Fernando Garcia

Si te interesa disponer monitorizado y centralizada la información de tu infraestructura, qué mejor que utilizar GVM o Greenbone Vulnerability Management para buscar vulnerabilidades y Centreon para tenerlo centralizado y controladito.   A día de hoy existen diversos softwares que nos permiten realizar búsquedas de vulnerabilidades en nuestros sistemas, gratuitos ya es otra cosa, históricamente […]

La entrada Centralizando el control de nuestras vulnerabilidades con Centreon apareció primero en Blog Bujarra.com.

No es la primera vez que en se habla en El lado del mal de “puntos flacos”, debilidades o leaks que WhatsApp ha sufrido y sufre con respecto a la privacidad y seguridad de sus usuarios. Desde debilidades que WhatsApp ya ha arreglado, como la que permitía desbloquearse con un servicio, trucos para esquivar el check azul o para lo contrario, para saber si un usuario ha leído o no un mensaje.

Figura 1: WhatsApp: Cómo un atacante puede bloquear

tu cuenta sin que la puedas desbloquear

También se han visto problemas más serios, como el bypass del SceenLock con FaceID en una versión de WhatsApp, o el posible de robo de una cuenta mediante el acceso a los códigos de recuperación enviados al buzón de voz, como nos contó Yaiza Rubio, pasando por leaks como el que permite saber el nombre de cualquier usuario que te ha enviado un mensaje, los ataques a las empresas mediante el robo de cuentas o mil y un trucos para espiar WhatsApp que se han podido utilizar a lo largo del tiempo.

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

D.o.S. a una cuenta de WhatsApp

Hoy vamos a centrarnos en un ataque de Denegación de Servicio (D.o.S.: Denial of Service) que puede hacer que tu cuenta de WhatsApp se quede inutilizada durante un tiempo indefinido, gracias a que la app de WhatsApp permite realizar intentos infinitos a cualquier atacante sobre un número de teléfono asociado a una cuenta de WhatsApp de su víctima.

Esto es sencillo de entender, porque como ya sabe todo el mundo, la forma en la que WhatsApp verifica la propiedad de una cuenta es mediante un SMS de verificación, o una llamada de voz asociada a un número de teléfono.

Figura 3: Solicitud de Código de la validación de WhatsApp

De esta forma, al introducir el código recibido en la aplicación somos capaces de verificar que ese usuario efectivamente es el poseedor de la línea y quiere iniciar sesión o registrarse en WhatsApp.  Conociendo este sistema, es fácil que surja la siguiente pregunta, ¿sería posible realizar un ataque de fuerza bruta introduciendo infinidad de códigos SMSs en la aplicación hasta dar con el correcto? 

Pues bien, para que esto no suceda, tras el octavo intento WhatsApp pone un temporizador de 12 horas en el que se impide introducir códigos de SMS para ese número, desde cualquier dispositivo (incluido el de la víctima).

Figura 4: Advertencia de no poder probar más códigos

Esto, tiene cierto sentido, de esta manera evitaríamos que un atacante con dispositivos ilimitados pudiese probar códigos de SMS ilimitados, pero también, como vamos a ver, tiene un problema que puede ser explotado por una atacante para hacer un ataque de D.o.S.

Figura 5: Demo de bloqueo de códigos de verificación de víctima

Como se ha visto en el ejemplo, pedir códigos SMS hasta que WhatsApp bloquee los SMS de verificación durante un periodo largo de 12 horas es, por separado, un ataque bastante "inofensivo", pues solo afectaría a la víctima en caso de ella quisiera iniciar sesión en otro móvil en esas primeras 12 horas, algo poco habitual. Sin embargo, y como hemos explicado en Forbes esto puede ser más peligroso de lo que parece.

Figura 6: Envío a WhatsApp notificando la perdida de nuestro terminal.

El problema de este ataque es que, con la combinación que habilita WhatsApp para cerrar la sesión de tu móvil sin autenticación previa, de forma remota y de manera automatizada, con simplemente enviar un e-mail a la dirección support@whatsapp.com con el contenido de mensaje:

"Lost/Stolen: Please deactivate my account +34 XXX XX XX XX"

La única "limitación" es que solo se puede enviar un e-mail de este estilo por cuenta de correo y por número de teléfono. Pero aún así, con solo un mensaje de este tipo, llegados a este paso la víctima verá el siguiente mensaje, en el que presionando cualquiera de los botones se pedirá que se vuelva a validar.

Figura 7: Notificación de que te han expulsado de la sesión actual de WhatsApp

Ahora, al probar con cualquier código de verificación de cuenta, incluso el último correcto que haya recibido, la víctima estará fuera de WhatsApp y no podrá iniciar sesión hasta pasadas 12 horas, que es cuando podrá pedir un nuevo código de verifación que se utilizable.

Figura 8: Advertencia al introducir el código correcto.

El problema es que, si el atacante quiere que esto sea permanente solo deberá realizar el mismo ataque de fuerza bruta probando SMSs hasta en tres ocasiones, una vez transcurran las 12 horas, para conseguir otro bloqueo de igual periodo de tiempo. En este momento la cuenta atrás dejará de marcar 12 horas para marcar -1 segundos, habiendo bloqueado la cuenta permanentemente.

Figura 9: Tras el tercer intento el contador marcará “-1 segundos” siendo permanente.

Si eres un lector de este blog probablemente te guste tener tus cuentas lo más protegidas posibles, eso incluye, las que ya hemos comentado previamente. No obstante, y hasta que WhatsApp solucione el fallo, todos somos vulnerables a un tipo de ataque en el que ni la verificación en dos pasos podría ayudarnos, así que ten mucho cuidado con quién compartes tu número de teléfono.

Saludos,

Autores: Luis Márquez Carpintero y Ernesto Canales Pereña

Contactar con Luis Márquez Carpintero

Sigue Un informático en el lado del mal RSS 0xWord

Cuando instalamos una red profesional, es fundamental monitorizarla adecuadamente para comprobar que todos los sistemas están funcionando correctamente. ManageEngine OpManager es un sistema de monitorización que nos permitirá comprobar si nuestros routers, switches, puntos de acceso WiFi, controladores WiFi, servidores, máquinas virtuales e incluso las impresoras y dispositivos de almacenamiento están funcionando adecuadamente. Todo lo que tenga una dirección IP se puede monitorizar con esta herramienta, hoy en RedesZone os vamos a explicar las principales características y posibilidades de este completo software.

¿Para qué quiero un software de monitoreo de redes?

Hoy en día las empresas confían en las redes para la realización de todas sus operaciones, mantener en funcionamiento todos los sistemas es crucial, y también lo es monitorizarlos adecuadamente para adelantarnos a problemas más graves que hagan que las operaciones de la empresa tengan que pararse. La monitorización de todos los dispositivos de red es algo fundamental y básico, que cualquier empresa debería utilizar.

Hoy en día no solamente tenemos una red local donde intercambiamos una gran cantidad de información vía samba, sino que también tenemos una nube privada e incluso una nube pública para las copias de seguridad. Los administradores de redes deben monitorizar tanto el buen funcionamiento de la red, como también su rendimiento, para evitar caídas de velocidad o problemas de interrupción del servicio.

Principales características

ManageEngine OpManager es un completo sistema de monitorización asequible y fácil de usar, todo lo que tenga una dirección IP en nuestra red local es susceptible de ser monitorizado por este software. Es capaz de monitorizar routers, switches, firewalls, servidores NAS, máquinas virtuales conectadas a la red, controladores WiFi que a su vez monitorizan los puntos de acceso WiFi, dispositivos de almacenamiento en red, e incluso impresoras y escáneres. OpManager monitoriza continuamente todos los dispositivos de la red, además, tendremos una visión global de todos los equipos monitorizados para tener un control total sobre ellos. En caso de un fallo, podremos ver en el panel de control qué ha fallado, y solucionar el problema antes de que se agrave la situación.

Este software incorpora 2000 monitores de rendimiento de red integrados, podremos comprobar la pérdida de paquetes, latencia, velocidad, errores a nivel de bit, e incluso podremos analizar cuellos de botella en el rendimiento. También podremos monitorizar el uso de CPU, memoria y disco, tanto en ordenadores como en servidores, además, también soporta comprobar estos parámetros en las máquinas virtuales, es compatible tanto con sistemas operativos Linux como Windows, además, es 100% compatible con las plataformas de virtualización VMware, Hyper-V, Xen y Nutanix.

Este software de monitorización puede enviar avisos por email y también por mensajes de texto, puede monitorizar diferentes dispositivos haciendo uso de diferentes protocolos, concretamente, podremos monitorizar todos los dispositivos a través de:

• SNMP con MIB personalizado.
• WMI
• Telnet
• SSH
• API nativa de VMware

Normalmente para la monitorización de redes y equipos se utiliza SNMP, WMI y también SSH, por tanto, este sistema de monitorización es compatible con todos los dispositivos. En cuanto a las redes, podremos controlar el rendimiento de la red y el tráfico de red gracias a que incorpora un módulo NetFlow, esto nos permitirá visualizar el tráfico de red, utilización del ancho de banda y tiene soporte para NetFlow, sFlow, jFlow, IPFIX y más.

Tal y como sucede en todos los sistemas de monitorización, si pruebas ManageEngine OpManager verás que nos permitirá elegir diferentes umbrales para diferentes valores, avisándonos (warning) e incluso enviándonos un mensaje de error o error crítico. Para cada monitor que podemos configurar, estableceremos un umbral diferente para obtener alertas instantáneas al sobrepasar estos valores. Una de las características más importantes es la incorporación de un panel de control totalmente personalizable, podremos elegir uno de los que ya vienen predefinidos, o diseñar uno nosotros desde cero, y es que tendremos más de 200 widgets para personalizar la interfaz gráfica de usuario como nosotros deseemos.

Si vas a monitorizar dispositivos de red, dependiendo de su CPU y ocupación de memoria, es posible que empiecen a descartar paquetes porque están colapsados, esto es un problema común en routers y también en switches. Si se descartan paquetes la latencia aumentará, y es posible que tengamos problemas graves en el funcionamiento de la red. OpManager nos permitirá monitorizar si hay pérdida de paquetes, si tenemos problemas con los DNS, o si el servidor tarda demasiado en contestar. Este software también es capaz de monitorizar la disponibilidad y fiabilidad de la WAN de Internet, independientemente de si tenemos una conexión a Internet o varias, ya que podremos monitorizar varias conexiones WAN para verificar la latencia de la conexión a Internet, con el objetivo de activar el QoS en los diferentes routers para proporcionar la mejor experiencia de usuario. Es decir, OpManager no solamente nos indicará si hay problemas, sino que nos permitirá optimizar la red para que cumpla unos parámetros que nosotros definamos.

A diferencia de otros sistemas de monitorización ampliamente utilizados, ManageEngine OpManager no quiere de grandes conocimientos de administración de redes y sistemas para hacerlo funcionar, es muy fácil de instalar y configurar.

Precios

OpManager es un sistema de monitorización de pago, no es gratuito, tiene un modelo de precios basado en características del propio sistema de monitorización, y también el número de dispositivos a monitorizar. Cuando compramos una licencia, se incluye poder monitorizar todas las interfaces, nodos y sensores del dispositivo, no importa que un router tenga 5 interfaces y queramos monitorizarlas todas, contará como un solo dispositivo, a diferencia de sus competidores.

ManageEngine OpManager dispone de un total de tres versiones:

• Standard Edition: tiene un precio de 245$ e incluye un total de 5 dispositivos en el precio, a partir de aquí, tendremos que pagar un precio adicional.
• Professional Edition: tiene un precio de 345$ e incluye un total de 5 dispositivos en el precio, a partir de aquí, tendremos que pagar un precio adicional. Esta versión es la más recomendable para entornos profesionales, porque permite amplias opciones de descubrimiento y monitorización.
• Enterprise Edition: tiene un precio de 11545$ e incluye un total de 5 dispositivos en el precio, a partir de aquí, tendremos que pagar un precio adicional. Esta versión se diferencia de la «Professional» en que permite el monitoreo de redes distribuidas (Multi-Site), el resto de opciones de descubrimiento, monitorización, gestión de usuarios etc. son exactamente los mismos.

Os recomendamos descargar la versión de prueba de ManageEngine OpManager y utilizarla de manera intensiva, permite una prueba de hasta 30 días. Este sistema de monitorización ManageEngine OpManager es una gran opción, con muchas funcionalidades y más barato que sus principales competidores.

El artículo ManageEngine OpManager: Conoce este sistema de monitorización de redes se publicó en RedesZone.

Entre los lenguajes de programación modernos más populares y amados por los desarrolladores, Python siempre está al tope de casi todas las listas. Cuatro veces ha sido coronado por el índice TIOBE como lenguaje de programación del año, incluyendo el 2020.

Por esto y muchas razones más, no es difícil afirmar que es uno de los lenguajes de programación más relevantes de la actualidad, y uno que muchos desarrolladores quieren aprender o dominar. Para estos casos nunca sobran los recursos educativos, y si son libros lo que quieres, hay una excelente lista de libros de Python en GitHub que lleva un par de años recopilando algunos de los mejores.

Libros gratis sobre Python

En 2019, Paolo Amoroso, un programador "aficionado" que empezó a coquetear con ordenadores y desarrollo en los años 80, y cuyo principal amor es Python, se encontró con un post en Reddit en el que los usuarios buscaban recomendaciones para convertirse en mejores programadores Python.

En ese hilo, uno de los comentarios pedía recomendaciones de libros o sitios web sobre algoritmos y estructuras de datos que fuesen buenos. Como Paolo ya había amasado con los años cierta colección de enlaces con recursos para aprender Python, las comenzó a compartir en los comentarios, y con el tiempo decidió crear una lista de todos los libros gratis sobre Python que había encontraron y el interés del resto de usuarios en r/Python fue tal que decidió organizar mejor todo para ponerlo a disposición de más gente en la web.

En Genbeta

20 cursos y tutoriales de Python para aprender a programar en el lenguaje más amado por los desarrolladores

Así es como nació el proyecto Free Python Books, una lista de ebooks gratuitos sobre Python que sigue creciendo hasta el día de hoy y al que cualquiera puede contribuir. Todos los libros son en inglés y pueden o leerse online o descargarse gratis.

La lista tiene más de 50 libros listado según nivel de experiencia, y al final también hay dos pares de enlaces a otras listas con cientos de libros sobre Python gratis para complementar esta lista. Es un excelente recurso para tener a mano en un día lluvioso.

-
La noticia Free Python Books: la lista definitiva de libros gratis para desarrolladores que quieren aprender Python fue publicada originalmente en Genbeta por Gabriela González .

Los routers son una pieza fundamental para las conexiones de Internet. Esto significa que en caso de que surja algún problema podemos ver cómo podríamos tener limitaciones para acceder a la red o incluso nuestros datos podrían estar en peligro. En este artículo nos hacemos eco de una vulnerabilidad encontrada en routers de Cisco que no va a ser corregida.

Un fallo de seguridad en routers Cisco no va a ser corregido

Un grupo de investigadores de seguridad ha encontrado una vulnerabilidad crítica que afecta a los routers Cisco Small Business. El problema es que afecta a dispositivos que no reciben ya actualizaciones, por lo que este problema no va a ser corregido.

Este fallo de seguridad permitiría a un atacante ejecutar código arbitrario como si fuera el administrador y de esta forma tomar el control. Esta vulnerabilidad está presente en la interfaz de administración. Afecta concretamente a cuatro modelos de routers Cisco: RV110W, RV130, RV130W y RV215W.

La vulnerabilidad se debe a una validación incorrecta de las entradas proporcionadas por el usuario. Esto abriría la puerta a un posible intruso que lleve a cabo un ataque de ejecución remota y ponga en peligro la seguridad.

