¿Cómo crear una contraseña segura?

A la hora de crear una contraseña para un sitio web, podemos considerar mantenerla segura para prevenir a script-kiddies de atacarnos por medios de ataque de fuerza bruta. Hay páginas las cuales determinan la seguridad de nuestras contraseñas y determinan si deberíamos usarla, pero aún así no nos debemos de guiar por solo una fuente. Menciono esto por que existen diversas páginas para crear una contraseña segura y comprobar la seguridad de una contraseña y al fiarnos de una sola fuente seguimos siendo expuestos a un ataque de fuerza bruta. Pero, ¿Cómo funciona esto, y por qué estamos tan expuestos? Un ataque de fuerza bruta se realiza utilizando un diccionario de palabras hasta dar con la contraseña del blanco.

No hace falta decir que la págna https://howsecureismypassword.net/ puede servirnos como una gran herramienta a la hora de elegir una contraseña para un sitio el cual utilizamos frecuentemente. A parte de esto, crear varias contraseñas para cada sitio web que utilizamos. Pero, ¿Cómo haríamos para recordar las contraseñas? ¿Acaso no tendríamos que escribirlas en el bloc de notas de Windows o en el TextEditor de Linux u otro editor de texto para anotarlas y recordarlas? Esto no es realmente necesario. Hay una herramienta muy poderosa llamada “LastPass”, que es ni más ni menos que una extensión, compatible con Chrome, Firefox y los navegadores más comunes. Se utiliza para almacenar nuestras contraseñas complejas. Solamente tendremos que tener la contraseña una vez, y ya la extensión guardará la contraseña por nosotros y la auto completará en el campo de la clave la próxima vez que queramos iniciar sesión en equis sitio web.

LastPass es muy similar a la función de guardar la contraseña en nuestros navegadores, pero la ventaja es que en LastPass necesita un usuario y contraseña, que sería el único que realmente tendríamos que recordar para iniciar sesión en otros sitios. La extensión es completamente gratis, aún así existe una versión premium que es de $1, la cual tiene unas funcionalidades extra. Si realmente nos tomamos en serio nuestra seguridad tal vez deberíamos considerar instalar esta extensión. Una ventaja que tiene la extensión es que nos da la opción de crear una contraseña segura para nosotros, una contraseña generada que es única, con letras mayúsculas mezcladas con letras minúsculas, números y signos.

Continue reading ¿Cómo crear una contraseña segura?

Como Renombrar wp-login.php (WordPress)

Cuando tenemos un blog, especialmente en WordPress, queremos protegerlo de ataques informáticos. Un vector muy común que utilizan los script-kiddies para atacar los sitios web ajenos de WordPress, es el típico “wp-login.php”. Sobretodo, un ataque muy conocido por estos script-kiddies es el famoso ataque de fuerza bruta. Pero ¿En qué consiste el ataque de fuerza bruta? Tratar de forcar el acceso a travéz de un diccionario, probando diferentes palabras para ver si coincide con la contraseña. Lamentablemente a la hora de instalar WordPress no siempre se cubre la importancia de la seguridad, de igual manera, cuando enseñan a programar casi nunca enseñan como protegerse.

En este post cubriremos como protegerse de ataques de este tipo. Claro está que no hay página que esté segura pero tomando estas medidas podémos aumentar la seguridad de nuestra página. Como hemos mencionado, tanto la seguridad de un código debe ser considerada, de igual manera deberá de ser considerada la seguridad de una plataforma para facilitar la creación de páginas web como WordPress. Aparte de existir plugins que dificultan los ataques de fuerza bruta, hoy nos centraremos en el de renombrar el nombre de la página de inicio de sesión. En un post cubrimos como se podía instalar WordPress y como iniciarse, sin embargo no cubrimos la importancia de asegurar el sitio.

Continue reading Como Renombrar wp-login.php (WordPress)

¿Cómo Instalar WordPress?

