos directos (contratación de expertos en informática forense, atención telefónica a los clientes afectados...) e indirectos (auditorías, comunicación interna, pérdida de clientes, etcétera). Estas fugas de datos se debieron en su mayoría a ataques malintencionados o criminales, y a menudo podrían haberse anticipado y evitado si las empresas afectadas hubiesen usado Always On SSL.

        * Ponemon Institute, 2013 Cost of Data Breach Study: Global Analysis.

        GOOGLE VALORA MÁS LOS SITIOS PROTEGIDOS CON HTTPS O ALWAYS ON SSL. ¿Y USTED?

        La tecnología Always On SSL (y, más concretamente, el cifrado HTTPS integral) recibió recientemente un fuerte espaldarazo por parte de Google. En un post del pasado 6 de agosto en su blog sobre seguridad en Internet, el motor de búsqueda anunció su intención de dar más «peso» (es decir, un mejor posicionamiento) a los sitios web que usen el protocolo HTTPS en todas sus páginas. Según Zineb Ait Bahajji y Gary Illyes, analistas de tendencias de administración web de Google, la razón es muy sencilla: «queremos animar a los administradores a pasar de HTTP a HTTPS para proteger a todos los usuarios de Internet. Una de nuestras principales aspiraciones es conseguir que todos los sitios web a los que accedan los usuarios a través de Google sean seguros». Por si la idea no hubiera quedado clara, añadieron: «esperamos ver más sitios web protegidos con HTTPS en el futuro». Con esta iniciativa, Google pretende conseguir que las empresas mejoren sus medidas de seguridad en Internet y, al mismo tiempo, ayuden a proteger los datos que circulan por la web. Si desea ver una presentación de Google sobre la importancia y las consecuencias de adoptar HTTPS, haga clic aquí.

        ADOPTAR HTTPS AYUDA A LAS PYMES A COMPETIR

        Las pymes que protegen su sitio web con HTTPS disfrutan de varias ventajas que les permiten competir mejor en Internet:

        • Consiguen un mejor posicionamiento en los resultados de Google, especialmente frente a empresas de mayor tamaño que tal vez aún no hayan dado este paso. Si sus rivales ya lo han hecho, adoptar el protocolo HTTPS les permite competir en igualdad de condiciones.

        • La tecnología Seal-in-Search™ de los certificados de Symantec les permite aprovechar aún más este posicionamiento, ya que hace que la marca de confianza más conocida de Internet aparezca junto a su enlace en los resultados de la búsqueda.

        • Al demostrar su compromiso con la seguridad en Internet, mejoran su imagen de marca y su reputación.

        • La percepción de seguridad aumenta el volumen de las transacciones y las tasas de conversión.

        • Los usuarios están protegidos durante todas sus interacciones con el sitio web, no solo al iniciar sesión y al pagar.

        • En combinación con los certificados Extended Validation, proporcionan un indicador visual que inspira la máxima confianza.

        Symantec cuenta con un amplio catálogo multimarca de soluciones SSL para empresas de todo tipo. Nuestros comerciales le ayudarán a elegir la solución Always On SSL más adecuada a sus necesidades, ya sea un certificado SSL estándar, un certificado Wildcard o SAN o un certificado con Extended Validation, que hace que la barra de direcciones se ponga de color verde y muestre el nombre de su titular. Todos nuestros productos ofrecen los máximos niveles de cifrado y seguridad para la información en tránsito, ya se trate de credenciales de autenticación, cookies, datos financieros...

        HA LLEGADO LA HORA DEL ALWAYS ON SSL

        La tecnología Always On SSL cuenta desde hace años con el respaldo de los gigantes del sector, como Microsoft, PayPal, Facebook y Twitter. Al igual que Symantec, estas empresas forman parte de la Online Trust Alliance (OTA), cuyo cometido es informar a los internautas, aumentar la confianza en la web y fomentar la innovación y la vitalidad de Internet. Tal y como señala el libro blanco de la OTA, «todos debemos trabajar en equipo para implantar las prácticas recomendadas de seguridad online y proteger a los consumidores. La evolución de la seguridad en Internet ha alcanzado un punto de inflexión, y los sitios web deben cambiar para conservar la confianza de los consumidores y asegurar la protección integral de las transacciones». No en vano, uno de los beneficios más importantes de la tecnología Always On SSL es la tranquilidad que proporciona a los clientes.

        COMPLETE LA SEGURIDAD DE SU SITIO WEB

        He aquí los pasos que debe seguir para proteger de forma integral su sitio web con HTTPS y Always On SSL:

        1) Imponga el uso del protocolo HTTPS en todas las páginas

        Al activar HTTPS en todas las secciones de su sitio web, protegerá la identidad de sus clientes, así como sus datos personales y sus cookies. Infórmese aquí.

        2) Compruebe que sus certificados SSL están bien configurados

        Para activar el protocolo HTTPS, debe tener un certificado SSL/TLS válido y emitido por una autoridad de certificación de confianza, como Symantec. Así, sus clientes sabrán que el propietario de su dominio está verificado y autenticado por una entidad fiable. Infórmese aquí.

        3) Active la marca de seguridad en todas las cookies de sesión

        Las cookies de sesión pueden incluir una marca de seguridad opcional que obliga al navegador a usar el protocolo HTTPS cada vez que las transmita al servidor de origen. Así conseguirá una protección fiable y proactiva, y además dispondrá de información más detallada sobre el tráfico de cookies.

        4) Potencie la confianza y la seguridad con los certificados Extended Validation

        No hay nada como los certificados SSL con Extended Validation (EV) de Symantec para convencer a sus clientes de la seguridad de su sitio web. Al acceder a un sitio web con un certificado EV, la barra de direcciones se pone de color verde y muestra el nombre de la empresa. Gracias a este indicador visual, los clientes saben que la identidad del propietario ha sido verificada y que pueden continuar con total seguridad.

        Para obtener más información, lea estos artículos:

        Google Rewards Secure Websites with Higher Search Ranking (blog, en inglés)

        Google smiles on safer connections (Internet Retailer, 8 de agosto de 2014, en inglés)

        Understanding Always On SSL and SEO (Symantec | Connect, 29 de enero de 2014, en inglés)

        • Products
        • website security solutions
        • DigiCert Code Signing
        • Products and Solutions
        • Symantec Website Security