CategoriasHosting

Políticas de seguridad en la empresa

La crisis nos está dejando muchas lecciones que aprender. Algunas nuevas, y otras viejas historias olvidadas en la gestión empresarial, por ejemplo el ya clásico de hacer copias de seguridad que todos sabemos y pocos hacen. Tareas repetitivas que se puede automatizar, pero que en mayor o menor grado siempre requieren de supervisión y atención humana.

No son divertidas, ni sexys ni cools, y por eso nadie se acuerda del paragüas hasta que truena. Sirva este post de advertencia para perezosos.

  • Ejemplo, la trabajadora en baja por depresión: hace unas semanas, nos pasó un caso donde la persona encargada de la gestión del dominio y el hosting, estaba tratando de negar el acceso a la empresa en cuestión. Cambiaba contraseñas casi a diario, y en general molestaba enviando emails amenazantes sobre los derechos que pensaba había adquirido por registrar el dominio a nombre de la empresa donde estaba trabajando. Si la persona que gestiona las contrataciones se toma una baja o despido ¡cambia todas las contraseñas antes! Crea también un documento donde definas qué personas tienen acceso a determinados datos, con varios niveles de responsabilidad. En el futuro te evitará muchos problemas, y si eres una sociedad SL, SLU o SA ¡no es opcional! es obligatorio para el cumplimiento de la ley de protección de datos.
  • Ejemplo, el informático desaparecido: la crisis aprieta en todos los sectores, entiendo que haya empresas que busquen la mejor opción en el mercado. Pero contratar al amigo de tu vecino que hace webs no tendría que ser una opción en el entorno empresarial. Nada evita que de un día a otro el informático desaparezca de la faz de la tierra, se evaporice, y te encuentres con que no tienes acceso a tu propio correo. Hay miles de empresas serias y profesionales que te pueden hacer una web efectiva, sí, te saldrá más caro porque ellos tienen menos margen, ¡tienen que pagar impuestos por todo! tu a cambio obtendrás una garantía de servicio, y en caso de problemas tendrás una factura que podrá demostrar que tu dominio es realmente tuyo.
  • Ejemplo, el informático maltratado: la informática en general está poco valorada en España, cualquiera puede dar golpes en el teclado y llamarse a sí mismo informático. Hay mucha competencia desleal, y eso hace que el que realmente dedica su vida profesional a la informática acabe quemado de oir frases como la de más arriba del amigo del vecino. Si tienes la suerte de contar en tu empresa con un buen informático, aquel que te soluciona los problemas sea a la hora que sea, y que se ha implicado durante años en tu empresa, trátalo bien si tienes que prescindir de él. Es de buena educación, y además ¡tiene acceso a todos tus datos! Aprende a hacer copias de seguridad antes de despedirlo, reúne todos los accesos que vayas a necesitar. Y si no queda otro remedio para reducir plantilla, explícale bien la situación y sobretodo pagale lo que le debas.
  • Ejemplo, el cliente maltratado: tendría que ser parte de la política de seguridad de tu empresa, el garantizar el buen trato con los clientes. En el mercado altamente competitivo en el que nos movemos, cobrar 10 veces más por el mismo producto o servicio deja de ser una máximización de los recursos y pasa a ser tener la cara muy dura. No trates a tu cliente como si fuera tonto, tiene las herramientas necesarias para buscar otra alternativa. Y además ahora tiene el tiempo necesario puesto que el ritmo de trabajo será menor. Lo tiene ahí, a un sólo click. Ofrécele un servicio profesional con un precio ajustado al segmento en el que te quieras posicionar. No compitas en precio con cualquier nueva empresa que surja, no caigas en lo fácil. ¿Cómo vas a explicarle esa factura de 300€ por registrar un dominio?

En general, todas las medidas explicadas se resumen en tratar a la gente como personas, haremos un mundo mejor si prestamos atención a los pequeños detalles.

CategoriasHosting

La contraseña perfecta

¿Quién no se ha preguntado alguna vez si su contraseña no es segura?, esta es una pregunta tan típica cómo obligada teniendo en cuenta que es a menudo la única puerta que separa a la gente de nuestra información más confidencial y es que cómo bien dice la wikipedia una contraseña es una forma de autenticación que utiliza información secreta para controlar el acceso hacia algún recurso.

