Nuevo Servicio: Un nuevo nivel de seguridad para tu web

Nuevo Servicio: Un nuevo nivel de seguridad para tu web

Tiempo Aproximado de Lectura: 3 minutos

La seguridad es una prioridad máxima en nuestro servicio de Hosting, y nos aseguramos de que se tomen todas las medidas posibles para proteger tu sitio web y tus datos. ¡Así que estamos muy emocionados de anunciar que hemos agregado un cinturón negro a nuestras defensas cibernéticas! A partir de hoy, todos los clientes de Web Hosting de Nodored están protegidos por uno de los sistemas de seguridad más avanzados disponibles: BitNinja. Al aprovechar el aprendizaje automático y la información del tráfico web de decenas de miles de servidores, BitNinja crea una red de defensa global que contrarresta los ataques de botnets con un escudo de protección para todos los servidores y sus sitios web alojados.

Pero antes de profundizar en los detalles técnicos, queremos explicar las razones por las que decidimos implementar este nuevo factor de seguridad. Como la mayoría de las soluciones, esta fue una decisión tomada por necesidad. Con el aumento de la velocidad y la inteligencia de los ataques, y teniendo algunos de los sitios de nuestros clientes ejecutandose con código vulnerable o software obsoleto, el numero de sitios web comprometidos se incremento. Esto se debió en gran parte a la creciente sofisticación de los ataques, lo que ha hecho que cada vez sean más difíciles de detectar. No solo eso, sino también por el rápido crecimiento de nuestra base de clientes, necesitábamos escalar no solo en términos de infraestructura de hardware, sino también mejorar las herramientas y el software que utilizamos.

Después de una evaluación en profundidad de nuestra infraestructura de seguridad, determinamos que el concepto de proteger los nodos de alojamiento de forma individual causaba un cuello de botella importante para el proceso de escalamiento, y retardaba nuestros tiempos de respuesta en incidencias menores. Necesitábamos un sistema centralizado que pueda aprender y registrar incidentes en toda la infraestructura para proteger a todos los servidores de manera proactiva, un sistema que pueda evitar ataques antes de que lleguen a nuestra infraestructura en lugar de intentar mitigarlos.

¿Como impacta la implementación de esta capa de seguridad?

Antes: Auditábamos servidor por servidor de forma manual ejecutando diversos scripts propios, limpiando cuenta por cuenta y notificando al cliente propietario sobre el incidente.

Ahora: Los servidores se escanean de forma automatizada y centralizada en forma periódica con la potente red de datos de BitNinja, los archivos vulnerados se remueven de forma automática y notificamos al cliente propietario sobre el incidente.

Ademas: Contamos con un proceso de análisis y monitoreo 24/7 para diversas vulnerabilidades en todos los sitios de nuestros clientes, protegiéndolos de forma proactiva y notificando de posibles incidencias, ¡aun antes de que ocurran!

Hablemos de BitNinja

Durante nuestra investigación sobre el tema, nos sorprendió gratamente descubrir que no solo otros ya habían expandido esta idea a un concepto de seguridad sólido, sino que algunos grandes equipos ya han desarrollado productos sofisticados en este nicho. Después de pruebas y evaluaciones exhaustivas, llegamos a la conclusión de que el producto BitNinja es muy maduro y proporciona todas las herramientas que queríamos para construir nuestra infraestructura. La característica más impresionante del sistema de seguridad BitNinja es el conocimiento compartido sobre ataques y tráfico malicioso en todo el mundo. Rápidamente nos dimos cuenta de que unirnos al ecosistema BitNinja nos dará acceso al “conocimiento” compartido de decenas de miles de servidores en todo el mundo para que podamos bloquear de forma proactiva el tráfico malicioso incluso antes de llegar a los sitios web de nuestros clientes: un sistema de seguridad distribuido globalmente con aprendizaje automático. Algoritmos para proteger a todos los servidores del tráfico malicioso en todo el mundo: una bella idea hecha realidad por el equipo de BitNinja.

Entonces, ¿qué es exactamente BitNinja?

BitNinja es un conjunto integrado de módulos que protegen a los servidores de varios ataques maliciosos en múltiples protocolos, todo al mismo tiempo. Cada módulo utiliza diferentes técnicas para prevenir y/o detectar un ataque tan pronto como sea posible.

¿Como impacta este cambio en tu servicio?