Ha sido registrada la vulnerabilidad como CVE-2021-1459 y ha recibido una puntuación de 9,8 sobre 10. Estamos por tanto ante un fallo de seguridad grave. Ahora bien, pese a ser una vulnerabilidad crítica no van a recibir una corrección. Estos routers se encuentran ya fuera del tiempo de mantenimiento desde hace unos meses.

Cisco recomienda cambiar los dispositivos

Como hemos mencionado, Cisco no va a lanzar actualizaciones de seguridad para esos modelos. Ya no forman parte de los equipos que reciben correcciones cuando surgen problemas de seguridad. No obstante, la compañía ha recomendado a los usuarios reemplazarlos por otros modelos más actuales que sí reciben actualizaciones y que, por tanto, son seguros.

También indican que los usuarios pueden ver si la función de administración remota está habilitada. Para ello habría que ir a la administración basada en web y elegir Configuración básica y Administración remota. Si la casilla de verificación Habilitar está marcada, la administración remota está habilitada en el dispositivo.

Como siempre decimos, es muy importante mantener los equipos correctamente actualizados. Son muchas las ocasiones en las que pueden surgir vulnerabilidades que puedan ser explotadas por los piratas informáticos y lograr así su objetivo. Sin embargo, en caso de utilizar un dispositivo obsoleto, que no reciba ya las actualizaciones regulares, esto podría ser un problema. Es el caso de los routers Cisco que no van a recibir solución a la vulnerabilidad CVE-2021-1459 detectada.

Especialmente los equipos de red, como por ejemplo el router, es aún más importante que estén actualizados, seguros y que cuenten con todo lo necesario para no poner en riesgo nuestra seguridad. Siempre debemos contar con las últimas versiones del firmware y estar atentos de posibles actualizaciones y parches que puedan lanzar. Ya explicamos en otro artículo cómo actualizar los dispositivos de red. Es algo que debemos hacer siempre que sea posible y así mejorar el rendimiento y la seguridad.

El artículo Vulnerabilidad crítica en routers Cisco que no corregirán se publicó en RedesZone.

Son muchos los servicios y programas que tenemos a nuestra disposición para poder compartir archivos por Internet de una manera rápida y sencilla. Podemos enviar carpetas a otros usuarios, compartir archivos y poder trabajar en remoto, crear copias de seguridad y tenerlas siempre en la nube… Ahora bien, un factor muy importante va a ser la seguridad y evitar problemas. En este artículo vamos a hablar de Wormhole, un servicio que permite enviar archivos cifrados de hasta 10 GB.

Wormhole, un servicio para enviar archivos cifrados

También hay que tener en cuenta que no todos los servicios online que nos permiten enviar archivos a otros usuarios tienen tanta capacidad. Es muy común encontrarnos con servicios similares que están limitados a 1 o 2 GB en su versión gratuita. Sin embargo en este caso podemos enviar hasta 10 GB sin ningún problema.

Wormhole funciona de una manera similar a otros servicios similares. Se puede utilizar desde el propio navegador, sin necesidad de instalar ningún programa. El modo de uso es muy intuitivo. Cuando entramos en la página web nos encontraremos con un botón para agregar archivos, aunque también podemos arrastrarlos directamente.

Una vez subimos ese archivo, como podemos ver en la imagen de arriba nos aparece un mensaje indicando que se ha cifrado y que estará disponible durante 24 horas. Además, podremos ver la opción de copiar el link o darle a compartir para que nos muestre las opciones. Simplemente tenemos que copiar el enlace y compartirlo con cualquier usuario y podrá descargar ese archivo sin problemas.

También podemos darle a Previsualizar y nos mostrará los archivos que hemos subido. Por ejemplo en nuestro caso simplemente hemos subido un archivo de texto con el nombre de RedesZone, nos aparece como se ve en la imagen de abajo.

El enlace caduca pasadas 24 horas

Un punto muy importante y que debemos tener en cuenta es que los enlaces caducan cuando pasan 24 horas. Por tanto, si vamos a enviar alguna carpeta o archivos a algún amigo o familiar, hay que tener en cuenta que deberían descargarlo lo antes posible. No puede pasar más de un día, ya que de lo contrario tendríamos que volver a subirlo. Ya vimos los mejores servicios de almacenamiento en la nube.

Hay que indicar que la interfaz web es muy intuitiva, la página carga veloz y no es necesario registrarnos. El funcionamiento es tan simple como darle a subir un archivo, seleccionar la carpeta en nuestro equipo y darle a subir. También, como hemos indicado, simplemente podemos arrastrar y soltar.

El tamaño máximo es de 10 GB, que podremos dividir en varios archivos o simplemente subir uno grande. Esto es sin duda uno de los puntos fuertes, ya que no muchos servicios gratuitos y además de forma cifrada van a permitir enviar un tamaño similar.

En definitiva, Wormhole es un servicio online muy interesante para compartir archivos con otros usuarios. Nos permite enviarlos de forma cifrada y no correr así ningún riesgo. Es por tanto una opción a tener en cuenta dentro del abanico de posibilidades que existen. No necesita instalación y eso también es importante.

El artículo Envía archivos de hasta 10 GB totalmente cifrados con Wormhole se publicó en RedesZone.

El Gobierno de España va a invertir 450 millones en los próximos tres años para impulsar el sector de la ciberseguridad de nuestro país y, entre las medidas que se llevarán a cabo con ese desembolso, va a crear un programa formativo de seguridad cibernética que ha denominado Academia Hacker, según ha informado el Ministerio de Asuntos Económicos y Transformación Digital en una nota.

La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, ha informado de que los fondos se destinarán a tres ejes principales: impulsar el ecosistema empresarial del sector, fortalecer la ciberseguridad de ciudadanos y pymes y consolidar a España como un nodo internacional en el ámbito de la seguridad cibernética.

Para ello, el Gobierno ha anunciado la creación de distintos programas para acelerar el crecimiento de startups de ciberseguridad, impulsar la internacionalización o desarrollar el talento nacional en este sector, y también ha asegurado que tratará de incentivar la innovación en seguridad cibernética a través de “la compra pública innovadora”. Sin embargo, no han dado muchos más detalles al respecto.

El anuncio de la secretaria de Estado de Digitalización e Inteligencia Artificial deja, de esta forma, más preguntas que respuestas, pero en el sector consideran positivo que se siga invirtiendo en ciberseguridad aunque por el momento se desconozca la articulación concreta del desembolso.

"Que haya más inversión en ciberseguridad siempre es positivo para todos, los incidentes de los últimos años han puesto de manifiesto lo importante que es. No obstante, habrá que ver cómo se reparte finalmente, porque si después sólo las grandes empresas acceden a estas subvenciones no se habrá ayudado al desarrollo del sector en absoluto", opina Deepak Daswani, experto en ciberseguridad.

Unas dudas sobre el reparto de la inversión que comparte Rafael García, CTO de Hack By Security: "Cualquier inversión en ciberseguridad es una buena noticia, pero es cierto que las ayudas no suelen llegar a las pymes del sector, porque tienes que pasar por un proceso selectivo, justificar muchísimas cosas y presentar proyectos, que son evaluados y en función de esa evaluación reciben una cantidad de dinero determinada. Y claro, las empresas grandes pueden abordar proyectos muy grandes, pero las pequeñas se lo piensan mucho, no por capacidad técnica, sino por no poder abordar esa dedicación económicamente sin saber si conseguirán el dinero".

Y la falta de información por parte del Ministerio de Asuntos Económicos y Transformación Digital acerca de esta inversión no hace sino acrecentar esas dudas.

En Xataka

Así fue primer bug bounty de una Administración Pública en España: 15 hackers contra la Generalitat catalana

Academia Hacker

El Ministerio sí han compartido algo más información acerca del lanzamiento de Academia Hacker, un programa de formación en ciberseguridad público y articulado a través del Instituto Nacional de Ciberseguridad (INCIBE) de ocho semanas de duración que tendrá lugar entre el 3 de mayo y el 25 de junio de 2021 en formato online, y en el que podrán participar hasta 400 equipos de entre cuatro y ocho integrantes.

“Se formará a los integrantes en distintas capacidades y habilidades técnicas. Cada equipo tendrá que superar diferentes retos planteados con temáticas relacionadas con la ciberseguridad dentro de un escenario lúdico”, explica la nota. Este programa está dirigido a mayores de 14 años y será gratuito.

No obstante, el anuncio de este programa formativo también tiene importantes lagunas informativas: el Ministerio no especifica qué tipo de cualificación ofrecerá ni si estará dirigido a la adquisición de conocimientos básicos o competencias profesionales técnicas orientadas al empleo. Tampoco ha especificado la forma en la que se pueden inscribir los interesados.

Desde el Ministerio han explicado a Xataka que están ultimando los detalles del curso y no pueden ofrecer, por el momento, más información al respecto, aunque señalan que pronto anunciarán nuevas novedades. Asimismo, explican que, por el momento, sólo han organizado la edición de 2021 y estudiarán la celebración de nuevas ediciones en función de la acogida que tenga la de este año.

El encargado de desarrollar todas estas iniciativas y programas es el Incibe, que articulará esta inversión a través del Plan Estratégico 2021-2025.

-
La noticia Una academia hacker estatal y una inversión de 450 millones de euros: así quiere el Gobierno impulsar la ciberseguridad española fue publicada originalmente en Xataka por Pablo Rodríguez .

Enlarge (credit: Getty Images)

Ransomware operators shut down two production facilities belonging to a European manufacturer after deploying a relatively new strain that encrypted servers that control a manufacturer's industrial processes, a researcher from Kaspersky Lab said on Wednesday.

The ransomware, known as Cring, came to public attention in a January blog post. It takes hold of networks by exploiting long-patched vulnerabilities in VPNs sold by Fortinet. Tracked as CVE-2018-13379, the directory transversal vulnerability allows unauthenticated attackers to obtain a session file that contains the username and plaintext password for the VPN.

With an initial toehold, a live Cring operator performs reconnaissance and uses a customized version of the Mimikatz tool in an attempt to extract domain administrator credentials stored in server memory. Eventually, the attackers use the Cobalt Strike framework to install Cring. To mask the attack in progress, the hackers disguise the installation files as security software from Kaspersky Lab or other providers.

Read 11 remaining paragraphs | Comments

Figura 1: ¿Tus jefes no entienden tu proyecto? Recuérdales cómo Xerox Alto perdió el negocio del siglo que aprovecharon Bill Gates y Steve Jobs

De hecho, fue tal la calidad de esta demostración que se bautizó como “La Madre de todas las Demos”. Por ejemplo, presentó el ratón, la interfaz gráfica para el sistema operativo, enlaces dinámicos a ficheros (hipertexto e hiperenlaces), trabajo colaborativo, edición de documentos con copiar y pegar, y un largo etcétera. En este vídeo tienes el resumen de todas las novedades presentadas... en 1968.

Figura 2: Trailer de la charla "La madre de todas las demos"

Todos esos avances que mostró durante la demostración están hoy día, totalmente establecidos en el mundo de la informática. Pero pasó bastante tiempo después de la demostración hasta que empresas como Xerox (de la que ahora hablaremos), Apple o Microsoft rescataran esas maravillas presentadas por Douglas Engelbart. Pero, para que esto ocurriera, tuvieron que pasar diez años. ¿Qué pasó entonces? ¿Por qué nadie saco partido de esas increíbles ideas que estaba presentando Engelbart? …

Figura 3: Douglas Engelbart explicando la demostración.

Antes de contestar a esa pregunta, volvamos de nuevo a ese día 9 de diciembre de 1968 en San Francisco, unas horas antes de la “Madre de todas las Demos”. Un joven de 28 años llamado Alan Kay, había cogido un vuelo desde Utah a San Francisco, a pesar de estar enfermo, estaba totalmente decidido a no perderse el evento. 

Figura 4: Alan Kay mostrando un concepto de Dynabook en 2008

Figura 6: Xerox Alto

Figura 7: Aspecto del SO del Xerox Alto también llamado SmallTalk

Figura 8: "The Innovators", imprescindible.

Entonces, cuenta la leyenda (no es una historia confirmada al 100% aunque la visita de Steve Jobs se produjo) en 1979 un joven emprendedor llamado Steve Jobs, se acercó a Xerox Parc con un equipo de empleados de una empresa que acababa de fundar con su amigo Steve Wozniak llamada Apple y allí descubrieron esas maravillosas invenciones olvidadas … pero esto amigos es otra historia de la que os hemos hablado en nuestro libro de Microhistorias: Anécdotas y curiosidades de la historia de la informática y los hackers.

Figura 9: Libro de "Microhistorias: anécdotas y curiosidades de la historia de la informática (y los hackers)"

La historia de Xerox es apasionante, Steve Jobs se llevó las ideas, contrató a Microsoft desde Apple, y acabaría en la mítica frase de Bill Gates:

“Bien Steve, creo que es tú forma de verlo. Más bien es como si ambos tuviéramos un vecino rico llamado Xerox y yo entrara en su casa para robar la TV y luego darme cuenta que tú ya la habías robado antes …” 

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.

Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso (@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.

Contactar con Rafael Troncoso en MyPublicInbox

Sigue Un informático en el lado del mal RSS 0xWord

pfSense es un sistema operativo orientado a firewall que también actúa como router profesional, ya que tendremos cientos de opciones de configuración avanzadas, e incluso la posibilidad de instalar software adicional para ampliar aún más sus funcionalidades. Si alguna vez has querido probar pfSense, pero no sabes por dónde emepzar, hoy en RedesZone os vamos a enseñar cómo configurar la conexión a Internet, cómo crear VLANs para segmentar el tráfico, configurar el servidor DHCP con su correspondiente Static DHCP, e incluso configurar el servidor DNS, el UPnP y también a abrir puertos en la NAT (Port forwarding).

Lo primero que tenemos que hacer es entrar en pfSense con la puerta de enlace predeterminada. Por defecto, tenemos dos interfaces con la siguiente configuración:

• WAN: configurada como DHCP cliente sin VLANs ni ninguna configuración adicional. No se permite acceso a la administración por defecto.
• LAN: configurada con 192.168.1.1/24 y con DHCP activado. Se permite acceso a la administración por defecto.

Por tanto, para acceder a la administración del firewall y router deberemos poner en la barra de direcciones https://192.168.1.1, el nombre de usuario es «admin» y la clave es «pfsense», así accederemos directamente al menú de configuración vía web, donde podremos ver lo siguiente:

Configurar conexión a Internet

pfSense está diseñado para conectarse directamente a Internet y tener la dirección IP pública que nos proporciona el operador, es muy importante tener una IP pública y no estar detrás de CGNAT, de lo contrario, no podremos hacer reenvío de puertos ni acceder remotamente al propio pfSense. En España, es muy habitual que los operadores de FTTH utilicen diferentes VLAN ID para proporcionar su conexión a Internet. En algunas ocasiones, como Movistar / O2, podemos poner el router en monopuesto y configurar únicamente el PPPoE, pero en otras ocasiones como Grupo masmovil, debemos configurar un VLAN ID en la WAN de Internet para que funcione, de lo contrario, no tendremos conexión a Internet.

Si tu operador necesita hacer uso de un VLAN ID, en pfSense debemos seguir los pasos que os detallamos a continuación, si no necesitas VLANs, puedes saltarte este paso:

1. Irnos a «Interfaces / Interface Assignments«, en la pestaña de «VLANs» es donde tendremos que crearlas.
2. Parent Interface: asegurarnos de que elegirmos el puerto asignado a la WAN de Internet, no a la LAN.
3. VLAN Tag: Crear el VLAN ID que se corresponde con la conexión a Internet, en Movistar/O2 es el 6, en Grupo Masmovil indirecto es VLAN ID 20, esto depende de cada operador.
4. VLAN Priority: podemos dejarlo vacío.
5. Descripción: ponemos un nombre descriptivo, por ejemplo, «Internet».