¿Te gustaría empezar tu blog en WordPress pero no sabes como instalarlo? Nosotros te podemos ayudar. Debajo de este post te mandamos un enlace a un vídeo que realizamos de como instalar WordPress. Pero antes que nada, es importante tener XAMPP o WAMP instalado, si es que lo quieres instalar en tu ordenador local para empezar.

Instalar WordPress puede ser un proceso algo tedioso para los nuevos en el tema de crear un blog con el mismo, pero nosotros te ayudamos a iniciarte al enseñarte como puedes instalar WordPress en tu maquina local. Este tutorial es aplicado para las maquinas que corren el sistema operativo de Windows. En caso de que estés utilizando Linux, el proceso es muy similar, pero lo que principalmente diferencia el proceso es que en Linux se utiliza el LAMP o Apache, y el proceso de instalación puede ser un poco diferente a el de Windows.

WordPress es una plataforma muy popular a la hora de crear blogs. Puede ser una gran oportunidad para muchos de crear sus negocios por internet. Muchas de las páginas hoy en día utilizan esta poderosa plataforma para escribir en sus blogs. Y si ellos pueden hacerlo ¿Por que no tú también? Además de ser gratis, brinda una gran posibilidad de crear sitios muy bien diseñados con diferentes plantillas.

He aquí el vídeo que te mostrará como puedes hacer para instalar WordPress en tu ordenador.

Continue reading ¿Cómo Instalar WordPress?

Como aprender a Programar

Puede que hayas escuchado que aprender a programar es difícil, pero con este post te mostraremos que ese no es el caso. Aprender a programar no tiene por que ser algo difícil, pero tal vez no podamos decir lo mismo cuando vayamos más profundo. Según nuestras experiencias, aprender a programar es de las cosas más fáciles que hemos podido aprender…

¿Por donde se puede empezar? Existen varias páginas para aprender a programar gratuitamente. Una de estas páginas es codeacademy y khan academy. Creando una cuenta en estas páginas ya es suficiente para poder explorar los diferentes cursos que hay. Cuando se empieza a programar siempre recomiendo aprender un lenguaje de programación web, y luego si te interesa más el tema, adentrarte con aplicaciones de escritorio o aplicaciones móviles.

Analizando la popularidad en el mercado, y según mi perspectiva, lo más apropiado sería aprender a programar en el siguiente orden: Primero los lenguajes de programación web, y luego los lenguajes de desarrollo de móvil. Sin embargo, siempre ha sido más fácil la programación web según mi experiencia, y es algo que sinceramente tiene mucho futuro. Tres lineas de código serían suficientes para ejecutar un programa de aplicación web, en el lenguaje de programación de PHP.

La manera mejor manera para aprender a programar es cuando uno se enseña a si mismo. Con este post dejaremos enlaces a páginas que te puedan servir si quieres iniciarte con la programación. Todo lo que se requiere es que te registres. Una vez estés registrado en digamos codeacademy, ya podrás empezar a aprender… Continue reading Como aprender a Programar

El movil de Diana Quer, valorado en un millon de Euros

Saludos a todos los seguidores de nuestra Website. En este blog vamos a hablar de la desaparicion de una chica en España, y de porque es que tiene tanto valor el telefono movil de esta chica.

Diana ha estado desaparecida 2 meses sin dejar rastro, no se sabe nada de ella, desaparecio asi sin más. Hasta hace unos dias, encontraron su teléfono movil (Iphone 6) sumergido en las costas de Pontevedra (España).

La Unidad Central Operativa (UCO) y la Guardia Civil han enontrado todos los componentes del teléfono movil y funiona correctamente, solo que esta bloqueado.

Han contactado con una empresa Israelita que ya ha trabajado en este tipo de casos, y les ha pedido 1 millon de euros por desbloquear el teléfono movil. Dice la empresa que solo lo puede desbloquear depende del Modelo del télfono y depende del Kernel (S.O) que este usando el teléfono movil.

Pero…¿Por que tanto dinero?