Dejemos a un lado toda la información técnica. Como cliente de Nodored, debes saber que este nuevo sistema no requiere ningún cambio en tu sitio web y que se implementa desde este momento como un servicio gratuito. Puedes concentrarte en tu sitio web, mientras que el sistema protege tanto tu sitio web como tu cuenta de alojamiento. Además, debes observar una experiencia de alojamiento más estable, reducir el uso de recursos para tu sitio web y relajarte, ya que el sistema no bloquea los robots de búsqueda. A pesar de esta enorme mejora de la seguridad, aún recomendamos que te asegures de que todas tus aplicaciones web, complementos, extensiones y temas estén actualizados para garantizar que tu sitio esté a salvo de vulnerabilidades conocidas.

Como siempre, puedes ponerte en contacto con nuestro equipo de soporte técnico si tienes alguna pregunta sobre el nuevo sistema de seguridad. Si no eres cliente del servicio de Hosting de Nodored y has tenido problemas con sitios web pirateados, echa un vistazo a nuestros planes de hosting, ¡nos encantaría darte la bienvenida!

La estafa de sextorcion que pretende venir de tu propia cuenta de correo electrónico hackeada

La estafa de sextorcion que pretende venir de tu propia cuenta de correo electrónico hackeada

Tiempo Aproximado de Lectura: 2 minutos

Las estafas de extorsión sexual se producen cuando un atacante envía correos electrónicos a personas que indican que su computadora ha sido pirateada y que los atacantes han estado grabando la pantalla y la cámara web mientras el usuario visita sitios de adultos. Los estafadores luego chantajean a los destinatarios indicando que lanzarán los videos si no reciben un pago en bitcoins.

Estas estafas se han vuelto muy rentables, ya que los estafadores ganan más de $ 50K en una semana, y esta nueva variante no es diferente. Según los informes de Daniël Verlaan, esta nueva variante se vio por primera vez dirigida a las víctimas en los Países Bajos, donde los estafadores ganaron 40.000 €.

Ejemplo de un intento de estafa por sextorsion

Spoofing: Técnica de suplantación de identidad

El éxito en este tipo de correos, es que aparentemente el correo llega desde tu misma dirección de correo. Esto se hace mediante una técnica conocida como spoofing, con la cual el atacante hace creer a la víctima que la misma ha sido comprometida y se encuentra en poder del atacante.

¿Que debes hacer?

1. No interactúes con el atacante

Antes de continuar recomendamos no responder los correos de este estilo ni abrir sus adjuntos, y entender que se trata de un engaño; por supuesto, tampoco se debe pagar a los atacantes.

2. Toma el camino de la prevención

Aplica las buenas prácticas en el uso del correo electrónico como cambiar las contraseñas de manera regular, colocar claves seguras, utilizar soluciones de seguridad en los equipos, así como habilitar las opciones de doble autenticación disponibles en los diferentes servicios de Internet.

3. Activa la autenticación en tu correo empresarial

Para mitigar este ataque debes habilitar los registros DKIM y SPF (El SPF debe tener el mecanismo de Fallo Severo o «Hard-Fail»)

DKIM

DKIM permite al servidor verificar el correo electrónico entrante y evitar los mensajes de spam entrantes. Esta característica garantiza que los mensajes entrantes estén sin modificar y sean realmente del remitente indicado.

SPF

El sistema SPF permite autorizar a los servidores y direcciones IP para enviar el correo desde tu dominio. Esta característica ayuda a evitar la suplantación de identidad.

Pasos para habilitar estos registros:

  1. Inicia sesión en cPanel
  2. En la sección Correo electrónico, da clic en «Email Deliverability»
  3. Click en «Administrar» al frente del dominio que deseas gestionar
  4. En DKIM clic en «Activar»
  5. En SPF, da clic en «Activar»
  6. Ve a la sección «Zone Editor» en cPanel.
  7. Busca el registro «SPF»
  8. Cambia «~all» a «-all» para configurar el mecanismo Hard-Fail

Además de eso, es recomendable que SpamAssassin este habilitado en las cuentas para que los registros SPF se puedan procesar con éxito.

Protege tu sitio web de Hackers ¡Gratis!

Protege tu sitio web de Hackers ¡Gratis!

Tiempo Aproximado de Lectura: 1 minuto

A partir de hoy nos hemos asociado con SiteLock, lo que significa que ahora incluimos su paquete Lite de forma gratuita en nuestros planes de hosting (tanto nuevos como existentes a excepción del plan Profesional) .