Una vez que hayamos creado al VLAN, tenemos que aplicarla en la WAN de Internet. Volvemos al menú de Interfaces / Interface Assignments y en la sección de WAN, seleccionamos «VLAN 20 on em0», es decir, la VLAN que acabamos de crear. Una vez hecho, pinchamos en «Save» para guardar los cambios.

Ahora tendremos que irnos a «Interfaces / WAN» y realizar la configuración que nos brinda el operador, por ejemplo, Grupo Masmovil hace uso de DHCP, pero Movistar/O2 hace uso de PPPoE. Dependiendo del operador tendremos un tipo de conexión u otro, un nombre de usuario/clave u otro, pero todas las opciones de cara a la WAN están en esta sección. Es muy recomendable marcar las dos casillas de la parte inferior, tanto «Block private networks and loopback addresses» como «Block bogon networks», para meter reglas en el firewall bloqueando estas redes en la WAN de Internet.

Llegados a este punto, ya deberíamos tener conexión a Internet sin problemas, obteniendo la IP pública del operador y los servidores DNS que nos proporcionan a nivel de red.

Crear VLANs para segmentar tráfico

Las VLANs (Virtual LAN) nos permite separar el tráfico de diferentes redes para aumentar la seguridad de la red, podremos crear varias VLANs para separar las redes y tener diferentes niveles de permisos y accesos en cada red local creada. Una arquitectura de red típica, consiste en tener todas las VLANs creadas en el pfSense, y conectar un cable desde un puerto físico de la LAN hasta un puerto de un switch gestionable en modo trunk, de esta forma, estaremos pasándoles todas las VLANs (con etiqueta) creadas en el switch al pfSense para hacer inter-vlan routing, y también para tener la posibilidad de configurar diferentes reglas.

Lo primero que tenemos que hacer para crear VLANs en la LAN, es irnos a la sección de «Interfaces / Interface Assignments«.

Una vez aquí, pinchamos en la sección de VLANs para crearlas correctamente, por defecto no tenemos ninguna VLAN creada, tal y como podéis ver a continuación:

Para crear una nueva VLAN, pinchamos en «Add», y a continuación realizamos los siguientes pasos:

1. Parent Interface: asegurarnos de que elegirmos el puerto asignado a la LAN (no a la WAN de Internet).
2. VLAN Tag: Crear el VLAN ID que se corresponde con el del switch.
3. VLAN Priority: podemos dejarlo vacío.
4. Descripción: ponemos un nombre descriptivo, por ejemplo, «Gestión».

Podremos crear todas las VLANs que queramos, siempre «colgando» de la interfaz LAN física. Por ejemplo, hemos creado otras dos VLANs adicionales, una VLAN para equipos y otra para invitados. El procedimiento es exactamente el mismo:

Una vez creadas, nos iremos nuevamente a «Interfaces / Interface Assignments«, aquí podremos ver un resumen de las interfaces físicas y del puerto de red. Por defecto, tendremos la WAN de Internet (con o sin VLAN), y también la LAN. Para añadir estas nuevas interfaces a la LAN, simplemente seleccionamos la interfaz «VLAN 2 on em1…» y pinchamos en «Add», y lo mismo con las demás, tal y como podéis ver en las siguientes capturas:

Una vez que las hayamos creado, en el desplegable de «Interfaces» nos aparecerán todas, con el nombre por defecto que son «OPT1», «OPT2» etc. Por defecto, tenemos la interfaz de la LAN activada, con su correspondiente dirección IPv4 privada, tomando como base esta configuración, podremos hacer el resto:

La configuración del resto de interfaces es exactamente igual, tendremos que habilitarla, poner un nombre descriptivo, poner la configuración IPv4 y/o IPv6 correspondiente, guardar cambios y aplicarlos.

Una vez configurada, podremos ver que ahora el nombre se le ha cambiado, tendremos que hacer lo mismo con las demás. Cuando hayamos terminado, en la sección de «Interface Assignments» podremos ver el nombre que le hemos dado a cada una de ellas.

Ahora, cuando conectemos diferentes equipos al switch en una VLAN de acceso en concreto, podremos acceder a esta subred local, pero debemos recordar que el servidor DHCP aún no está activado en estas VLANs recién creadas, es justamente lo siguiente que vamos a configurar.

Servidor DHCP de las interfaces LAN

Normalmente cada una de las VLAN tendrán configurado un servidor DHCP. Para hacerlo, nos vamos a la sección de «Services / DHCP Server». Justo debajo tendremos unas pestañas de LAN, gestión, equipos e invitados, las mismas redes que hemos creado anteriormente. Aquí podremos ver la subred a la que pertenece cada interfaz, y qué rango de DHCP les podemos proporcionar como máximo.

Para configurar el servidor DHCP, lo que podemos hacer es poner la misma configuración que la LAN, cambiando únicamente la subred. De esta forma, nos aseguraremos de que todo funciona bien. En estos menús también podremos añadir varios «pools» e incluso definir unos servidores WINS y DNS, también tendremos opciones de configuración avanzadas que tenemos justo en la parte inferior.

Las opciones de configuración del resto de redes que acabamos de crear son exactamente las mismas que en la LAN, lo que sí debemos tener en cuenta es poner un rango dentro de la misma subred, y que tengan suficientes hosts para que la red funcione correctamente.

Static DHCP

El static DHCP es la funcionalidad de un servidor DHCP que nos permite proporcionar la misma IP privada a la misma tarjeta de red. Poniendo la dirección MAC de la tarjeta de red y la IP privada que queramos que tenga, el servidor DHCP le brindará siempre la misma. En esta sección lo único que tendremos que rellenar es lo siguiente:

1. MAC Address
2. IP Address
3. Hostname: para darle un nombre y acceder vía dominio a él.
4. Descripción: un nombre descriptivo
5. Pinchar en «Create an ARP Table Static» para enlazar la IP y MAC.

A continuación, tenemos la posibilidad de definir servidores WINS y DNS, así como otros parámetros. Si lo dejamos todo en blanco, automáticamente va a heredar la configuración del «pool» principal, por lo que no tenemos de qué preocuparnos.

A continuación, podéis ver cómo hacerlo con nuestra MAC de un PC y la IP que queramos, faltaría por poner el hostname y una descripción.

Configurar los servidores DNS y el DNS Resolver

Para configurar los servidores DNS, nos tenemos que meter en «System / General Setup«, aquí deberemos incorporar los servidores DNS que nosotros queramos, uno por uno, por defecto se encuentra un servidor DNS pero podremos añadir un secundario. Además, podremos poner el hostname del servidor DNS para la verificación TLS, siempre que queramos tener DNS over TLS en nuestro pfSense.

Lo más importante viene en la sección de «Service / DNS Resolver», aquí lo habilitamos y permitimos que los clientes nos envíen queries, aunque lo normal es que los clientes envíen las queries a través del puerto 53 siempre, sin SSL/TLS a no ser que tengamos un cliente instalado. El resto de opciones de configuración son para definir dónde «escuchar» las peticiones de los clientes, en «Network interfaces» elegimos solamente las que nosotros queramos, la LAN, gestión, equipos, invitados y la «localhost» para que el propio pfSense se pregunte a sí mismo sobre los DNS.

También tendremos que definir la interfaz de salida, en este caso la WAN. El resto de opciones son las de habilitar soporte para DNSSEC, habilitar el módulo de python que es nuevo en pfSense, y otras opciones avanzadas. Lo normal es tener la opción de «DNS Query Forwarding» desactivado, para que sea el propio servidor DNS de pfSense quien resuelva las consultas, y posteriormente usar los DNS que nosotros pongamos.

En la sección de «opciones avanzadas» tenemos la posibilidad de configurar el DNS over TLS, podremos hacerlo añadiendo estas reglas:

Luego tenemos otras opciones en las demás pestañas del DNS resolver, en principio no deberíamos tocarlas, pero nos permitirán configurar opciones muy avanzadas relacionadas con el servidor DNS, y también crear listas de control de acceso para usar o no el DNS resolver.

Configurar UPnP y NAT-PMP con seguridad

El UPnP es un protocolo que nos permite abrir puertos en el firewall y router pfSense de forma automática, cuando un cliente solicite dicha apertura. Esto es un riesgo para la seguridad de la red, porque es posible que una determinada aplicación abra un puerto que nosotros no hemos solicitado. De cara a la seguridad, lo mejor que se puede hacer es deshabilitar siempre el protocolo UPnP y NAT-PMP.

En caso de que tengas que activarlo sí o sí, es recomendable solamente hacerlo en las direcciones IP privadas que se necesiten, y no en toda la red, con el objetivo de proteger el resto de dispositivos que están conectados.

Abrir puertos en la NAT (Port forwarding)

Cuando estamos en un entorno NAT, es posible que necesites abrir puertos para acceder desde el exterior a determinados servicios. Si tienes un servidor NAS con un servidor FTP, VPN o SSH, y quieres acceder desde el exterior a todos estos servicios, deberás abrir diferentes puertos en la NAT para permitir iniciar la conexión. Si abres puertos en la NAT, pero tienes el CG-NAT de tu operador, de nada te va a servir.

Para abrir la NAT, lo primero que tenemos que hacer es irnos a la sección de «Firewall / NAT», y en la pestaña de «Port forward» crear una nueva regla.

En este menú tendremos diferentes opciones de configuración, pero básicamente lo que deberemos rellenar es lo siguiente:

• Interface: WAN
• Address Family: IPv4
• Protocol: elegimos el protocolo, en el ejemplo es TCP
• Source: vacío
• Destination: WAN Address
• Destination Port Range: Tenemos que configurar un rango de puertos o solamente uno, si queremos un rango de puertos, en el «From» ponemos un puerto, por ejemplo el 60000, y en el «To» ponemos el puerto final, el 61000. En el ejemplo hemos abierto el puerto 51400.
• Redirect target IP: type Single host, Address la dirección IP privada a la que quieres abrir el puerto
• Redirect target port: debe ser el mismo puerto que en «Destination Port Range». Esta función, nos permite que de cara a la WAN tengamos abierto el 51400, pero de cara interno podamos «modificarlo» al vuelo y usar el 51500, por ejemplo.

En las siguientes capturas podéis ver cómo hacerlo:

pfSense nos permite utilizar una gran cantidad de protocolos, TCP, UDP, ambos, ICMP y muchos otros. Lo más normal es abrir puertos TCP o UDP, pero también podremos abrir muchos más tipos de protocolos.

Una vez que lo hayamos configurado, lo veremos en la tabla de «Firewall / NAT / Port Forward«, también debemos asegurarnos que la NAT está realizada correctamente, en «Outbound» lo podremos verificar. Ahora mismo estaremos «nateando» todas las subredes creadas. Por último, debemos comprobar que en «Firewall / Rules» y en la pestaña WAN está la regla que hemos creado en la NAT, es muy importante el orden de esta regla, si, por ejemplo, tenemos un «denegar todo» arriba después de las reglas de permiso, esta nueva regla se colocará abajo del todo, y debemos reordenarla.

Debemos recordar que las reglas se analizan en serie, desde arriba hacia abajo, si ponemos una regla muy general arriba, y abajo las más específicas, estas últimas nunca se van a satisfacer, porque anteriormente se ha cumplido una regla más general.

Configurar reglas en el firewall

Las reglas que creamos en el firewall de pfSense es la parte más importante para segmentar correctamente la red, y permitir o denegar cierto tráfico de red que fluye por las diferentes interfaces físicas y lógicas que hemos creado. En la sección de «Firewall / Rules» podremos ver diferentes pestañas para crear reglas en las diferentes interfaces, nosotros tenemos un total de cinco interfaces ahora mismo: WAN, LAN, Gestión, Equipos, Invitados.

Tenemos una pestaña adicional llamada «Floating», estas son unas reglas especiales que afectan a una o varias interfaces, y que se colocan por encima de las reglas que vamos a definir específicamente en cada una de las interfaces. Es decir, las reglas que tengamos en «Floating», si afectan a una interfaz, se verificarán antes que las reglas que vamos a definir a específicamente en la interfaz. Estas reglas de «Floating» se pueden activar en las direcciones de entrada, salida o ambas, el uso de filtrado de entrada y salida podría ser más complejo, por lo que deberás revisarlas bien antes de aplicarlas. Para ciertas aplicaciones, las «Floating Rules» son muy útiles, como para pfblocker-ng, aunque normalmente estas reglas «Floating» no se usarán.

En la sección de «Firewall / Rules / WAN» podremos ver dos reglas predefinidas, las cuales se activan al bloquear las «private networks» y «bogon networks», tal y como os hemos explicado anteriormente. La tercera regla es la de apertura de puertos que hemos realizado.

En la LAN también tenemos unas reglas predefinidas, básicamente tendremos una regla que nos impide bloquearnos a nosotros mismos para acceder a la interfaz web de administración del pfSense, si tuviéramos el servidor SSH activado, también se incorporaría aquí una regla para permitir acceso al puerto de SSH. A continuación, tenemos permiso para acceder a cualquier lugar desde la LAN, tanto con IPv4 como con IPv6.

Debemos recordar que las reglas se verifican desde arriba hacia abajo, si en la parte superior ponemos un «bloquear todo», automáticamente nos quedaremos sin conexión.

El resto de redes que hemos configurado con su correspondiente VLAN, están totalmente vacías. Si estás vacías, eso significa que tenemos un denegar todo de manera implícita, es decir, tendremos que incorporar una regla de permitir para dejar pasar el tráfico de red.

La interfaz gráfica de usuario para crear una regla es la misma para todas las interfaces, en la parte superior podremos configurar diferentes aspectos de esta regla que vamos a crear desde cero:

• Action: si queremos permitir (pass) el tráfico, bloquearlo (block), o rechazarlo (reject). Es lo primero que deberemos definir, en caso de aplicar esta regla y que se verifique, el firewall actuará en consecuencia.
• Disabled: permite deshabilitar una regla creada, esto no se debería tocar si queremos que la regla funcione.
• Interface: elegimos la interfaz física o lógica donde queremos aplicar esta regla.
• Address Family: seleccionamos el protocolo IPv4, IPv6 o ambos.
• Protocol: aquí tendremos una lista de todos los protocolos que podremos permitir o bloquear, como TCP, UDP, TCP y UDP, ESP, OSPF y mucho más.

En la siguiente galería se pueden ver todas las opciones para interface, address family y también para protocol.

Una vez que hayamos definido lo anterior, ahora tendremos que seleccionar el origen del tráfico (Source). En este caso podremos elegir cualquier origen (any), o definir un origen en concreto para una subred específica, un host individual o un alias (posteriormente os explicaremos qué es esto). También podremos elegir como origen a clietnes PPPoE, clientes L2TP, o directamente una red o dirección IP de la interfaz creada.

Exactamente las mismas opciones de configuración tendremos en la sección de «Destination», podremos elegir cualquiera, un host individual, alias, o las diferentes redes que tenemos disponibles.

Si pinchamos en la sección de «Source» en «Display Advanced» podremos ver que también tenemos la posibilidad de filtrar por origen de los puertos, proporcionando un único puerto un rango de puertos.

Si en la sección de «Protocol» elegimos el protocolo TCP u otro, y pinchamos en «Extra options / Advanced Options / Display Advanced» podremos ver las opciones avanzadas de este protocolo en concreto, para filtrarlo todo en detalle.

Una vez que hayamos rellenado todo, tendremos que pinchar en «Save», y posteriormente en «Aplicar cambios» en el pfSense, ya que nos saldrá un botón en color verde.

Aliases

Las aliases son muy útiles para proporcionar un nombre a un conjunto de direcciones IP, subredes o puertos. Esto es ideal para que, con una sola regla en el firewall, poder bloquear varias direcciones IP automáticamente, sin tener que crear 50 o más reglas para bloquear todas las direcciones IP.

En la sección de «Firewall / Aliases» podremos ver la interfaz gráfica de usuario, tendremos la posibilidad de añadir IP (hosts o redes), y también puertos. Además, en al sección de URL podremos introducir la dirección a un archivo de texto para realizar al descarga automática en el pfSense de cientos o miles de direcciones IP, redes y puertos.