Pero, ¿Que debemos entender por contraseñas seguras?
A mi modo de entender podemos asegurar que una contraseña es fuerte cuando contiene letras mayúsculas y minúsculas y un mínimo de 8 carácteres, sin embargo para Microsoft una contraseña segura debe tener como mínimo:

  • 1 minúscula (a)
  • 1 mayúscula (A)
  • 1 número (0)
  • 1 símbolo (@)

Y una longitud MÍNIMA de 8 carácteres
Siendo así ‘P@ssw0rd’ el ejemplo ideal.

  • Lamentablemente en muchos de los sistemas que utilizan una contraseña no se admiten símbolos, o sólo se pueden introducir un número limitado de caracteres, como 6 ú 8, e incluso los hay de sólo 4.

Un usuario nos explicó su truco para sacar contraseñas largas y luego poder acordarte de ellas… el truco no utiliza símbolos y la longitud de las contraseñas puede ser variable por lo que reune dos de las características que necesitamos.

El truco es hacerlo a partir de nombres de pelis, canciones, libros, versículos de la biblia, frases hechas…

Por ejemplo, se puede sacar la segunda y penúltima letra de:

«Más vale pájaro en mano que 100 volando»

ááalarneanuuod

  • Con una pequeña transformación nos queda (Alternar mayúsculas y minúsculas):
    • ÁáAlSrNeAnUuOd
  • Y añadiendo el número
    • ÁáAlSrNeAnUu10Od
  • Claro, siempre se puede aplicar la misma regla al número:
    • ÁáAlSrNeAnUu0Od
  • Y por dar un último quiebro cambiamos un cero por una C:
    • ÁáAlSrNeAnUuCOd
  • Aunque bueno, bién pensado, se puede añadir al principio un «más vale» de forma simbólica:
    • +>ÁáAlSrNeAnUuCOd

Como todo, esto es una forma, pueden hacerse miles de formas, usando diferentes trucos y tranformaciones, también, se pueden dar más pasos o menos, en función del gusto, y como en Bricomanía, aquí el toque personal cuenta mucho.

Bueno, de nada sirve todo esto, si apuntamos la contraseña en un papel, y nos olvidamos el papel en el peor lugar que se nos pueda olvidar.

A primera vista el método puede parecer un tanto enrevesado e incluso absurdo pero es muy seguro ya que nos evitará sufrir alguno de estos típicos ataques:

  • Fuerza Bruta: Es la razón más común por la cual los administradores obligan a colocar largas contraseñas con números, se trata de recuperar una clave probando todas las combinaciones posibles de caracteres hasta encontrar aquella que permite el acceso.
  • Ataque diccionario: Un ataque del diccionario consiste en el intentar de “cada palabra en el diccionario” como contraseña.
  • Keyloggers: El keylogger es un diagnóstico utilizado en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero o enviarlas a través de internet.
  • Mirada ajena: Cuando cualquier persona conocida o no trata de ver que has tecleado y de este modo averiguar tu contraseña.Conclusión

Cómo se puede ver el truco propuesto evita cada uno de estos ataques, el primero de ellos el de fuerza bruta dependerá de la longitud de la semilla tomada… el ataque diccionario será inútil debido a que nuestra contraseña final no se parecerá en nada a cualquiera de la de los diccionarios, los keylogger no seran un problema porque al teclear nuestra contraseña seguramente lo hagamos siguiendo los paso de la creación y algún momento utilizaremos el ratón para cambiar la posición del ratón (Los keylogger no registran las acciones del raton) y por último si alguien intenta averiguar mirando que es lo que tecleas es muy díficil que pueda recordar lo que has introducido debido a su complejidad.

CategoriasHosting

Sender Policy Framework

SPF (del inglés Sender Policy Framework) es una protección contra la falsificación de direcciones en el envío de correo electrónico. Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. Este convenio puede significar el fin de abusos como el spam y otros males del correo electrónico.

El envío SMTP entre servidores

Cuando se envía un correo desde un programa cliente de correo electrónico, éste conecta con un servidor SMTP (a través del puerto TCP25) al que le deja el mensaje para su envío a una o varias cuentas de correo destinatarias. Este servidor (servidor del remitente) es el encargado de conectar con el servidor donde está alojada la cuenta de correo del destinatario (servidor del destinatario) y de transmitir el mensaje para su almacenamiento y posterior descarga por el destinatario.

En el protocolo SMTP, obviamente, es imposible tener autenticación acordada entre todos los servidores de correo. Este inconveniente permite que cualquier servidor remitente pueda identificarse como el transportista en origen de un nombre de dominio. Esto lo aprovechan los suplantadores de identidad de direcciones de correo electrónico para llevar a cabo su fin.