Realmente para mi eso si es un verdadero fraude, para alguien que haya tratado con dispositivos moviles, sabra que cuando vas a desbloquearlo, tienes varios intentos y si fallas se bloquea definitivamente y ya no te da mas intentos para desbloquearlo.

Entonces… ¿Como hace esa empresa Israelita para desbloquearlo?

Todo es mediante fuerza bruta automatizada. El codigo de bloqueo del Iphone 6 consta de 4 digitos.

Un ejemplo de pin para desbloqueo seria: 1337

Si intentan 3 veces el desbloqueo y falla Iphone ya no da mas intentos.

Ejemplo: 1234 (FALLADO) 4736(FALLADO) 5476(FALLADO) Iphone 6 bloqueado definitivamente.

Entonces… Si hago fuerza bruta se seguirá bloqueando… ¿Como hacen ellos para que no se bloquee definitivamente?

Continue reading El movil de Diana Quer, valorado en un millon de Euros

Local File Inclusion (LFI) – Explicación

Los piratas informáticos siempre encuentran nuevas maneras de atacar a los usuarios, ya sea por medio de troyanos, botnets o otro tipo de ataques informáticos. Particularmente nos centraremos en los ataques de aplicaciones web.

Con este post pretendemos educar a los usuarios acerca de los peligros de un ataque de Local file inclution por sus siglas en ingles, en español llamado “Ataque de inclusión de archivo”.

Hoy en día es más común que los piratas informáticos tengan como objetivo páginas web o teléfonos móviles.

La técnica de la cual se hablará a continuación sin embargo no es una técnica nueva, es una que ha estado hace muchos años. En el mercado negro muchas veces los piratas informáticos compran agujeros de seguridad a otros piratas informáticos. Muchas veces estos agujeros son conocidos como 0day exploits. El post que verás a continuación describe que es exactamente el LFI o Local File Inclution…

Continue reading Local File Inclusion (LFI) – Explicación

¿Cómo saber si están “Hackeando” tu ordenador?

Hoy en día pueden hackearnos el ordenador y en el peor de los casos nunca nos damos cuenta de que nos han hackeado. Existen herramientas tan sofisticadas que ocultan la mayoría de los rastros. Sin embargo, conozco una técnica que podemos utilizaar para determinar la dirección IP que se está conectando a nuestro ordenador.

Si hacemos uso de una herramienta que se llama “Wireshark” podemos analizar el tráfico de nuestra red, así como los protocolos que son utilizados por los troyanos para infectar nuestro ordenador. Analizando un protocolo que se llama “TCP” podemos ver la IP que se esta conectando a nuestro ordenador. Esto se puede observar cuando se busca dicho protocolo en el campo de búsqueda del programa…

Continue reading ¿Cómo saber si están “Hackeando” tu ordenador?

¿Por que la seguridad de código es importante?

Antes de comenzar este artículo queremos señalar que esta información será útil principalmente a los desarrolladores en el lenguaje de programación de PHP, si no es que se utiliza un framework para construir una página web y se hace unicamente con el puro lenguaje de programación y una base de datos.

En nuestros antiguos artículos explicamos la importancia de la seguridad en las páginas web y de como evitar múltiples tipos de vulnerabilidades. No hace falta señalar el riesgo de exponer nuestro código y que sea vulnerable a la web.

Los lenguajes de programación donde específicamente hay que tener cuidado con la seguridad es C y PHP. En C por ejemplo es muy común encontrar vulnerabilidades como “Buffer Overflow” que consiste en alterar la memoria del programa para ejecutar un código remoto. PHP por otro lado, tiene otro tipo de vulnerabilidades y riesgos, tales como el acceso de archivos por que se nos olvidó cerrar el directorio. Nos centraremos en el lenguaje web del lado del servidor de PHP.