Imaginemos que queremos crear un alias llamado «Ip bloquear», con un listado de direcciones IP que posteriormente queremos bloquear en el firewall. Entramos en la sección de «IP», pinchamos en «add», le damos un nombre, descripción y también un tipo. A continuación, justo debajo vamos introduciendo una a una las diferentes direcciones IP, además, podremos darle una descripción «Ordenador de pepe», para saber a qué equipo se corresponde esa IP. Una vez creado, nos aparecerá en el listado de aliases IP:

Lo mismo ocurre con los puertos, podremos crear un aliases para «bloquear puertos», y definir uno o varios puertos que posteriormente bloquearemos en el firewall.

La interfaz gráfica de usuario de URL sería de la siguiente forma, y deberemos elegir el tipo que sea, IPs o puertos.

Una vez que tengamos el aliases creado, basta con irnos a la sección de «Firewall», y podremos cargarla en origen y/o destino, elegimos la opción de «Single host or alias», y justo a la derecha escribimos el nombre del aliases que hemos creado, automáticamente lo reconocerá y nos saldrá un listado de aliases que empiezan por la misma letra que hemos introducido. Y lo mismo ocurre si vamos a configurar puertos, pero aquí tendremos que ponerlo en la sección de puertos de origen y/o destino.

Tal y como habéis visto, utilizar pfSense como router y firewall en nuestra casa es realmente fácil y rápido, es un sistema operativo muy profesional y completo, pero con esta guía de puesta en marcha estamos seguros que podéis empezar con una buena base de cómo configurarlo.

El artículo Configuración del router y firewall pfSense (Internet, VLANs, DHCP y más) se publicó en RedesZone.

El pasado febrero Xiaomi sorprendía con el lanzamiento de un nuevo televisor inteligente con el que pretendía hacerse un hueco en la gama media-alta ofreciendo prestaciones y funcionalidades avanzadas por un precio muy competitivo.

Se trataba del Mi TV Q1, una tele de 75 pulgadas que pudimos analizar hace unas semanas y que el fabricante ahora ha traído a España con un precio de lanzamiento de lo más atractivo, ya que costará 999 euros cuando se ponga a la venta mañana día 25 de marzo a las 00:00 horas.

75 pulgadas de panel QLED 4K con FALD

Nos encontramos ante un televisor que apuesta por la tecnología de paneles LCD con resolución 4K, mejora del color gracias a los puntos cuánticos o QLED y sistema retroiluminación LED con tecnología de control por matriz de zonas o FALD con 192 diferentes, implementando un algoritmo de control dinámico que promete lograr un contraste de 10.000:1 sobre una potencia luminosa máxima de 1.000 nits.

El aspecto externo nos deja una apariencia minimalista con acabado metálico y un ángulo de visualización que aseguran es de 178 grados, aunque dada la tipología del panel VA, la imagen óptima la lograremos si nos situamos en una posición centrada con respecto al punto medio de la pantalla.

Es capaz de alcanzar el 100% de la gama de colores NTSC con 1.070 millones de variaciones de color y 1.024 tonos diferentes. Esto ayuda a lograr una mejor respuesta en contenidos en alto rango dinámico, siendo compatible con los formatos Dolby Vision y HDR10+.

El interior de la tele está gobernado por un procesador MediaTek MT9611 Quad-core con velocidad de hasta 1,5 GHz y acompañado de una GPU Mali G52 MP2 con 2 GB de RAM y 32 GB eMMC que mueven sin problemas el sistema operativo Android TV 10 y contenidos de hasta 120 Hz.

Con HDMI 2.1, WiFi, Bluetooth y DTS-HD

Y en el exterior nos encontramos con una conectividad bien surtida encabezada por 3 puertos HDMI, uno de ellos con la versión HDMI 2.1, más dos puertos USB 2.0, otro Ethernet/LAN a 100 Mbps, una salida de audio óptica, WiFi 5 de banda dual y Bluetooth 5.0, contando además con las tecnologías eARC y un modo de baja latencia automática (ALLM) para consolas de nueva generación.

Una de las novedades de este modelo con respecto a otros del fabricante es su nuevo mando a distancia, que cuenta con tecnología Bluetooth y permite ser usado sin tener que "apuntar" a la pantalla para pulsar cualquiera de los botones del mando. Hay accesos directos para Netflix y Amazon Prime Video, pero también podemos usar la voz como sistema de control principal.

El asistente de voz de Google estará disponible para escucharnos a una distancia de hasta tres metros, siendo además compatible con Alexa y pudiendo "silenciar" el micrófono mediante un acceso físico en el televisor si nos preocupa la privacidad. Además, el control de la domótica sigue siendo un aspecto importante en el equipo, ofreciendo compatibilidad con el ecosistema de dispositivos IoT de Xiaomi.

Por último, en el apartado sonoro, el Mi TV Q1 75" ofrece un su sistema de altavoces estéreo de 30 vatios que utiliza seis drivers en total (dos tweeter y cuatro woofers), siendo compatible con Dolby Audio y DTS-HD.

En Xataka

Xiaomi Mi TV Q1 75", análisis: este televisor es el matagigantes con el que Xiaomi irrumpe en la gama alta

Precio y disponibilidad

El televisor Xiaomi Mi TV Q1 75" estará disponible para su compra en España desde el sitio web de Mi, las Mi Stores y MediaMarkt a partir de mañana 25 de marzo de 2021 con una promoción de lanzamiento de 999 euros solo para las primeras 30 unidades. Transcurrido este periodo tendrá un precio recomendado de venta a partir de 1.299 euros.

Más información | Xiaomi

Xiaomi Mi TV Q1 75''

PVP en Mi Store 999€

-
La noticia El televisor Xiaomi Mi TV Q1 llega a España: un gigante de 75" con panel QLED 4K, HDMI 2.1 y precio de lanzamiento de 999 euros fue publicada originalmente en Xataka Smart Home por Paco Rodriguez .

El sistema operativo pfSense que está orientado a firewall y router, dispone de varios protocolos de VPN para interconectar sedes a través de VPN Site-to-Site, y también podremos configurar VPN de acceso remoto para interconectar diferentes clientes móviles entre sí, y para que todo el tráfico de Internet pase a través del propio sistema operativo. OpenVPN es uno de los softwares más utilizados para crear redes privadas virtuales, gracias a su seguridad, flexibilidad y buen funcionamiento. Hoy en RedesZone os vamos a explicar paso a paso cómo configurar el servidor OpenVPN que está dentro de pfSense.

¿Qué es y para qué sirve el OpenVPN integrado en pfSense?

OpenVPN es un software que nos permite levantar redes privadas virtuales, tendremos un canal de control donde se gestionará el levantamiento del túnel y la negociación de los protocolos de cifrado, y tendremos un canal de datos donde todo el tráfico del túnel irá cifrado punto a punto. Uno de los puntos fuertes de OpenVPN en pfSense, es que la gran mayoría de opciones disponibles las tenemos a través de una interfaz gráfica de usuario muy intuitiva, esto nos permitirá configurarlo sin necesidad de incorporar ninguna directiva de manera manual en el campo de «opciones avanzadas». El software OpenVPN que tenemos integrado en pfSense nos permitirá crear y configurar dos tipos de arquitecturas:

• VPN de acceso remoto: los clientes remotos se conectarán al servidor VPN de pfSense, y saldrán a Internet a través de nosotros. También podrán acceder a las subredes que nosotros indiquemos. Este tipo de VPN están orientadas a teletrabajadores, técnicos de redes y sistemas etc.
• VPN Site-to-Site: esta arquitectura nos permite intercomunicar una sede con otra, para intercomunicar diferentes sedes a través de Internet y que todo el tráfico esté protegido punto a punto. Por ejemplo, con este tipo de VPN podremos comunicar oficinas, sedes de empresas etc.

OpenVPN soporta decenas de configuraciones diferentes, tanto para mejorar el rendimiento como la seguridad. pfSense permite diferentes tipos de autenticaciones, pero la más recomendable es la basada en certificados SSL/TLS para asegurar la autenticidad, confidencialidad e integridad, no siendo recomendable hacer uso de claves precompartidas. Además de incorporar la autenticación basado en certificados SSL/TLS, también podríamos incorporar una autenticación adicional con usuario/contraseña, para tener un sistema más robusto. pfSense permite exportar la clave privada de los certificados con una contraseña, de esta forma, para poder usar estos certificados también tendríamos que incorporar una contraseña adicional, de lo contrario, no funcionaría.

El servidor OpenVPN integrado en pfSense nos permitirá conectarnos a nuestro hogar o trabajo de forma remota, rápida y segura, independientemente de que la red sea cableada o WiFi. Todo el tráfico irá cifrado punto a punto desde nuestro cliente OpenVPN (que está instalado en un ordenador, smartphone o tablet) hasta el servidor OpenVPN de pfSense. Un detalle muy importante, es que el servidor OpenVPN debe estar instalado en una conexión a Internet fuera de CG-NAT, y con las reglas en el firewall abiertas para permitir la conexión, de lo contrario, no podremos conectarnos a través de Internet.

Por supuesto, en el servidor podremos añadir diferentes subredes para enrutar el tráfico a través de las diferentes subredes que tengamos en el pfSense, e incluso podremos configurar en el firewall si queremos permitir o no esos accesos desde una dirección IP del servidor OpenVPN en concreto. Con OpenVPN tenemos dos formas de gestión de los paquetes y cómo trabajan a nivel de capa de transporte:

• TUN: este modo de funcionamiento permite encapsular todos los paquetes que se transportan a través de él como segmentos TCP o datagramas UDP. Todos los clientes se les proporcionará una subred nueva específica, por defecto la subred de OpenVPN es la 10.8.0.0/24 pero podremos configurar la que nosotros queramos.
• TAP: este modo de funcionamiento simula una interfaz de red Ethernet, también se conoce como puente o bridge, y este túnel virtual lo que hace es encapsular directamente paquetes Ethernet. El modo de funcionamiento puente es útil para intercomunicar usuarios remotos de manera fácil, pero si la red privada de origen coincide con la de destino, tendremos un problema de enrutamiento y la comunicación no funcionará.

En este tutorial para configurar OpenVPN en pfSense usaremos una subred virtual 10.8.0.0/24 donde tendremos a todos los clientes VPN cuando se conecten, será muy fácil identificar a los diferentes clientes VPN que tenemos conectados a la red, además, podremos «forzar» a que cada cliente con un certificado en concreto siempre tenga la misma dirección IP privada del túnel VPN.

En este manual os vamos a enseñar cómo realizar una configuración de OpenVPN muy segura en pfSense, personalizando los algoritmos de cifrado simétrico, asimétrico y de hash. De esta forma, podremos tener el mejor cifrado posible de las comunicaciones.

Resumen de la criptografía a utilizar

• Certificados digitales: OpenVPN permite hacer uso de certificados digitales basados en RSA o también EC (Curvas Elípticas), nosotros haremos usa del algoritmo de EC secp521r1, aunque tenemos disponibles muchos otros a través de la gestión de certificados de pfSense. El algoritmo hash que utilizaremos será SHA512, uno de los más seguros que podemos usar actualmente. Todos los clientes VPN a partir de la versión 2.4 deberían ser compatibles con esta configuración, en nuestro caso, tanto el servidor como los clientes hacen uso de OpenVPN 2.5 o superior, por lo que no debería haber problemas.
• Canal de control OpenVPN: utilizaremos TLS 1.3 para tener la máxima seguridad, y siempre utilizando PFS (Perfect Forward Secrecy). Utilizaremos las tres suites criptográficas de TLS 1.3 para establecer la comunicación: TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 y TLS_AES_128_GCM_SHA256. Si quieres comprobar si tu servidor o cliente soporta este tipo de cifrado, deberás poner en consola «openvpn –show-tls».
• Canal de datos OpenVPN: utilizaremos el algoritmo de cifrado simétrico AES-256-GCM, uno de los más seguros actualmente y que se ha incorporado la compatibilidad en OpenVPN 2.4 y posterior. No obstante, también haremos uso de CHACHA20-POLY1305 y AES-128-GCM para que el cliente VPN elija el que quiera, dando prioridad al primero de ellos. Si quieres comprobar si tu servidor o cliente soportan estos tipos de cifrado, deberás poner en consola «openvpn –show-ciphers».

Para definir en el canal de datos que queramos hacer uso de TLS 1.3, tendremos que usar la directiva «tls-ciphersuites» en lugar del típico «tls-cipher» como hemos usado siempre. Quedaría de la siguiente forma:

Adicionalmente a estas medidas de seguridad, incluiremos una firma HMAC para la primera negociación de TLS, esto nos permitirá proteger el servidor OpenVPN frente a posibles ataques DoS. Si el cliente no posee la firma HMAC correcta, automáticamente es bloqueado y no pasará a comprobar los certificados digitales. Haremos uso de tls-crypt que está disponible a partir de OpenVPN 2.4 y siguientes, para tener la mejor seguridad porque nos permite autenticar y cifrar el canal para que nadie sea capaz de capturar esta clave precompartida.

Por último, utilizaremos el protocolo UDP en lugar de TCP, porque es más fuerte frente a ataques de denegación de servicio, debemos recordar que UDP es no conectivo, no fiable y no orientado a conexión. No obstante, podremos usar TCP sin ningún problema para dotar a la VPN de todos los beneficios de este protocolo.

Instalar el plugin OpenVPN Client para generarla configuración

Aunque OpenVPN se encuentra instalado por defecto en pfSense, ya sea en su modo de servidor o cliente, no tenemos un paquete preinstalado que nos permita generar automáticamente la configuración para los clientes. Si nos vamos al gestor de paquetes en «System / Package Manager» y nos vamos a la pestaña de «Available Packages» podremos instalar el paquete «OpenVPN-client-export» que nos permitirá realizar justamente esta acción, para facilitarnos enormemente la configuración de los clientes, importando la configuración del servidor con sus correspondientes certificados digitales.

Una vez instalado, estaremos listos para pasar al siguiente paso, crear los certificados digitales.

Crear los certificados digitales en el propio pfSense

Para configurar un servidor OpenVPN con autenticación «Remote access SSL/TLS» deberemos hacer uso de unos certificados digitales. Tendremos que crear una autoridad de certificación (CA) con la que firmar los diferentes certificados, tenemos que crear un certificado específico para el servidor OpenVPN y de tipo servidor, así como todos los certificados digitales de los clientes VPN que queramos dar de alta.

También podremos crear una lista de revocación de certificados, si un certificado se ve comprometido porque lo hemos perdido, podremos anularlo directamente para que no sea válido. En caso de que un usuario ilegítimo lo utilice, no podrá conectarse a nuestro servidor VPN de ninguna forma.

Crear la CA (Autoridad de Certificación)

En la sección de «CAs» es donde debemos pinchar en «Add» para crear una nueva autoridad de certificación, hacer esto es fundamental para hacer funcionar correctamente todos los certificados digitales, tanto el del servidor como los de los clientes VPN que se vayan a conectar. En este menú deberemos elegir las siguientes opciones:

• Create /Edit CA
  • Descriptive Name: ponemos un nombre descriptivo a esta CA, el que nosotros queramos.
  • Method: Create an internal Certificate Authority.
• Internal Certificate Authority
  • Key type: ECDSA con secp521r1 que es compatible con OpenVPN.
  • Digest Algorithm: sha512
  • Lifetime Days: 3650 (10 años)
  • Common-name: el CN debe ser un nombre descriptivo, que describa inequívocamente a esta CA. En nuestro caso solamente tenemos una CA para OpenVPN, así que hemos puesto simplemente «openvpn-ca»
  • Country Code: none. Esto ya no es necesario rellenarlo en los nuevos certificados de OpenVPN.