En el envío de correos no solicitados (spam) y otras malas artes como el phishing o envío de virus por correo, en casi la totalidad de los casos, interesa ocultar el remitente real o utilizar una dirección que al cliente le podría resultar familiar o confiable.

Un primer intento de controlar esta laguna técnica es el seguimiento de la ruta de direcciones IP por las que se envía el correo, de tal manera, que se mantiene unas listas de IP’s de servidores que envían correos falseados (listas negras). Esto, aparte de requerir un proceso manual por parte del destinatario, tiene efectos no deseados sobre otros usuarios del servidor que envían correos «reales».

La solución SPF para evitar falsas identidades

SPF extiende el protocolo SMTP para permitir comprobar las máquinas autorizadas a enviar correo para un dominio determinado. La idea es identificar las máquinas autorizadas por su dirección IP, y que esta identificación la haga el responsable del dominio que recibirá el correo.

Una aproximación a la solución podría suponer que el remitente del correo, hace los envíos desde la misma máquina que los recibe. Como se puede resolver la dirección IP a donde se enviarían correos al remitente a través del registro MX del servicio DNS (RMX, del inglés Reverse MX), si esta dirección coincide con la que genera el envío, se puede entender que es el remitente real. Pero esta suposición no siempre es cierta, especialmente en grandes proveedores de soluciones de correo como Yahoo!, Hotmail, o GMail.

Otra propuesta, la DMP (Protocolo de Servidores de Correo Identificados, del inglés Designated Mailer Protocol), consiste en que los proveedores de servicios de internet identifiquen las máquinas responsables del envío del correo. Esta solución es válida, pero para que sea efectiva requiere que todos los proveedores la adopten e implementen.

Como mezcla de estas dos propuestas, surge la idea de usar registros DNS para identificar las máquinas autorizadas para envío de correo (sean del proveedor de servicios de internet que sean). Esto es lo que se propone en la solución SPF.

SPF en honesting.es

Para activar SPF de forma gratuita en tu cuenta alojada en honesting.es entra en tu cPanel en la sección Autenticación de e-mail.

cPanel_X_-_(Autenticación_de_e-mail)_-_2014-05-28_09.55.52

SPF no garantiza que tu dirección de email o IP no sea añadida en una lista negra, o sea identificado como spam si se realiza abuso o envios no solicitados, haz un buen uso de la tecnología para mantener Internet limpia 😉

Otras opciones

También puedes activar DomainKeys Identified Mail (DKIM), un mecanismo de autenticación de correo electrónico que permite la validación por el destinatario

CategoriasHosting

Formas de enviar un email y limitaciones

Con el fin de garantizar un buen servicio de email, los planes de hosting cuentan con límites en el número de emails que puedes enviar en 1h:

  • Plan Base: 100 emails/hora
  • Plan PRO: 250 emails/hora
  • Plan Pyme: 300 emails/hora
  • Plan Empresa: 500 emails/hora

¿Por qué se aplican límites?

Principalmente, como medida para luchar contra el envío de spam y para evitar que las direcciones IPs de los servidores se detecten como emisoras de correo basura.

Incluso si tienes una lista de destinatarios recopilada por medios propios, puedes correr el riesgo de que tus emails se detecten como spam si haces un envío masivo o en bloque a un único proveedor.

Por ejemplo, envías el boletín de noticias a 600 suscriptores y 120 de ellos utilizan una dirección de un proveedor gratuito tipo @gmail.com o, aunque usen otros dominios, alojan en servidores de @gmail.com de forma indirecta.

Los 120 emails llegan en cuestión de segundos, de golpe, con lo que aumentan las posibilidades de que vayan directamente a la bandeja de spam y no sean leídos por sus destinatarios.

¿Cómo fraccionar el envío por lotes?

La mayoría de aplicaciones especializadas en el envío de boletines, incluyen una opción para hacer el envío fraccionado. No hay un número concreto que pueda garantizarte que el envío llegue a la bandeja de entrada, pero mientras menos envíes en 1h, más posibilidades tienes.

Si te sirve a modo de orientación, el boletín de Honesting se fracciona en grupos de 30 emails máximos por hora. Cuando no hay prisa en que se envíen los emails, un fraccionamiento en lotes pequeños mejora la recepción de los mismos.

En el caso de que tus envíos tengan cierta urgencia (ofertas limitadas en el tiempo, promociones que caducan en unas horas, etc.) siempre puedes ampliar a un plan superior con un límite de envíos mayor.