PHP tiene la ventaja para empezar a programar directamente sin complicaciones, ya sea utilizandolo como un lenguaje de scripting que se corra en la terminal, o como un lenguaje que corra sobre un servidor como apache. La seguridad es un aspecto importante, tal como el código, por eso es importante señalar que el código suministra el 50 % y la seguridad el otro 50%. Esto es bajo mi perspectiva y experiencia que he tenido con el lenguaje.

Pongamos un ejemplo de que puede pasar si aplicamos o no las medidas de seguridad necesarias para desarollar una aplicación web. En una analogía en la vida real, cuando vayamos a construir un sitio web para alguien, el código es funcional y la página cumple con el requisito, sin embargo, la página web esta expuesta ya que no tomamos en consideración la seguridad y el web-master esta expuesto a perder todo lo que tiene en la página.

Hay una diferencia entre crear páginas web funcionales y crear páginas web que sean seguras y funcionales. Centrándonos en la pregunta clave. ¿Por que es importante la seguridad, si nuestro código cumple su función? La respuesta es muy obvia. Una simple linea de código puede entre otros riesgos de seguridad, deshacer varias horas de trabajo duro y dedicación a algo… Continue reading ¿Por que la seguridad de código es importante?

Realizar un ataque de diccionario – SSH

Muchos hackers prefieren hoy en día crear su propia herramienta de hacking, no todos los hackers son tan sofisticados como para escribir sus propias herramientas, pero para los que les interese aprender algo acerca del tema, les puedo decir que este es el post para ustedes. Este es un post que os puede dar mas o menos una vision de como se ve un programa de fuerza bruta, muy comunmente utilizado por los hackers para realizar ataques de fuerza bruta a otros sitios web, o ya sea para probar el nivel de seguridad de una página. Posiblemente este post sea de ayuda para esas personas.

A veces tener un servidor SSH con una contraseña insegura puede conllevar riesgos como la perdida de información, apoderamiento de el mismo servidor entre otras cosas que pueden pasar debido a la inseguridad en las contraseñas.

¿Como hacen estos atacantes para apoderarse de un servidor ssh? Entre muchos métodos que existen papra apoderarse de un servidor, un método muy común es un ataque de fuerza bruta. Consiste en cargar un listado de contraseñas para realizar intentos con el propósito de adivinarla de alguna manera. Esto se hace a través de un diccionario.

En este post enseñaremos a como crear un script en el lenguaje de programación Ruby que realce una ataque de fuerza bruta a un servidor SSH. De esta manera se ve el código:

Requisitos: Tener instalado Ruby. Una vez instalado y configurado, escribir en la terminal “gem install optiflag”

Continue reading Realizar un ataque de diccionario – SSH

¿Como evitar SQL Injection en PHP?

Es muy común que cuando se empiece a programar en algún lenguaje de programación nos olvidemos de los fallos de seguridad, al utilizar funciones inseguras que son vulnerables a diferentes tipos de ataque, ya sea una inyección de código, o una ejecución de código remoto, entre otras. Existen muchas vulnerabilidades para códigos los cuales pueden ser explotados por atacantes o usuarios con intenciones maliciosas. Lamentablemente algunos cursos que enseñan a programar no cubren la importancia de la seguridad en el código, por ello, este articulo tiene como intención ayudar a los principiantes a evitar cometer estos fallos que puedan poner en peligro una página web.

En este articulo cubriremos lo que consideramos más importante para prevenir un ataque de tipo SQL Injection o por su traducción al español, Inyección SQL en el lenguaje de programación de PHP a una base de datos de MySQL. Asumimos con este articulo que sabes como crear una base de datos en MySQL e insertar datos dentro de una tabla por lo que cubriremos lo que consideramos lo más importante. Primero que nada, hay 2 maneras en las cuales se puede prevenir una inyección de este tipo, una es usando la función de “bind_prepare” y la otra es la de ejecutar directamente los parámetros.

Digamos que tenemos una tabla creada en nuestra base de datos, y ya establecimos la conexión hacia ella, tenemos un string que llamamos nombre. El código vulnerable se vería así.

Continue reading ¿Como evitar SQL Injection en PHP?

Blog