La configuración de la CA quedaría de la siguiente forma:

En los diferentes menús podremos elegir otras opciones de configuración, como importar una CA que ya tengamos creada, o crear una CA intermedia, nosotros vamos a crear una CA y después los certificados, sin usar ninguna CA intermedia.

También podremos elegir entre RSA o ECDSA, e incluso usar diferentes longitudes de clave de RSA y diferentes algoritmos EC para la creación de la CA. En «Digest algorithm» podremos elegir diferentes algoritmos de hash, los más recomendables son sha256, sha384 y sha512, nunca deberías utilizar sha1 por seguridad.

Una vez creada la CA, nos aparecerá en el listado de CA como podéis ver aquí:

En este menú podremos ver la cantidad de certificados que tiene asociados, el CN, la validez del certificado y si actualmente tenemos esta CA en uso. Cuando tenemos una CA o un certificado en uso, no podremos eliminarlo. En la sección de «Actions» podremos editar la descripción del certificado, exportar la clave pública de la CA, la clave privada, renovar la CA e incluso eliminar la CA que acabamos de crear.

Crear el certificado del servidor OpenVPN

Ahora tenemos que crear el certificado que usará al servidor OpenVPN integrado en pfSense. Nos vamos a la sección de «Certificates» y pinchamos en «Add/Sign», siempre tendremos un certificado preconfigurado en pfSense porque el protocolo HTTPS lo utiliza para poder conectarse, de lo contrario, no podría funcionar. Este certificado lo crea automáticamente al realizar la instalación del sistema operativo.

El menú de creación de los certificados es muy similar al anterior, tendremos que elegir entre tres opciones:

• Method:
  • Create an internal certificate.
  • Import an existing certificate.
  • Create a certificate signing request.
  • Sign a certificate signing request.

Nosotros vamos a seleccionar la primera opción, crear un certificado interno.

A continuación, tendremos que ponerle un nombre descriptivo, el que nosotros queramos, y la configuración debe ser la siguiente:

• Add / Sign a New Certificate
  • Method: Create an internal Certificate Authority.
  • Descriptive Name: ponemos un nombre descriptivo a este certificado, el que nosotros queramos.
• Internal Certificate
  • Certificate Authority: debemos elegir la CA anterior que acabamos de crear en el paso anterior.
  • Key type: ECDSA con secp521r1 que es compatible con OpenVPN. El mismo que la CA.
  • Digest Algorithm: sha512
  • Lifetime Days: 3650 (10 años)
  • Common-name: el CN debe ser un nombre descriptivo, que describa inequívocamente a este certificado del servidor. En nuestro caso solamente tenemos un certificado para servidor, así que hemos indicado openvpn-servidor simplemente.
  • Country Code: none. Esto ya no es necesario rellenarlo en los nuevos certificados de OpenVPN.

Si tenemos un certificado con una duración superior a 398 días es posible que nos de fallos en algunas plataformas, esto es de forma general, pero no para OpenVPN. Por tanto, podremos poner la duración que nosotros queramos sin problemas, no nos dará fallo.

En la parte inferior, deberemos elegir las siguientes opciones:

• Certificate Attributes:
  • Certificate Type: server certificate
  • Alternative Name: lo podemos dejar sin nada, completamente vacío.

Debemos tener en cuenta que ahora mismo estamos configurando el certificado digital para el servidor OpenVPN, por tanto, debemos elegir «Server Certificate».

La sección de «Alternative Name» se suele utilizar para los certificados de IPsec, pero no lo usaremos en OpenVPN.

Una vez creado, lo veremos en el listado de certificados, además, también podremos ver la CA con la que hemos firmado el certificado y si es de tipo servidor.

Este certificado digital para el servidor es el que tendremos que poner a la hora de configurar el servidor OpenVPN en el pfSense, debemos acordarnos muy bien del nombre que le hemos dado, porque después nos sacará un listado con todos los certificados.

Crear los certificados de todos los clientes

Para crear uno o varios certificados digitales para los clientes, debemos hacer exactamente el mismo proceso que para el certificado del servidor.

• Add / Sign a New Certificate
  • Method: Create an internal Certificate Authority.
  • Descriptive Name: ponemos un nombre descriptivo a este certificado del cliente.
• Internal Certificate
  • Certificate Authority: debemos elegir la CA anterior que hemos creado en el primer paso.
  • Key type: ECDSA con secp521r1 que es compatible con OpenVPN. El mismo que la CA.
  • Digest Algorithm: sha512
  • Lifetime Days: 3650 (10 años)
  • Common-name: el CN debe ser un nombre descriptivo, que describa inequívocamente a este certificado del cliente. En nuestro caso solamente tenemos un certificado para cliente, así que hemos indicado openvpn-cliente1 simplemente.
  • Country Code: none. Esto ya no es necesario rellenarlo en los nuevos certificados de OpenVPN.

En la sección de «Certificate Attributes» tendremos que configurarlo de la siguiente forma:

• Certificate Attributes:
  • Certificate Type: user certificate
  • Alternative Name: lo podemos dejar sin nada, completamente vacío.

Una vez creado, podremos ver el listado nuevo de certificados creados en pfSense.

Si pinchamos en editar, lo único que podremos hacer es modificar el nombre descriptivo, pero también podremos exportar la clave privada con una contraseña de paso, si ponemos clave, la propia clave privada se cifrará con AES-256-CBC para proteger su contenido, y, por tanto, evitar que si cae en malas manos puedan leerlo y utilizarlo. Esto es lo que hemos usado nosotros para exportar el certificado de los clientes, como posteriormente os enseñaremos.

Si queremos crear más certificados de clientes lo podremos hacer de la misma forma, lo único que tenemos que hacer es poner una descripción diferente y también un CN diferente.

Una vez que hayamos terminado de crear todos los certificados de los clientes que se van a conectar al servidor OpenVPN, procedemos a configurar paso a paso el servidor.

Configurar el servidor OpenVPN con todas las opciones explicadas

Para configurar el servidor OpenVPN, lo único que tenemos que hacer es irnos al menú principal de pfSense, pinchar en la sección de «VPN» y seleccionar «OpenVPN«.

En la sección de «OpenVPN» debemos pinchar en «Servers» y pinchamos en «Add» para agregar un nuevo servidor OpenVPN.

Dentro de la configuración del servidor OpenVPN, deberemos elegir las siguientes opciones:

• General Information:
  • Server Mode: Remote Access (SSL/TLS)
  • Protocol: UDP
  • Device Mode: tun
  • Interface WAN
  • Local Port: 1194, por defecto es este puerto, es recomendable cambiarlo.
  • Description: ponemos una descripción de este servidor OpenVPN, porque podremos crear varios.

En la sección de «Protocol» tenemos diferentes opciones de configuración, por defecto es «UDP on IPv4 only», ya que también podremos usar TCP, e incluso TCP y UDP, y también para las redes IPv6, si es que usamos este protocolo de red. En la sección de «Device Mode» podremos elegir tun o tap, como os hemos explicado anteriormente, tun es a nivel de capa 3, y tap es a nivel de capa 2, con sus puntos fuertes y sus puntos débiles. En la sección de «Interface» lo más normal es utilizar la WAN, pero podremos estar escuchando con este servidor OpenVPN en todas las interfaces. Por último, en «Local port» podemos modificar el puerto TCP y/o UDP que nosotros queramos, es recomendable no utilizar el puerto por defecto que es el 1194.

En la sección de «Cryptographic Settings» podremos configurar todo respecto a los certificados digitales SSL/TLS, a continuación, os explicamos todas las opciones:

• Cryptographic Settings
  • TLS Configuration: habilitamos usar una clave TLS, para hacer uso del tls-crypt, pinchamos en generar automáticamente la clave TLS. Al guardar los cambios, nos aparecerá si queremos usar «Autenticación» o también «Encriptación», es recomendable este último para hacer uso del nuevo tls-crypt en lugar de tls-auth que teníamos anteriormente.
  • Peer Certificate Authority: seleccionamos la CA que hemos creado en el propio pfSense para este servidor OpenVPN.
  • Peer certificate Revocation list: si creamos una lista de revocación de certificados, lo creamos en la sección de «System > Cert.Manager» y seleccionamos aquí el listado que lo hemos creado anteriormente.
  • Server Certificate: elegimos el servidor OpenVPN, en nuestro caso, es «OpenVPN_ServidorOVPN (Server: Yes)»
  • DH Parameter Length: ECDH Only
  • ECDH Curve: elegimos secp521r1

En la sección de «Data Encryption Negotiation» lo habilitamos, y elegimos los cifrados simétricos que queremos usar para el canal de datos. En nuestro caso, hemos elegido un total de 3: AES-256-GCM, AES-128-GCM y también el nuevo CHACHA20-POLY1305 que han incorporado recientemente. También deberemos elegir un algoritmo de «Fallback» por si el cliente OpenVPN no es compatible, en este caso elegimos AES-256-CBC, pero si quieres la máxima seguridad, os recomendamos elegir AES-256-GCM para forzar a que no se conecte si no usamos cifrados robustos, nada de usar AES-256-CBC, si hay clientes antiguos debemos actualizarlos.

En «Auth Digest Algorithm» elegiremos SHA256 o SHA512, siempre funciones hash seguras.

En la sección de «Hardware Crypto»: si tenemos aceleración de cifrado por hardware, lo elegiremos aquí para que funcione más rápida la conexión a la VPN, si no tenemos o no queremos habilitarla, dejamos el valor por defecto.

En «Certificate Depth» seleccionamos «One (Client + Server)».

En la sección de «Tunnel Settings» tendremos que configurar las siguientes opciones:

• IPv4 Tunnel Network: pondremos la subred específica para los clientes OpenVPN, debe ser una subred libre que no hayamos utilizado anteriormente. En nuestro caso hemos elegido la 10.8.0.0/24 que es la de por defecto en este software, pero podremos usar cualquier subred.
• IPv6 Tunnel Network: lo mismo que en IPv4, pero si utilizas redes IPv6.
• Redirect IPv4 Gateway y IPv6: si habilitamos esta opción, todo el tráfico de los clientes OpenVPN pasarán por el servidor OpenVPN y tendrán acceso a todas las subredes del sistema operativo, podremos bloquear el acceso a ciertas subredes a través de las opciones de configuración del firewall, pero los clientes recibirán la ruta para llegar a todas las subredes. Si vamos a hacer Full-Tunnel VPN activamos esta opción, si vamos a usar Split-Tunnel entonces lo deshabilitaremos, y tendremos que introducir abajo las subredes a las que queremos que tengan acceso.
• Concurrent Connections: 10, es el número máximo de clientes conectados simultáneamente, esto dependerá de tus necesidades.
• Allow Compression: Refuse, no queremos compresión para evitar ataques.
• Push Compression: podremos proporcionar esta opción de compresión (sin compresión) a los clientes.
• Inter-client communication: podremos permitir o denegar que los clientes OpenVPN se puedan comunicar entre ellos, por seguridad es recomendable desactivarlo, pero en ciertos casos es necesario e incluso recomendable que haya comunicación, esto dependerá de tus necesidades.
• Duplicate Connection: esta opción normalmente debería estar desactivada, cada cliente OpenVPN debería tener sus propias credenciales, y no usar el mismo cliente con el mismo certificado para conectarnos. Esta opción es útil si queremos usar los mismos certificados en nuestro smartphone, ordenador y tablet (3 dispositivos), y vamos a conectarnos simultáneamente. Nuestra recomendación es emitir un certificado por cada dispositivo.

En «Client Settings» podremos proporcionar a los clientes una IP dinámica, luego podremos especificar que cada cliente tenga una IP del rango 10.8.0.0/24 específico. En «Topology» elegimos «subnet» que es mucho más eficiente que net30 que es la forma antigua.

En «Ping Settings» podremos configurar los pings para ver si un cliente sigue conectado o ha perdido la conectividad.

En «Advanced Client Settings» podremos configurar los servidores DNS, ya sean servidores DNS externos como el popular 8.8.8.8 o un servidor DNS local del propio pfSense. También podremos seleccionar la opción de «Bloquear el acceso a servidores DNS» excepto los del túnel VPN para mejorar la seguridad.

En la sección de «Advanced Configuration» podremos añadir reglas adicionales avanzadas que no tenemos en la interfaz gráfica de usuario, por ejemplo, nos interesa que siempre negocie con TLS 1.3 como mínimo, si un cliente no es compatible no se conectará, porque no estaremos permitiendo TLS 1.2.

Tal y como os hemos explicado antes, al guardar por primera vez la configuración del servidor OpenVPN, en la sección de «TLS Key» nos saldrá la clave TLS generada automáticamente por pfSense, y deberemos elegir «TLS Encryption and Authentication».

Una vez configurado, podremos ver el resumen de la configuración a continuación:

Otra configuración que podremos realizar respecto a las rutas, es que, en lugar de forzar a todos los clientes a enviar todo el tráfico por el túnel VPN, podremos definir que solamente podamos acceder a ciertas redes, las que nosotros queramos, y automáticamente los clientes recibirán las rutas a estas redes.

Una vez que hemos configurado el servidor OpenVPN, vamos a configurar el firewall para permitir conexiones entrantes.

Configurar las reglas en el firewall para permitir acceso

En la sección de «Firewall / Rules» pinchamos en WAN, y creamos una regla con los siguientes valores:

• Action: PASS
• Interface: WAN
• Address Family: IPv4
• Protocol: UDP
• Source: Any, cualquier origen ya que no sabemos siempre qué IP pública vamos a tener
• Destination: WAN Address en el puerto OpenVPN 1194, o en el puerto que hayamos configurado el servidor.

Guardamos y ya tendremos la regla creada en la WAN de Internet.

Ahora nos tenemos que ir a la sección de «Firewall / Rules / OpenVPN», en esta sección es donde vamos a definir los accesos de los clientes OpenVPN. Si queremos permitir que los clientes OpenVPN accedan a cualquier subred de pfSense y también a Internet, tendremos que crear una regla de «Pass todo», definiendo lo siguiente:

• Action: PASS
• Interface: OpenVPN
• Address Family: IPv4
• Protocol: Any
• Source: Any
• Destination: Any

Si queremos crear reglas específicas para denegar el tráfico a ciertas subredes, pues tendremos que crear reglas que cumplan esta condición.

Una vez que ya tenemos acceso desde la WAN de Internet, y también a cualquier subred del sistema operativo y redirección a Internet, vamos a exportar el archivo de configuración OpenVPN para los clientes.

Exportar el archivo de configuración OpenVPN para los clientes

Nos vamos a la sección de «VPN / OpenVPN / Client Export», aquí configuraremos la extensión para generar la configuración automática para los clientes:

• Remote Access Server: elegiremos el servidor VPN que hayamos configurado, podemos tener varios, por tanto, elegiremos el que nos interese.
• Host Name resolution: el dominio DDNS que tengamos configurado en pfSense, o la dirección IP de la WAN, tendremos varias posibilidades.
• Verify Server CN: Automatic – use verify-x509-name
• Block outside DNS: habilitamos esta opción.
• Use random local port: habilitamos esta opción.

Una vez configurado todo lo anterior, deberemos pinchar en los clientes a exportar, lo más normal es seleccionar «Inline Configurations: Most Clients» y nos exportará en un mismo archivo de configuración la CA, clave pública y privada del certificado del cliente, y toda la configuración.

Nuestra recomendación es elegir esta opción de «Inline Configurations: Most Clients», pero añadiendo la clave privada del cliente cifrada, para que si este archivo de configuración cae en malas manos, no pueda acceder a nuestro servidor VPN. Para exportar la clave privada cifrada, debemos irnos a la sección de «System / Cert Manager» e irnos a «Edit» el certificado del cliente, ponemos una contraseña de paso y pinchamos en «Export private Key»:

Ahora con un editor de texto, abrimos esta clave cifrada y el archivo de configuración recién descargado:

• En el archivo de configuración completo de OpenVPN borramos todo lo que hay dentro de «<key></key>»
• Copiamos el contenido completo de la clave privada exportada dentro de «<key></key>» y guardamos cambios.