CategoriasHosting

Contra el spam

spam

Una mala gestión del correo basura puede traernos más de un problema, el más común es que termine llenando todo nuestro espacio en el servidor, además de hacernos perder mucho de nuestro valioso tiempo. Si recibes un aviso de que tu cuenta está bloqueada por envio/recepción de spam, aquí te dejamos algunos consejos sobre el procedimiento a seguir:

  1. Revisa si tienes alguna cuenta configurada como catch-all, esto puedes verlo desde tu cpanel en la sección email. Si no quieres recibir los correos perdidos enviados a tu dominio (recomendado) escribe esto tal cual ::blackhole::
  2. Activa el SpamAssassin en la misma sección (Emails) de tu cpanel
  3. Borra o descarga los correos que tengas en el servidor para liberar espacio. Mejor leer el correo con un cliente destinado para tal, que dejarlos en el servidor ocupando espacio innecesario.
  4. Planteate si ya ha llegado el momento de ampliar a un plan superior.
  5. Cambia la contraseña de todos las cuentas de correo, revisa las personas que tienen acceso a tu espacio. Muchas veces los problemas son internos.
  6. Haz un escaneo completo de todos los equipos que utilizan cuentas de correo bajo tu dominio, para revisar que no estés siendo victima de algún virus.
  7. ¿Tienes todos tus sistemas web actualizados?

Con todos estos consejos, seguro que sacar el máximo provecho a tu parcela de Internet ¡suerte!

CategoriasHosting

¿Qué es el Spam?

Actualmente se denomina Spam o “correo basura” a todo tipo de comunicación no solicitada, realizada por vía electrónica.

 

De este modo se entiende por Spam cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es mediante el correo electrónico.

 

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información (a consecuencia de la transposición de la Directiva 31/2000/CE) como por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos.

El bajo coste de los envíos vía Internet (mediante el correo electrónico) o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades en el volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada.

La Ley de Servicios de la Sociedad de la Información, en su artículo 21.1 prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del artículo, que autoriza el envío cuando exista una relación contractual previa y se refiera a productos similares. De este modo, el envío de comunicaciones comerciales no solicitadas puede constituir una infracción leve o grave de la LSSI.

Además de suponer una infracción a la Ley de Servicios de la Sociedad de la Información, la práctica del Spam puede significar una vulneración del derecho a la intimidad y el incumplimiento de la legislación sobre protección de datos, ya que hay que tener en cuenta que la dirección de correo electrónico puede ser considerada como dato de carácter personal.

La Directiva sobre Privacidad en las Telecomunicaciones de 12 de julio de 2002 (Directiva 58/2002/CE) actualmente transpuesta en la Ley 32/2003 General de Telecomunicaciones que modifica varios artículos de la Ley 34/2002 introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, el consentimiento previo de la persona para el envío de correo electrónico con fines comerciales. De este modo, cualquier envío con fines de publicidad queda supeditado a la prestación del consentimiento, salvo que exista una relación contractual previa y el sujeto no manifieste su voluntad en contra.

CategoriasHosting

Aclaraciones legales sobre envio de Spam

spam-legal

Consultamos con nuestro abogado para que nos aclare cuestiones relativas al envío de spam, a empresas que venden listados de contactos y envíos masivos:

Solo hay dos opciones legales para poder enviar correos electrónicos con contenido comercial:

1) Son CLIENTES tuyos y además les mandas información sobre productos y servicios análogos o complementarios a los que ya te han contratado.

2) Han autorizado expresamente la recepción de comunicaciones comerciales. En el caso de empresas de venta de listados, como todo en la vida las hay más o menos serias. Si una empresa en su contrato de venta de las BB.DD. te especifica que las direcciones han sido obtenidas con el consentimiento de su titular para recibir comunicaciones electrónicas del sector o tipos de productos sobre los que tú quieres enviar esos correos, entoces podrás utilizarlas, en el resto de los caso no.

Ejemplo de cláusula legal dudosa: La información sobre las empresas que figuran en nuestros listados de empresas es relativa a sociedades mercantiles y empresarios individuales en su faceta comercial, no son de carácter confidencial y han sido captadas de fuentes de acceso público, publicado en papel, vía internet, directorios de empresas, catálogos impresos, etc. o facilitados por las mismas empresas. Por lo cual estos datos no atentan contra el honor e intimidad personal quedando fuera del ámbito legislativo en materia de Protección de datos, de acuerdo con el artículo 2 del Reglamento de desarrollo de la Ley 15/1999, de 13 de diciembre.