SiteLock Lite incluye un escáner de malware gratuito para tu sitio web (hasta 5 páginas internas), el cual te notificará de inmediato si detecta malware, lo que significa que puedes actuar con prontitud para mantener tu sitio seguro y tu reputación alta.

Pero si buscas aún más seguridad, puedes actualizar a un plan premium de SiteLock (Find, Fix y Defend), los cuales incluyen funciones más avanzadas, como la eliminación automática de Malware, Firewall de Aplicaciones, CDN, etc.

Acerca de SiteLock

SiteLock es una herramienta de monitoreo de seguridad de sitios web para empresas de todos los tamaños, que proporciona una serie de beneficios y servicios. Algunos de los beneficios clave son el monitoreo de listas negras, la detección de malware, la identificación de vulnerabilidades y la eliminación automática de infecciones.

SiteLock supervisa tus sitios web diariamente para detectar actividades maliciosas y luego lo alerta ante cualquier amenaza potencial. El escaneo de 360 grados de SiteLock usa tecnología liviana para buscar vulnerabilidades en tu código, así como cualquier aplicación obsoleta, sin ralentizar el rendimiento de tu sitio.

Conoce más acerca de SiteLock en este enlace y protege ahora tus activos digitales

¿Tu contraseña se filtró en la violación de datos más grande en la historia?

¿Tu contraseña se filtró en la violación de datos más grande en la historia?

Tiempo Aproximado de Lectura: 2 minutos

Meses atras, una de las mayores colecciones de combinaciones de correo electrónico y contraseña fue publicada en un popular foro de piratería. La descarga contenía aproximadamente 2,7 billones de registros, incluyendo 773 millones de direcciones de correo electrónico únicas y combinaciones de contraseñas. Esta colección presenta muchas violaciones de datos de miles de fuentes diferentes. Es la brecha de datos más grande en la historia.

Detalles de la filtración de datos

  • 1.160.253.228 de combinaciones únicas de direcciones de correo electrónico y contraseñas
  • 772,904,991 direcciones de correo únicas
  • 21,222,975 contraseñas únicas

La noticia se pone peor. Eso fue sólo la Colección # 1. El hacker dice estar vendiendo seis lotes más:


Eso es 1 TB de datos robados, lo que equivaldría a unos 31 mil millones de líneas de correos electrónicos y contraseñas pirateadas.

¿Debes cambiar tu contraseña?

En este punto, probablemente te estés preguntando si debería cambiar tu contraseña. Por suerte, es fácil de comprobar.

La violación fue reportada por primera vez por Troy Hunt, quien creó el servicio de notificación gratuito Have I Been Pwned?. Este sitio le permite a cualquiera ver si su nombre de usuario y/o contraseña han sido comprometidos en una violación de datos.

Visita el sitio web https://haveibeenpwned.com/ en la sección Passwords para ver si tu contraseña aparece en la violación de datos. Si es así, cámbiala por una contraseña segura lo antes posible.

Si te preocupa ingresar tu contraseña en un sitio aleatorio, HIBP es básicamente una función de búsqueda. De acuerdo con su página de privacidad, “la contraseña está oculta en el lado del cliente con el algoritmo SHA-1 y solo los primeros 5 caracteres del hash se envían a HIBP según la implementación la implementación k-anonymity de Cloudflare. HIBP nunca recibe la contraseña original ni suficiente información para descubrir cuál era la contraseña original «.

¡Protege tu dirección de correo electrónico a toda costa!

La clave de tu correo electrónico es probablemente tu contraseña más importante. ¿Por qué? Porque si un hacker ingresa a tu cuenta, puede restablecer cualquier contraseña que esté vinculada a tu cuenta de correo electrónico. Como puedes ver en el gráfico a continuación, creado por Krebs on Security, tu cuenta de correo electrónico a menudo se vincula con la mayoría de tu vida financiera, personal y privada.

Recuerda estos 4 sencillos consejos para crear y mantener una contraseña segura.

  • Crea una contraseña segura: una contraseña segura se genera a partir de una combinación aleatoria de letras mayusculas y minusculas, numeros y simbolos. Mientras mayor es la longitud de la contraseña y su complejidad, menor es el riesgo de ser hackeado. Usa el Password Manager de Nodored para gestionar tus contraseñas de forma segura.
  • Protege tu contraseña: recuerda cambiar tus contraseñas periódicamente, haciendo de tus credenciales un objetivo móvil para cualquier persona que intente acceder a tus datos. Puedes configurar recordatorios automatizados de cambio de contraseña en tu Password Manager.
  • Diversifica tus contraseñas: un estudio reciente afirma que el 60% de las personas usan la misma contraseña en todas partes. Especialmente, asegúrate de usar contraseñas separadas para tus cuentas personales y tus cuentas corporativas de negocios.
  • Autenticación de 2 factores: usa tu contraseña con un segundo factor, como tu teléfono móvil, huella digital o USB. Este paso adicional hace que sea extremadamente difícil que seas víctima de robo de identidad, privacidad y otros delitos informáticos.