Ahora, al usar la clave privada para conectarnos al servidor, tendremos que introducir esta contraseña que protege el certificado. Ahora vamos a comprobar que el servicio está levantado, y nos conectaremos con el primer cliente.

Comprobar estado del servicio y de los clientes conectados

En la sección de «Status / OpenVPN» podremos ver si está activado o no, lo activamos y conectaremos el primer cliente sin ningún tipo de problema.

Una recomendación adicional que podéis hacer con pfSense, es proporcionar a un mismo cliente VPN que usa un certificado en concreto, la misma dirección IP siempre. Para hacer esto, simplemente tenemos que meternos en «Client Specific Overrides», añadimos uno nuevo, elegimos el servidor y el CN del cliente específico y en la sección de «Advanced» ponemos:

Y este cliente VPN con ese determinado CN siempre tendrá esta dirección IP privada dentro del túnel VPN.

El artículo Configuración del servidor OpenVPN con máxima seguridad en pfSense se publicó en RedesZone.

El Certificado Digital se ha convertido en uno de los elementos de software y seguridad más populares de las últimas fechas, y es que es extremadamente necesario para poder realizar multitud de gestiones de todo tipo a través de nuestros dispositivos móviles sin necesidad de dirigirnos a ningún tipo de administración pública.

Por ello, es especialmente interesante que consigamos instalar nuestro Certificado Digital también en nuestro teléfono. Te enseñamos cómo puedes instalar el Certificado Digital en tu teléfono Android de la forma más fácil posible, y así podrás realizar innumerables gestiones de la forma más rápida y segura.

¿Qué es el Certificado Digital?

Para poder ponernos manos a la obra con esta tecnología tan curiosa, qué menos que primero dejemos bien claro con qué tipo de software estamos trabajando. Hablas oído hablar innumerables veces del Certificado Digital, de hecho muchas páginas webs de administraciones públicas, ya sean locales o estatales, te brindan la oportunidad de utilizar este mecanismo de identificación para poder ir realizando gestiones de forma telemática. Sin embargo, es muy probable que no sepas de qué te están hablando, y por ello estamos hoy aquí, para enseñarte qué es el Certificado Digital.

El Certificado Digital de la FNMT (Fábrica Nacional de Moneda y Timbre) es una forma de identificarte en cualquier página web de forma segura. Evidentemente, no está pensada para entrar en tu cuenta de Instagram, sino cuando esta web alberga información especialmente sensible para la privacidad del usuario como puede ser Hacienda, la DGT o el Ayuntamiento de turno. Básicamente es como nuestra identificación digital, como nuestro DNI en forma de software. En definitiva, es una identificación completa de tu persona de forma digital, como lo podría ser tu DNI cuando pretendes identificarte físicamente en algún lugar. Esto es fantástico para poder agilizar nuestros trámites de todo tipo.

Obtener el Certificado Digital desde Android

Tenemos la posibilidad de obtener nuestro Certificado Digital directamente a través de un dispositivo Android, algo que agilizará mucho los trámites. Hasta hace poco sólo era posible obtener el Certificado Digital a través de PCs y con unas condiciones bastante complejas que hacían que muchos usuarios acabaran por desistir en el intento. Sin embargo, es increíble lo fácil que podemos obtener el Certificado Digital directamente a través de Android utilizando el sistema que la Fábrica Nacional de Moneda y Timbre ha puesto a nuestra disposición, para ello tenemos que descargar la siguiente aplicación:

• Aplicación para Android: Obtención de Certificado FNMT

Una vez que entramos en la aplicación, esta sólo nos va a ofrecer dos opciones: Solicitar / Solicitudes pendientes. En este caso lo que vamos a hacer es lo siguiente:

1. Obtenemos los Certificados Raíz de la FNMT y los instalamos en nuestro Android descargándolo de la Google Play Store.
2. Abrimos la aplicación de obtención de certificado de la FNMT
3. Pulsamos en el botón «Solicitar»
4. Rellenamos los datos correspondientes a nuestro DNI o NIE, nuestro primer apellido y un eMail que necesitaremos más adelante.
5. Elegimos una oficina de registro autorizada para acreditar nuestra identidad de forma personal y acudiremos con nuestro DNI y el código que nos han enviado al DNI.
6. Una vez acreditada nuestra identidad volvemos a la aplicación y pulsamos en «Solicitudes pendientes»
7. Ahora podremos descargar nuestro Certificado Digital de la forma más rápida

Como ves, es imprescindible en todos los casos que te identifiques de forma presencial con tu DNI o NIE para que te autoricen la descarga, puedes encontrar el mapa interactivo de oficinas donde puedes acreditar tu identidad para el Certificado Digital en el mapa de oficinas interactivo.

El trabajo no termina aquí, para proceder a instalar tu Certificado Digital con los siguientes pasos:

1. Descárgalo desde el enlace de la aplicación de la que hemos hablado anteriormente
2. Pulsa en aceptar y «Aplicaciones y VPN»
3. Se habrá instalado de forma fácil y rápida

Os recomendamos que instaléis en certificado en la raíz del dispositivo Android o en la tarjeta de memoriaSD, ya que los certificados obtenidos en Android no se pueden exportar, sólo eliminar e importar, por lo que no podremos utilizarlo en otros dispositivos.

Obtener desde PC e instalar en Android

Como es obvio, también podemos descargar el Certificado Digital de Persona Física de la FNMT directamente en un PC y pasar a instalarlo posteriormente en nuestro dispositivo Android, de hecho a mi me parece la forma más interesante de tener varias copias de seguridad siempre disponibles y así asegurarnos de no perder nunca este certificado tan importante. Lo primero es saber cuáles son los navegadores compatibles con la obtención del Certificado Digital FNMT en PC con Windows:

• Mozilla Firefox
• Google Chrome
• Microsoft EDGE
• Opera

Sin embargo, para ello vamos a necesitar primeramente instalar los certificados raíz de la FNMT directamente en nuestro PC, así como el resto de archivos necesarios para tal tarea. La FNMT ha creado para ello un Configurador FNMT que nos facilitará mucho la tarea, y es que lo que hace es instalarnos todo lo necesario de la forma más rápida y automática posible.

• Descargar el configurador de Certificado Digital de la FNMT

Una vez que ya lo hemos descargado y hemos instalado todos los componentes necesarios para instalar nuestro Certificado Digital en el PC que hayamos seleccionado, simplemente vamos a proceder con los siguientes pasos:

1. Entramos en la web de solicitud del certificado digital.
2. Introducimos nuestro DNI o NIE
3. Introducimos nuestro primer apellido tal y como aparece en el DNI o el NIE
4. Introducimos nuestro correo electrónico y lo configuramos justo debajo
5. Ahora pulsamos el botón de «Enviar Petición»

Una vez que hemos enviado la petición se nos generará un código de solicitud y ya habremos realizado los primeros pasos para la obtención del Certificado Digital. El paso siguiente es que te identifiques de forma presencial con tu DNI o NIE para que te autoricen la descarga, puedes encontrar el mapa de oficial de las oficinas donde puedes acreditar tu identidad para el Certificado Digital en este mapa de oficinas interactivo.

Por último te dirigías a la web de Descarga del Certificado FNMT donde si te has acreditado la identidad correctamente a través de las oficinas anteriormente mencionadas vas a poder descargar el certificado introduciendo tu DNI o NIE, el primer apellido y el código de solicitud que te han enviado por correo electrónico.

Ahora toca instalar el Certificado Digital, en Android cuando lo hemos obtenido a través del PC. Para ello nos vamos a dirigir a la sección de «Administración de Certificados» del apartado de «Seguridad» en el explorador web que hayamos utilizado para descargar el Certificado Digital. Entonces vamos a pulsar en la opción de «Exportación de Certificado con clave privada». En este paso nos va a permitir asignarle una contraseña al certificado digital en formato .PFX, si lo descargas en formato .CER lo habrás hecho de forma incorrecta y te recomendamos volver al principio.

Para instalarlo en nuestro dispositivo Android simplemente tenemos que enviarnos ese archivo .PFX que hemos descargado a través de cualquier tipo de plataforma. Yo os recomiendo que lo guardéis en Google Drive para tener siempre una copia de seguridad, pero podéis enviarlo a vuestro dispositivo Android por eMail o por Telegram, una vez lo pulsáis seguís los siguientes pasos:

1. Pulsa y descargar el archivo .PFX
2. Pulsa en aceptar y «Aplicaciones y VPN»
3. Se habrá instalado de forma fácil y rápida

Y así de fácil has obtenido el Certificado Digital a través de tu PC y has conseguido exportarlo para tenerlo disponible en Android y donde desees. Este procedimiento no se puede realizar a la inversa, ya que los certificados obtenidos en Android no se pueden exportar, sólo eliminar e importar, por lo que no podremos utilizarlo en otros dispositivos.

Utilizar DNIe en Android

A pesar de que el Certificado Digital es lo más útil, para sacarnos de un apuro podemos utilizar el lector NFC del dispositivo Android para identificarnos a través del DNIe. Para ello lo primero que debemos hacer es descargar la app correspondiente:

• Aplicación de acceso con DNIe para Android.

Ahora debemos asegurarnos de que tenemos la contraseña que nos dan cuando obtenemos el DNI en su momento, y realizamos los siguientes pasos:

1. Abre la aplicación y elige dónde quieres iniciar sesión
2. Selecciona la finalidad de la identificación
3. Identifícate con tu DNIe
4. Introduce el PIN de acceso que te dieron en comisaría al realizarte tu DNIe

Ahora accederás automáticamente al servicio que has elegido de la forma más rápida y fácil, por lo que estarás completamente identificado con tu DNIe. Lamentablemente no son muchas las administraciones que tienen absoluta compatibilidad con el DNIe por el momento, aunque seguro que irán creciendo próximamente dadas las necesidades de los usuarios.

Las redes WiFi habitualmente utilizan un tipo de cifrado WPA2 o WPA3 Personal, o también conocido como PSK (Pre-Shared Key), donde tendremos una contraseña para acceder a la red inalámbrica, y todos los clientes WiFi deberán usar esta clave para acceder y para cifrar/descifrar la información que viaja a través del aire. FreeRADIUS es el software por excelencia para montar un servidor RADIUS y autenticar a los clientes con nombre de usuario, contraseña y un certificado digital, con el objetivo de configurar redes WiFi con WPA2 o WPA3-Enterprise, haciendo uso de diferentes protocolos como PEAP, TLS, TTLS y MSCHAPv2 entre otros. Hoy en RedesZone os vamos a explicar cómo podemos configurar un servidor RADIUS con FreeRADIUS en un pfSense para autenticar a los clientes inalámbricos.

¿Qué es un servidor RADIUS?

RADIUS viene del acrónimo en inglés Remote Authentication Dial-In User Service, es un protocolo de autenticación y autorización para el acceso a la red, por defecto, hace uso del protocolo 1812 UDP para establecer las conexiones entre los equipos para autenticarse. Los servidores RADIUS permiten tanto autenticar a usuarios de conexiones a Internet, haciendo uso del PPPoE, pero también permite autenticar a usuarios cableados, a usuarios que se quieren autenticar contra un servidor NAS o un servicio, e incluso permite autenticar a los clientes inalámbricos WiFi, haciendo uso de WPA2/WPA3 Enterprise.

Los servidores RADIUS normalmente hacen uso de diferentes protocolos de autenticación, PAP, CHAP y EAP son algunos de ellos. Una de las características más interesantes, es que nos permite controlar las sesiones, cuándo comienza la autenticación, cuando acaba la conexión y muchos otros parámetros. Dependiendo del uso del servidor RADIUS, este estará configurado orientado a proporcionar un servicio u otro.

¿Qué es FreeRADIUS?

FreeRADIUS es el software por excelencia para montar un servidor RADIUS, es modular, gratuito y proporciona un alto rendimiento y una gran seguridad. FreeRADIUS es compatible con todos los protocolos de autenticación habituales, de hecho, es la base de muchos productos y servicios comerciales de RADIUS, además, tenemos una gran cantidad de módulos incluidos y otros que se pueden incorporar. Por ejemplo, los módulos incluidos permiten LDAP, MySQL, PostgreSQL e incluso Oracle y otras bases de datos, respecto a los tipos de autenticación, soporta EAP, incluyendo PEAP, EAP-TTLS y también EAP-TLS.

FreeRADIUS permite ser administrado a través de herramientas adicionales, para no tener que configurarlo de manera manual a través de editar complejos archivos de texto y posteriormente cargar la configuración. pfSense dispone de una completa interfaz gráfica de usuario que nos permitirá configurar todos los parámetros en detalle, además, tendremos la posibilidad de ver los archivos de texto de configuración en bruto, por si tenemos que realizar alguna modificación por nosotros mismos.

¿Para qué me sirve montar un servidor RADIUS para el WiFi?

Cuando hablamos de redes WiFi, habitualmente hacemos uso de WPA2 o WPA3-Personal, donde utilizamos una misma contraseña para todos y cada uno de los dispositivos. Esta clave es precompartida, es decir, todos los clientes WiFi que se quieran conectar, deben conocerla. Este tipo de redes se suelen atacar por fuerza bruta o por diccionario, aunque lógicamente las redes WPA3 son más seguras y resisten mejor los diferentes ataques. Si montamos un servidor RADIUS, podremos configurar nuestro router WiFi o punto de acceso WiFi para usar autenticación WPA2/WPA3-Enterprise, donde no tendremos una clave precompartida para todos los usuarios, sino que cada usuario tendrá su propio nombre de usuario y contraseña para acceder a la red WiFi.

Un servidor RADIUS hace uso de una autoridad de certificación (CA), porque hay algunos protocolos de autenticación que hacen uso de una infraestructura de clave pública para la autenticación de los clientes, además, esto es muy importante porque todos los clientes deberían tener siempre el certificado de la CA para comprobar que efectivamente nos estamos conectando a una red WiFi legítima. Algunos ataques a las redes WiFi consisten en hacerse pasar por el punto de acceso legítimo, de esta forma, la víctima podría estar enviando sus credenciales a un ciberdelincuente. Por este motivo, es muy recomendable que no solo tengamos el usuario y clave de la red WiFi, sino que deberíamos usar este certificado de la CA para comprobar que la red WiFi a la que nos estamos conectando es legítima.

El esquema de funcionamiento de un servidor RADIUS, ubicado en un servidor NAS de QNAP o cualquier otro fabricante, sería el siguiente:

En nuestro caso, hemos instalado FreeRADIUS en el propio sistema operativo pfSense, y autenticaremos a los clientes inalámbricos que se conecten al AP directamente desde aquí. La configuración de los puntos de acceso es diferente con cada fabricante, pero lo único que deberemos tener en cuenta son tres parámetros:

• IP del servidor RADIUS, en este caso, el propio pfSense
• Puerto de escucha del servidor RADIUS, configurable, pero por defecto es el 1812.
• Clave de autenticación del punto de acceso con el servidor RADIUS.

El proceso de autenticación de un cliente WiFi con WPA2 o WPA3-Enterprise es el siguiente:

1. Un cliente WiFi se conecta a la red WiFi a través de un punto de acceso. Se le pedirá que introduzca unas credenciales de usuario (usuario y clave), y también que cargue el certificado de la CA, para proteger frente a posibles ataques MitM.
2. El punto de acceso WiFi enviará las credenciales al servidor RADIUS en pfSense, el cual hemos configurado previamente. Si las credenciales son válidas, se le permite conexión a Internet, si las credenciales no son válidas la autenticación fallará y nos dará un error en el cliente WiFi.

Por supuesto, en cuanto se le permita entrar a la red porque las credenciales son válidas, se le proporcionará una dirección IP por DHCP y accederá a todos los recursos de la red WiFi.