Para empezar se escudan en una Ley que no es la aplicable a este supuesto, el envío de comunicaciones comerciales por vía electrónica aunque lo vigila la Agencia de Protección de Datos, está regulado en la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) y no en la LOPD que es la que ellos mencionan. Así que imagínate las garantías legales que ofrece esa BB.DD. Además cuando se utiliza una BB.DD. de este estilo hay que cumplir una serie de requisitos adicionales ( Filtrarlo con una BB.DD. de lista robinson y avisar en el texto legal del correo de la procedencia de la bb.dd.).

José Antonio Maroto

www.techlegal.es

CategoriasHosting

Conoce la plataforma de hosting

Tu controlas el panel

Disfruta de lo simple que resulta tener tu propio proyecto en Internet; correo, web, base de datos… sencillo en nuestra plataforma. Con un sencillo y potente panel de control

panel

Estadísticas diarias

No sólo se trata de estar en Internet, sino de saber en cada momento lo qué sucede en tu web, de dónde vienen las visitas, qué palabras clave utilizan los visitantes en los buscadores…

estadisticas

Copias de Seguridad

Descarga y gestiona copias de seguridad de todos tus datos de forma sencilla

seguridad

Cientos de Aplicaciones

Instala cientos de aplicaciones gratuitas y de código libre, personaliza tu proyecto web con foros, galerías de imágenes, redes sociales privadas, etc.

CategoriasHosting

Configurar tu cuenta de correo en Outlook Express

Lo primero y más importante es haber creado dichas cuentas en vuestro panel de control del hosting, ya que si antes no las creamos no existirán y por lo tanto será inutil el configurarlas en Outlook Express.

Para crear nuestras cuentas de correo, bastará con seguir las instrucciones del e-mail que recibimos una vez que contratamos nuestro plan de alojamiento.

Es muy importante que recordemos el nombre de las cuentas y las contraseñas que que hemos establecido para cada una de ellas cuando las creamos, ya que posteriormente deberemos utilizarlas al configurarlas en Outlook Express.

El segundo paso será abrir el programa Outlook Express en nuestro ordenador (dicho programa se instala por defecto con Windows, por lo que no necesitaremos descargarlo ni volverlo a instalar).

Una vez abierto el programa haremos lo siguiente:

Pulsaremos en el menú superior sobre la opción «Herramientas», y en el desplegable que se abrirá pulsaremos sobre «Cuentas».

Al pulsar sobre «Cuentas» se abrirá la siguiente caja de diálogo. En ella deberemos pulsar sobre la pestaña «Correo» y posteriormente sobre el botón «Agregar», se nos mostrará un menú desplegable y elegiremos «Correo»

El siguiente paso será introducir el nombre que queremos que se muestre como remitente de nuestros mensajes. Es aconsejable introducir nuestro nombre o el de nuestra empresa. Una vez introducido el nombre pulsaremos sobre el botón «Siguiente»

En la siguiente pantalla introduciremos la dirección de correo electrónico que otras personas utilizarán para responder a nuestros mensajes, por regla general se introducirá la cuenta de correo que estamos configurando. Una vez introducida la dirección de correo pulsaremos sobre «Siguiente»

Ahora introduciremos el correo saliente y entrante de nuestro servidor.

Servidor de Correo entrante (POP3 o IMAP): Nombre o dirección IP del servidor de correo electrónico destinado para recibir correos. Ejemplo: dominio.com

Servidor de Correo Saliente (SMTP): Nombre o dirección IP del servidor de correo electrónico destinado para enviar correos. Ejemplo: dominio.com

Pulsaremos sobre «Siguiente»

Lo siguiente será introducir el nombre de la cuenta de correo y su contraseña, que serán las mismas que establecimos al crear la cuenta de correo desde el panel de control de nuestro hosting.

En el campo «Nombre de cuenta» introduciremos el nombre de la cuenta que creamos en el panel de control.

En el campo «Contraseña» introduciremos la misma contraseña que elegimos cuando creamos la cuenta en el panel de control del hosting, respetando las mayúsculas y minúsculas.

Pulsaremos sobre «Siguiente»

Ya casi hemos terminado, ahora pulsaremos sobre el botón «Finalizar»

Si deseamos configurar más cuentas de correo en Outlook Express, simplemente debermos seguir los mismos pasos para cada una de las nuevas cuentas.