¡Protege tus activos digitales!

5 trucos simples para proteger tu WordPress

5 trucos simples para proteger tu WordPress

Tiempo Aproximado de Lectura: 3 minutos

Si está utilizando WordPress como sistema de gestión de contenido para tu sitio web, definitivamente has tomado la decisión correcta. No solo proporciona toneladas de características que pueden mejorar el diseño de tu sitio web, sino que también ofrece excelentes funciones de SEO que pueden generar y aumentar el tráfico web.

Por otro lado, debido a su gran popularidad, WordPress ha atraído la atención de hackers y entidades malintencionadas que intentarán violar la seguridad de tu sitio web para plantar malware y otros programas maliciosos que dañen tu sistema. Afortunadamente, estos ataques se pueden evitar fácilmente siguiendo estos 5 simples trucos:

5 trucos simples para proteger tu sitio de WordPress

Para ayudarte a proteger tu sitio, aquí hay 5 simples trucos que protegerán tu sitio creado con WordPress de los ataques más comunes.

Cambiar el nombre de usuario predeterminado «Admin»

De forma predeterminada, WordPress asigna «admin» como el nombre de usuario durante la instalación y, si continúas utilizando este nombre de usuario predeterminado, estás facilitando que los piratas informáticos accedan a tu sitio. Por lo tanto, para que tu WordPress sea más seguro, necesitas cambiar este nombre de usuario a uno único.

Para cambiar el nombre de usuario predeterminado «admin» puedes crear un nuevo usuario con privilegios de administrador y luego eliminar el que tiene el nombre de usuario «admin».

Limitar el número de intentos de inicio de sesión

Una de las tácticas más comunes utilizadas por los hackers se llama el ataque de fuerza bruta. Este ataque generalmente implica iniciar sesión en tu cuenta mediante el uso de probar varias combinaciones para adivinar tu nombre de usuario y contraseña.

Una excelente manera de evitar este tipo de ataque es limitando el número de intentos de inicio de sesión permitidos para acceder a tu sitio web. Esto se puede hacer fácilmente instalando un complemento de WordPress llamado «Loginizer».

Si eres usuario de nuestro servicio de Hosting WordPress, puedes instalar este plugin en cualquier momento desde tu herramienta WordPress Manager

Manten tu WordPress y plugins actualizados

Mantener actualizado el software de WordPress y los plugins instalados puede ayudar a mantener tu sitio protegido y seguro. La razón detrás de esto es que las nuevas actualizaciones generalmente proporcionan mejoras de seguridad, lo que ayuda a minimizar el riesgo de ataques.

Puedes actualizar WordPress, tus plugins y themes con mucha facilidad desde el Panel de Administración o Dashboard. Ademas, si eres usuario de nuestro servico de Hosting para WordPress, podrás actualizar e incluso automatizar las actualizaciones con muchisima facilidad

Implementar la autenticación de dos factores

Agregar una capa adicional de seguridad para iniciar sesión en tu cuenta es una excelente manera de asegurar tu sitio web. Al implementar la autenticación de dos factores, haces que sea más difícil para los piratas informáticos acceder a tu sitio porque este proceso requiere que los usuarios respondan una pregunta de seguridad adicional o se le solicita un código generado por tu dispositivo móvil además del habitual usuario y la contraseña.

Use una contraseña segura

Puedes pensar que cambiar tu contraseña por una más compleja tiene un impacto mínimo a la hora de proteger tu sitio web. Pero la realidad es que realmente puede ayudar mucho. A veces, las cosas más simples pueden producir el mayor impacto y si cambias tu contraseña a algo que sea más difícil de adivinar, como mezclar números aleatorios con letras minúsculas y mayúsculas, entonces estás dificultando que los hackers accedan a tu sitio; por lo tanto, reduce el riesgo de que tu sitio web de WordPress sea atacado.

Puedes hacer uso de nuestro potente servicio gratuito Password Manager para administrar las claves de todos tus sitios web.