Una vez que ya conocemos un poco qué es un servidor RADIUS, y qué nos permite hacer FreeRADIUS, vamos a empezar con la configuración del servidor FreeRADIUS en pfSense.

Instalación de FreeRADIUS en pfSense

El software FreeRADIUS no se encuentra instalado por defecto en pfSense, para instalarlo deberemos irnos a la sección de «System / Package Manager», y buscar el software freeradius3 que tenemos en el listado de paquetes disponibles. Pinchamos en «Install» y confirmamos la acción, una vez que lo tengamos instalado y listo para empezar a funcionar, nos saldrá la típica barra en verde, indicando que todo ha funcionado correctamente.

En cuanto lo hayamos instalado, podremos ver que en la sección de «Services» lo tenemos disponible, para empezar a configurarlo:

Ahora llega la hora de configurarlo, para dar de alta a los usuarios y también a los diferentes puntos de acceso WiFi para que se autentiquen con el servidor RADIUS.

Opciones de configuración disponibles en pfSense

Si entramos en la configuración de «FreeRADIUS» en la sección de «Services», podremos ver la interfaz gráfica de usuario para configurar el servidor RADIUS en detalle. En este menú encontraremos diferentes pestañas para configurar diferentes aspectos:

• Users: configuraremos los usuarios que se autenticarán vía WiFi, podremos definir usuario/clave y muchos otros parámetros avanzados.
• MACs: podremos definir el comportamiento del RADIUS si encuentra una MAC en concreto, proporcionando la misma dirección IP, una determinada VLAN ID, limitar el ancho de banda, tiempo de expiración y otras configuraciones avanzadas.
• NAS/Clients: aquí es donde tendremos que configurar uno o varios puntos de acceso que se van a autenticar frente al servidor RADIUS. Si tenemos un total de 4 puntos de acceso WiFi profesionales que permiten WPA2/WPA3-Enterprise, aquí es donde tendremos que introducir su dirección IP y también la clave PSK.
• Interfaces: podremos definir la interfaz física o lógica donde el servidor RADIUS escuchará, y también definir el puerto de escucha, siempre usará protocolo UDP.
• Settings: podremos configurar opciones globales del servidor, incluyendo el registro de los diferentes usuarios y los logs completos del servidor.
• EAP: parámetros globales del protocolo de autenticación EAP, es recomendable deshabilitar los tipos EAP débiles que son susceptibles a ataques. Aquí es donde tendremos que cargar la CA para el TTLS y TLS.
• SQL y LDAP: permite la integración del software en una base de datos y también en el LDAP de la organización.

En la sección de «View config» podremos ver los diferentes archivos de texto con la configuración en bruto del servidor FreeRADIUS, si estás acostumbrado a configurarlo a través de editar el archivo de texto, entonces esto te permitirá revisar que la configuración está correcta. Por último, también podremos ver la configuración XMLRPC Sync, por si hacemos uso de esto.

Una vez que hemos visto las configuraciones que nos permite la interfaz gráfica de usuario, vamos a configurarlo en detalle.

Configuración del servidor FreeRADIUS en pfSense

Para configurar correctamente el servidor FreeRADIUS necesitaremos dar de alta los AP, dar de alta a los diferentes usuarios, configurar la interfaz de escucha del servidor, y, finalmente, configurar la autenticación EAP.

Configurar NAS/Clients

Lo primero que debemos hacer es dar de alta los diferentes AP para que se autentiquen correctamente con el servidor. Nos tenemos que ir a la sección de «NAS / Clients», para dar de alta los diferentes APs que van a usar el servidor RADIUS para autenticar a los usuarios inalámbricos. En la siguiente galería podéis ver todas las opciones disponibles que tenemos:

Tendremos que introducir la siguiente información:

• IP address: la dirección IP que tiene el propio punto de acceso profesional en la red, lo normal es que tengamos una subred de gestión donde estén todos estos equipos.
• Client IP version: IPv4 normalmente, pero también permite IPv6.
• Client Shortname: un identificador del punto de acceso que hemos dado de alta
• Client Shared Secret: la contraseña compartida, tanto el AP como este «NAS/Clients» debe tener exactamente la misma contraseña de autenticación. Permite hasta 31 caracteres.

Si estás en una organización donde tienes un controlador WiFi, y gestionas, por ejemplo, 4 puntos de acceso WiFi, deberás configurarlo de la siguiente forma:

• Dar de alta todos los APs con sus correspondientes IP privadas
• Poner en todos los APs dados de alta aquí, exactamente la misma contraseña.
• Poner en el controlador WiFi esta misma contraseña, y todos los APs se autenticarán frente al servidor RADIUS con esta contraseña.

El resto de opciones las podemos dejar por defecto:

En nuestro caso, hemos configurado un total de 4 puntos de acceso WiFi, todos ellos controlados por el controlador Nuclias Connect.

Una vez dados de alta, vamos a configurar la sección de «Interfaces» que es donde escuchará.

Configurar «Interfaces» donde va a escuchar

En la sección de Interfaces es donde podremos configurar la dirección IP de escucha del servidor, si ponemos * significa que escuchará en todas las interfaces. También deberemos indicar el puerto de escucha, el tipo de interfaz (autenticación, autorización etc), la versión IPv4 y una breve descripción.

En nuestro caso, nos interesa que únicamente escuche en la dirección IP de la red de gestión, en el resto de interfaces no nos interesa tener escuchando el servidor RADIUS.

Podremos añadir varias interfaces de manera manual, y no solamente una de ellas. En el menú principal de «Interfaces» podremos ver el resumen de la configuración.

Una vez que ya hemos definido esto, procedemos a configurar los usuarios para autenticarse.

Dar de alta a los diferentes usuarios para autenticarse

Para dar de alta a los diferentes usuarios, deberemos irnos a la sección de «Users». En este menú tendremos muchas opciones de configuración, pero si queremos realizar únicamente autenticación vía WiFi con WPA2/WPA3-Enterprise, deberemos rellenar esto:

• Username: el nombre de usuario, no es recomendable poner espacios.
• Password: la contraseña de acceso que tendrá este usuario.
• Password-Encryption: ponemos cleartext-password.

Otras opciones de configuración son la posibilidad de habilitar autenticación multifactor, definir una dirección URL de redirección después de autenticarse, proporcionarle una IP siempre, un VLAN ID en concreto, configurarle el ancho de banda máximo y el tráfico, y el tiempo de expiración de la sesión y otros parámetros avanzados.

Para las redes WiFi empresariales, basta con poner nombre de usuario y contraseña:

A continuación, en la sección de «Users» los veremos todos dados de alta, en cualquier momento podremos modificarles la configuración.

Crear una CA para asignárselo al servidor

Llegados a este punto, como vamos a autenticar a los clientes WiFi vía EAP-TTLS o PEAP, es necesario crear una nueva CA para el FreeRADIUS, para crearlo, simplemente tenemos que irnos a la sección de «System / Certificate Manager«, y crear una nueva CA interna, con RSA de 2048 o 4096 bits, con SHA256 y un tiempo de vida que nosotros queramos:

Una vez creado, nos aparecerá en el listado de CA, tal y como podéis ver aquí:

Hay algunos tipos de autenticación que necesitan hacer uso de certificados para el cliente, vamos a crear un certificado SSL adicional para el servidor FreeRADIUS, y otro para el cliente. Para hacerlo, deberemos irnos a la sección de «Certificates», y crear uno nuevo, tomando la autoridad de certificación creada anteriormente como CA, de esta forma, crearemos y firmaremos un certificado para servidor.

Una vez que tengamos creada la CA y el certificado del servidor (el del cliente sería opcional, hay algunos tipos de autenticación que no necesitan certificado SSL de cliente), procedemos a irnos a «Services / FreeRADIUS / EAP«, y modificaremos las siguientes opciones:

• Disable Weak EAP Type: habilitamos la opción para deshabilitar los protocolos no seguros.
• Default EAP Type: elegimos cualquiera de los seguros, recomendable hacer uso de TTLS o PEAP.
• Minimum TLS version: 1.2

En la sección de «Certificates for TLS«, tendremos que poner:

• SSL CA Certificate: la CA creada en la sección de gestión de certificados.
• SSL Server Certificate: el certificado del servidor que hemos creado a partir de la CA.

En la sección de «EAP-TLS» podemos dejarlo por defecto, nosotros no usaremos este tipo de autenticación, pero si la usas, tendrás que poner:

• Check Cert Issuer: habilitado
• CA Subject: ponemos la información del certificado CA creado, se tiene que corresponder.
• Check Client Certificate CN

En la sección de «EAP-TTLS» definimos las siguientes configuraciones:

• Default EAP Type: MSCHAPv2

En la sección de «EAP-PEAP» definimos las siguientes configuraciones:

• Default EAP Type: MSCHAPv2

En la siguiente galería podéis ver nuestra configuración actual:

Una vez terminado, pinchamos en «Save» y ya lo tendremos listo. Ahora nos iremos al punto de acceso o al controlador WiFi, y configuramos:

• SSID: nombre de red WiFi
• Seguridad: WPA2-Enterprise
• Encriptación: AES
• Primary RADIUS Server Settings: la IP del servidor RADIUS, la clave PSK configurada en los puntos de acceso en la sección de NAS/Clients, y el puerto utilizado.

Guardamos cambios, propagamos todos los cambios realizados en el controlador WiFi a todos los puntos de acceso WiFi, y ya tendremos configurado todo el sistema para empezar a autenticar a los clientes WiFi.

Conectar Windows 10 a la red WiFi con WPA2 o WPA3-Enterprise

Lo primero que tenemos que hacer para conectarnos con Windows 10, es exportar la clave pública de la CA en el pfSense, para hacer esto, simplemente nos tenemos que ir a la sección de «System / Certificate Manager» y pinchamos en «Export CA», no tenemos que exportar la «key», solamente «Export CA». Una vez exportada y que esté en nuestro PC, hacemos doble click en el certificado para instalarlo en nuestro sistema operativo Windows, en el almacén de certificados.

A continuación, buscamos la red WiFi a la que conectarnos, Windows 10 reconocerá automáticamente que nos intentamos conectar a una red WiFi empresarial, ponemos el nombre de usuario y contraseña, y Windows 10 nos preguntará si seguir conectado a la red, porque no tenemos en uso el certificado de la CA. Si pinchamos en «Mostrar detalles del certificado» podremos ver la huella digital de dicho certificado.

En estado de la red WiFi, podremos pinchar en «Propiedades inalámbricas», nos vamos a la sección de «Configuración» donde pone PEAP, y ponemos la siguiente cofniguración:

• Validar la identidad del servidor validando el certificado.
• Elegimos el certificado FreeRADIUS-CA que hemos exportado

También podremos configurar la política de notificación antes de conectar, e incluso el método de autenticación, que seleccionamos EAP-MSCHAPv2, como podéis ver aquí:

El resto de opciones de configuración podemos dejarlas por defecto.

Pinchamos en aceptar y nos saldremos, ahora ya podremos autenticarnos en la red WiFi WPA2-Enterprise con seguridad, ya que hemos cargado la CA correctamente para validar que efectivamente nos estamos conectando a un AP legítimo.

Conectar Android a la red WiFi con WPA2 o WPA3-Enterprise

En el caso de Android, también tendremos que instalar el certificado de la CA en el dispositivo móvil, pasamos este certificado al móvil por cualquier método (vía cable, WiFi, vía FTP etc), y con cualquier explorador de archivos lo instalamos en el sistema operativo como CA para WiFi.

Elegimos la red WiFi con WPA2-Enteprise a la que conectarnos, y configuramos todo de la siguiente forma:

• Método EAP: TTLS
• Autenticación fase 2: MSCHAPv2
• Certificado de CA: elegimos el certificado que hemos instalado
• Identidad: el nombre de usuario dado de alta en «Users»
• Contraseña: la contraseña asociada al nombre de usuario que hemos dado de alta en «Users».

Una vez hecho, el móvil se autenticará correctamente con el servidor RADIUS configurado, y tendremos conexión a Internet sin problemas.

Tal y como habéis visto, configurar un servidor RADIUS para la autenticación de clientes inalámbricos WiFi vía WPA2 o WPA3-Enterprise es mucho más complejo que poner la típica contraseña de acceso, pero también es mucho más seguro. Este tipo de autenticación es ampliamente utilizado en redes empresariales, universidades e incluso en ciertos hoteles.

Esperamos que este tutorial os haya servido de ayuda para configurar el FreeRADIUS en el sistema operativo pfSense para autenticar a los diferentes usuarios.

El artículo Configura un servidor FreeRADIUS para usar WPA2 y WPA3 Enterprise en WiFi se publicó en RedesZone.

Bruab Schrader publicó en su blog un curioso truco de baja tecnología que me pareció especialmente interesante por lo anti-intuitivo que resulta. Lo ha titulado simplemente Why All My Servers Have an 8GB Empty File y sirve para evitar uno de los problemas más típicos de muchos servidores, el temido «disco lleno».

El caso es que cabría preguntarse por qué alguien querría guardar un fichero gigantesco en su servidor para evitar problemas de «disco lleno» si al hacerlo precisamente se llena un poco más el disco. Tal y como explica Schrader el caso es que en muchas máquinas Linux y de otro tipo cuando se llenan suele ser algo tanto difícil de detectar como de recuperar rápidamente. ¿Puedes ampliar el disco en cuestión de minutos? Normalmente, no. ¿Qué borras cuando el disco está lleno? Lo que no sirva. ¿Estás seguro de que eso que pretendes borrar no sirve? Mmm…

El truco es que si cuando tienes el disco con una ocupación adecuada, digamos 30 de 100 GB, añades un «fichero falso» o «fantasma» de 8 GB [el tamaño puede variar] si llega el temido momento del fallo por «disco lleno» simplemente borras ese fichero y mágicamente tendrás a tu disposición un montón de GB libres. Y es entonces cuando ganas tiempo para buscar otra solución más adecuada y ponerla en marcha, ya sea borrar otras cosas, ampliar el espacio en disco, etcétera.

Una forma simple de crear el fichero en cuestión es ejecutando:

head -c 8000000000 /dev/urandom > random_file.txt

o bien (es más rápido, pero sólo admite hasta 2,1 GB)

dd if=/dev/zero of=random_file.txt bs=2000000000 count=1

o si se utiliza Mac OS X:

mkfile 8g random_file.txt

(donde el número indica cuántos bytes tendrá el fichero fantasma en cuestión). En el primer caso el contenido es aleatorio –y por tanto no se puede comprimir– y según se configure la copia de seguridad también ocupará espacio allí, por lo que tal vez sea mejor eximirlo de la copia. Las otras variantes quedan simplemente llenas de ceros y en las copias comprimidas ocupan mucho menos.

Lo del «disco lleno» lo hemos vivido más de una vez en el servidor en el que alojamos el blog, donde aparecía creando caos y confusión de forma impredecible porque los logs crecían sin control, o había demasiadas copias de seguridad mal gestionadas, algo que ya solucionamos hace tiempo. (Ayuda mucho recibir un mini-informe semanal por correo). En algunos momentos tras entender cuál era el problema tuvimos que «borrar cosas» cruzando los dedos para no perder más tiempo y volver a tenerlo funcionado lo antes posible, y hubiera estado bien tener esta especie de «solución salvavidas» al alcance de un borrado rápido de un fichero concreto.

Según cómo se mire, el truco puede compararse con llevar piedras en una mochila cuando te persigue un león: si las arrojas al suelo, corres más rápido y escapas más fácilmente… pero podrías no llevarlas desde un principio y quizá así no te perseguiría el león (!) En fin, quizá sea por eso por lo que algunos atletas entrenan con piedras, para anticiparse a un «escenario peor».