El verdadero valor de los Certificados SSL EV (Barra Verde)

El verdadero valor de los Certificados SSL EV (Barra Verde)

Tiempo Aproximado de Lectura: 3 minutos

El éxito en Internet se basa en la confianza

Una serie de cambios en la industria en los últimos años han hecho que el cifrado sea una necesidad para todas las páginas web, no solo para el comercio electrónico o las páginas con formularios, si no para todo sitio web que desee evitar las advertencias de «No seguro». Todos los certificados SSL cifran la información enviada desde un navegador a un servidor, por lo que incluso los blogs y los sitios personales pueden satisfacer este requisito.

Pero, el cifrado es solo una parte de la ecuación de confianza en línea. No importa qué tipo de sitio tengas, es esencial que los visitantes sepan que pueden confiar en ti. Los ataques de phishing están en su punto más alto, con 1.4 millones de nuevos sitios de phishing creados cada mes, por lo que los visitantes tienen buenas razones para sospechar de cualquier sitio web, incluido el tuyo.

Sepárate del phishing

El cifrado básico no es suficiente para establecer quién está realmente en el otro extremo de la conexión, y no es suficiente para protegerte de los ataques de phishing. En un rango de 30 días, PhishLabs informa que el 99.5% de los sitios de phishing tenían certificados DV que ofrecen cifrado básico. A menos que desees que los visitantes vean que tienes el mismo nivel de seguridad que los sitios de phishing, debes mostrarles claramente que eres real y que su información está segura contigo. La validación extendida (EV) es la forma más efectiva de hacerlo.

Los beneficios de la Barra Verde

Los certificados de Validación extendida (EV) resuelven la necesidad de cifrado y confianza. Al igual que los certificados DV y OV, activan el icono de HTTPS y candado en todos los navegadores para garantizar que las comunicaciones de los visitantes estén cifradas. Pero también requieren una validación más completa y proporcionan detalles de certificados más profundos que demuestran una confianza real y reconocible. Es por eso que los EV son utilizados por los sitios más visitados del mundo, incluidos Twitter, Apple, PayPal y muchos otros.

EV: ya no es solo para el comercio electrónico

Los certificados EV son la única solución SSL que proporcionan un verdadero retorno de la inversión. Es por eso que no deben considerarse un gasto, sino una inversión en tu reputación y en tu negocio. En una encuesta Tec-ED, el 100% de los participantes notaron la barra de direcciones verde, y el 97% se sintió lo suficientemente cómodo como para ingresar la información de su tarjeta de crédito. De hecho, el 77% dijo que no dudaría en comprar en un sitio web con un certificado EV SSL.

Aquí hay cinco maneras en que EV te paga:

  • Más confianza del cliente: los detalles que el certificado muestra al hacer muestran que eres confiable y estás dispuesto a tomar las medidas necesarias para demostrarlo. Tus clientes merecen absoluta seguridad de que eres quien dice ser.
  • Autenticidad objetiva: en el Internet de hoy en día, ya no eres lo que dices que eres, sino lo que una Autoridad de Certificación (CA) Internacional, Independiente y Confiable dice que eres. Las CA solo emiten certificados EV después de haber validado tu existencia legal, física y operativa, incluidos pasos manuales de validación, para garantizar la legitimidad de tu empresa.
  • Se competitivo: con tasas de abandono de carritos de compra que llegan al 75%, debes dar a los visitantes todas las razones para hacer clic en «Comprar ahora» en lugar de ir a los sitios de tus competidores. Al disponer de un Certificado SSL EV, le estás diciendo a tus clientes que te preocupa por su privacidad y seguridad. Eso crea un nivel de confianza y una ventaja competitiva que el dinero no puede comprar.
  • Mayores conversiones: esta comprobado estadísticamente que los certificados SSL con EV aumentan las ventas.
  • Protección contra el phishing: la validación de identidad de un Certificado EV está restringida a entidades que se han registrado en una agencia gubernamental o en una agencia estatal real. Si la empresa no ha sido registrada, no puede solicitar un certificado EV. La mayoría de los hackers no pasan la prueba.

Entonces, si bien el SSL se trata de cifrado y autenticación, en última instancia, se trata de ganarse la confianza de los visitantes en línea para que se sientan cómodos haciendo negocios contigo. Un Certificado SSL EV le da a tus clientes la confianza que se traduce en ingresos.

Comience a ganar confianza instantánea con los visitantes ahora.