# Enlace Permanente

OpenSSL es una de las librerías criptográficas más utilizadas por los sistemas operativos, Windows y muchas distribuciones basadas en Linux y Unix hacen uso de OpenSSL para gestionar toda la criptografía, certificados digitales etc. Contar con una librería criptográfica sin fallos de seguridad es fundamental, y hoy hemos conocido el lanzamiento de una nueva versión OpenSSL 1.1.1k que viene para solucionar dos graves fallos que se incorporaron al solucionar otros fallos de seguridad. ¿Quieres conocer todos los detalles y si estos fallos de seguridad te afectan?

Bypass en la comprobación del certificado de CA

OpenSSL introdujo una nueva función llamada X509_V_FLAG_X509_STRICT, el objetivo de esta función es comprobar certificados digitales sospechosos, con el objetivo de denegar su uso devolviendo un error. Esta función se incorporó porque se encontró un fallo en la función de comprobación de certificados con curvas elípticas ECC en la implementación de Windows, esto permitiría que un atacante pudiera validar todo el certificado como bueno sin devolver ningún error. Estos certificados basados en ECC comprobados por Microsoft no servía, y todos los aceptaban. Microsoft añadió una nueva función y OpenSSL heredó esta función para detectar certificados digitales «sospechosos». A partir de la versión OpenSSL 1.1.1h se añadió una comprobación adicional para no permitir este tipo de certificados.

Un error en la implementación de esta comprobación, hizo que una comprobación previa no se valide correctamente, y certificados que no son CA pueden emitir certificados (algo que no debería ocurrir, solamente las CA pueden emitir y revocar certificados). Por tanto, esto podría hacer que se generasen certificados a partir de certificados normales (no CA), algo que nunca debería suceder.

Un detalle importante es que la función X509_V_FLAG_X509_STRICT no se encuentra habilitada por defecto, pero si una aplicación la activa para usarla, podría ocasionar otros problemas. Este fallo afecta a todas las versiones 1.1.1h y posteriores de OpenSSL, todos los usuarios de esta versión deben actualizar a la versión 1.1.1k lo antes posible. Si utilizas la versión de OpenSSL 1.0.2 no está afectado por este problema.

Denegación de servicio a servidores TLS con OpenSSL

Otro fallo bastante importante que han solucionado está relacionado con la negociación del protocolo TLS. Un servidor TLS que utilice la librería criptográfica OpenSSL, puede fallar si se envía una renegociación del ClientHello desde el cliente. Si en una renegociación con TLSv1.2 el ClienHello omite la extensión signature_algoritms (donde estaba presente el ClientHello inicial) pero incluye una extensión signature_algorithms_cert entonces de desreferencia el puntero y provoca un bloqueo con su correspondiente denegación de servicio.

Cualquier servidor solamente es vulnerable si hace uso del protocolo TLSv1.2 y la renegociación está habilitada (por defecto lo está). Los clientes TLS no están afectados por esta vulnerabilidad, solamente los servidores. Todas las versiones OpenSSL 1.1.1 están afectadas por este fallo, por tanto, se recomienda actualizar a la versión OpenSSL 1.1.1k cuanto antes. La versión OpenSSL 1.0.2 tampoco está afectado por este problema.

Debemos recordar que la versión OpenSSL 1.0.2 está fuera de soporte, lo mismo que la versión 1.1.0, por tanto, es recomendable que actualicemos siempre a la última versión OpenSSL 1.1.1k para solucionar todos estos problemas encontrados. Si tienes un sistema operativo Linux, bastante con ejecutar las siguientes órdenes para proceder con la actualización cuando esté disponible en el repositorio:

Os recomendamos leer el hilo de Sergio de los Santos donde explica fácilmente ambos fallos:

Es curioso cómo las vulnerabilidades se heredan entre sistemas, se empeoran con los arreglos o se malinterpretan. OpenSSL acaba de corregir dos graves fallos. Uno de ellos al intentar "mejorar" un problema que en principio se descubrió en la implementación de Windows. Hilo ¬.

— Sergio de los Santos (@ssantosv) March 25, 2021

En otros sistemas operativos necesitaremos esperar algo más de tiempo hasta que lancen esta actualización tan importante.

El artículo OpenSSL lanza una actualización urgente para solucionar vulnerabilidades graves se publicó en RedesZone.

La Semana Santa es una fecha habitual para escapadas... pero no será este año, ya sea por cierres perimetrales y otras restricciones en la mayoría de CCAA o por precaución. Así que en Xataka te proponemos una serie de planes alternativos para quedarte en casa y aprovechar las vacaciones. Algunos son lúdicos y otros no tanto, pero a la larga son necesarios. Bienvenidos a nuestra de semana santa "tecnológica" con propuestas y proyectos para pasar las vacaciones en casa.

Haz una copia de seguridad

...y es este es el mejor ejemplo. Hacer copias de seguridad es un poco como cambiar la ropa de invierno y verano del armario: necesario pero da una pereza tremenda. En Xataka te hemos explicado paso a paso cómo hacer una copia de seguridad en Windows 10 y también cómo funcionan en Mac. Teniendo en cuenta lo que usamos otros dispositivos como tablets y smartphones, considera asimismo hacer un backup de tu móvil.

Es una magnífica idea hacer nuestras copias de seguridad en un disco duro externo preparado para tal fin. Este disco duro de sobremesa Western Digital My Book de 14 TB cuenta con copia de seguridad automática con software específico y es compatible con Time Machine, cuenta con protección con contraseña y más herramientas. Con puerto USB 3.0.

Western Digital My Book Disco Duro Externo de Sobremesa de 14 TB, 3.5", USB 3.0, Negro

Hoy en Amazon por 300,36€

PVP en PcComponentes 316€

En Xataka

Guía de compra para hacer copias de seguridad: discos duros, NAS y memorias USB para los backups de tus dispositivos

Limpia el ordenador

Estos días también pueden ser buen momento para abrir el ordenador y realizarle un mantenimiento. Puede ser una simple limpieza, pero también puedes aprovechar para ampliar la memoria RAM o cambiar el disco duro por un rápido SSD, por ejemplo por este SSD Crucial BX500 de 480 GB (40 euros).

Entre los elementos necesarios para una buena limpieza de tu ordenador necesitarás un kit de destornilladores de precisión (8,26 euros), un spray de aire comprimido(8,26 euros) y pasta térmica (6,48 euros). iFixit, conocidos por "destripar" los gadgets que salen al mercado, cuenta con kits específicos bastante completos como este iFixit Pro Tech Toolkit, que vendrá genial a la gente más manitas.

iFixit Pro Tech Toolkit, Juego de Herramientas con 64 puntas de precisión (4 mm) y mango destornillador para reparar moviles, consolas, ordenadores

Hoy en Amazon por 69,99€

En Xataka

Cómo limpiar el ordenador por dentro y por fuera: instrucciones de seguridad, qué necesitas y procedimiento

Aprovecha para formarte

Profundizar en ese lenguaje de programación que tanto te llama pero que nunca has tenido tiempo, actualizarte, picar de áreas de conocimiento que te interesan... en internet hay un montón de cursos online gratis y esta semana santa puedes aprovechar para aprender.

En Coursera tienes algunos como 'Building Arduino robots and devices' para montar tus dispositivos con Arduino o 'Android App Development' para aprender a hacer apps.

En Udemy hay una buena colección de cursos como 'Masterclass Arduino, Electrónica y Programación desde cero' por 12,99 euros o este de 'Curso Completo de Linux' (12,99 euros), ambos para usuarios básicos.

En Doméstika también hay ofertas interesantes en cursos tecnológicos (o de otras áreas) como este de 'Introducción al diseño UX' o 'Creación de una web profesional con WordPress'.

Aunque en las anteriores plataformas hay cursos de diferentes disciplinas de conocimiento, en Google están centrados en Marketing online, desarrollo profesional y datos y tecnología, algunos de ellos con certificaciones. Quien sabe, quizás puede ser el comienzo de una nueva trayectoria profesional.

En Xataka

57 cursos online y gratis para hacer en otoño, edición 2020

Monta una impresora 3D

Una impresora 3D promete horas y horas de experimentación: para pillarle el truco y conocer sus limitaciones, para llevar a cabo cientos de proyectos que puedes crear tú mismo con herramientas como TinkerCad o buscar en webs de referencia como Thingiverse...

Pero todo comienza comprando una impresora 3D y, en algunos casos, con el proceso de ensamblarla. Y es que una impresora sin montar suele ser más asequible y nos prepara para conocer cómo funciona y qué puede fallar (tarde o temprano, fallará)

La Creality Ender 3 (198 euros) es una buena candidata para principiantes. Viene premontada, por lo que en un par de horas la puedes tener en marcha, y cuenta con una gran comunidad de usuarios que hablan y experimentan con ella. Es compacta pero pese a ello ofrece un volumen de impresión aceptable y con calidad de impresión decente.

Impresora 3D Creality Ender 3 con formato de código abierto asequible y excelente calidad de impresión, reanudación de impresión, gran volumen de impresora

Hoy en Amazon por 196,00€

En Xataka

Cómo iniciarse en el mundo de la impresión 3D: lo que recomiendan los expertos

Aprende Scratch y Python con Raspberry Pi 400

Dentro de las plataformas mencionadas más arriba tienes opciones de sobra para aprender Scratch y Python, pero con el Raspberry Pi 400 (105 euros) tendrás además un ordenador de lo más compacto y simpático para trastear.

Este kit incluye el ordenador (el teclado con la Raspberry Pi en su interior), la alimentación, el cable micro HDMI a HDMI (1m), el ratón oficiales Raspberry Pi, una tarjeta microSD 16GB con Raspberry Pi OS preinstalado y un guía del usuario en español. Sirve para navegar por Internet, crear y editar documentos, mirar vídeos y también aprender a programar con el entorno de trabajo digital de la Raspberry Pi OS.

Haz tu altavoz Amazon Echo con Alexa y Raspberry Pi

Este proyecto DIY auna dos áreas de lo más interesantes: el potencial de Alexa como asistente de voz y Raspberry Pi. Aunque Amazon publicó una guía muy detallada para llevar a cabo este "Amazon Echo de andar por casa" (con ciertas limitaciones), desde LifeHacker explican otro método más sencillo que se vale de Alexa Pi (repositorio en GitHub).

Necesitarás una Raspberry Pi (te vale la Raspberry Pi 3 o incluso la 2, pero si vas a comprar una, por versatilidad y posibilidades mejor irse a una Raspberry Pi 4 de 4GB (63 euros)), y un micrófono USB, además de una tarjeta microSD de la menos 8GB (5,28 euros), una fuente de alimentación y un altavoz, además de un cable ethernet. También puedes optar por un kit para comprar placa, alimentación y cable de una sola vez.

Raspberry Pi 4 Computer Official Premium Kit with MicroSD 32GB S.O. preloaded (4GB RAM, White)

Hoy en Amazon por 109,00€

Monta tu propia nube

El adiós al almacenamiento ilimitado de Google Fotos ha provocado que muchos usuarios se busquen la vida con otras alternativas o que directamente se planteen crear su propia nube.

En Xataka Basics os hemos contado cómo hacerlo paso a paso. La mejor opción es optar por un servidor NAS.

Un modelo muy interesante de gama de entrada es el Synology DS120J. Destaca por su software, tanto por posibilidades como por lo intuitivo que resulta. Fácil de integrar con dispositivos móviles, te sirve también para copias de seguridad, compatible con Android/iOS o Windows/Mac. Hasta 16TB.

Synology DS120J - Diskstation

PVP en Macníficos 103€

Hoy en Amazon por 109,00€PVP en PcComponentes 109€

Otra buena opción es el WD My Cloud EX2 Ultra, un NAS con alto rendimiento con un software muy cuidado y completo que admite varias opciones de Raid. Para copias de seguridad, nubes y con Plex como servidor multimedia.

WD 8TB My Cloud EX2 Ultra Almacenamiento en red

Hoy en Amazon por 330,36€

PVP en PcComponentes 410€

Monta tu Arcade

Pero no todo va a ser trabajar y hacer cosas de provecho. Con Pimoroni Picade (85 euros) te proponemos un dos en uno: por un lado un interesante proyecto DIY para montar tu propia Arcade y por otro, cuando la termines, la satisfacción de poder emular la experiencia gaming de antaño con títulos de hace décadas.

Este kit tiene como base una Raspberry Pi y no incluye pantalla, de modo que has de conectarlo a una salida de imagen como tu TV, pero también los hay con panel integrado. Pero todo lo demás está incluido: mandos y botones, circuitería, tarjeta SD, tablero, pegatinas...

En Xataka

Cómo montar tu propio mando Arcade en casa: construyendo la Pimoroni Picade

Empieza con Arduino

Si te has planteado empezar con Arduino, un concepto que engloba la placa de circuito impreso, el lenguaje de programación y la comunidad que se aglutina a ella e incluso una ingente cantidad de proyectos, te proponemos hacerlo en condiciones con este Starter kit para principiantes (96 euros).

Es cierto que placas y kits más baratos, que no hay manual más completo que internet y que puedes comprar por separado los componentes, pero con este Starter Kit incluye libro en castellano oficial y cuenta con todo lo necesario para empezar desde cero.

Arduino starter kit para principiantes K030007 [manual en español]

PVP en Amazon 96,68€

Estación meteorológica DIY

Puedes empezar de cero con Arduino de forma formal o lanzarte a la aventura de lo práctico con este kit DIT de InputMakers que sirve también como proyecto para adolescentes (desde 11 años).

Este proyecto combina robótica, electrónica y programación (compatible con IDE Arduino) para que en una tarde montes una estación meteorológica que mida temperatura y humedad. Viene con todo lo necesario y un enlace al manual.

InputMakers Kit de Robótica Estación Meteorológica Compatible con Arduino IDE con Manual Descargable en Español

Hoy en Amazon por 22,99€

Domótica con Home Assistant

Hace unos meses os contábamos la historia de Laura y Marcos, una pareja que había automatizado su casa al completo con open source. Bajo el control del sistema de código libre Home Assistant, un montón de sensores e interruptores con Raspberry Pi, placas Sonoff y similares.

En este artículo te contamos cómo hacerlo con un hub propietario como el Philips Hue (50 euros) o el Vera Plus (160 euros), pero también es posible usar una Raspberry con HOOBS

Riego "inteligente"

Si tienes un jardín en casa, es buen momento para prepararlo para el verano automatizándolo, de modo que puedas controlarlo a distancia a través del móvil o incluso que se riegue solo si se dan las condiciones.

Una solución comercial muy atractiva es Gardena Smart (414 euros el kit de irrigación incluye sensor, hub y el controlador), que además dispone de complementos para diferentes formas de riego y sensores.

Pero también puedes liarte la manta a la cabeza con un proyecto DIY con Arduino por bastante menos dinero. Este pack de WayinTop incluye placa ATmega328, cuatro sensores de humedad, relés, bombas y cables para llevarlo a cabo.

WayinTop Sistema de Riego Automático DIY Kit para Arduino, Desarrollo Placa + 4 Canal 5V Relé + 4pcs Sensor de Humedad del Suelo + 4pcs Mini Bomba de Agua DC 3V 5V + 5M Tubería Agua PVC + Jumper Cable

Hoy en Amazon por 37,99€

Montar un Ambilight

Una de las características más llamativas de los televisores Philips es la tecnología Ambilight, ese sistema de iluminación ubicado en la parte trasera que sirve para lograr una experiencia más envolvente, ya que cambia de color con el contenido.

Aunque es posible comprarlo por separado y montarlo en cualquier tele o monitor gracias al Philips Hue Play gradient lightstrip (179 euros) o con las Philips Hue Play (120 euros) (necesitarás la Hue Sync Box para sincronizar la luz con música, películas y videojuegos), te proponemos hacer un Ambilight tú mismo con Raspberry Pi.

Philips Hue Play Gradient Lightstrip Tira Inteligente LED, 20 W, Luz Blanca y Colores, 65 Pulgadas

PVP en Media Markt 179€

Hoy en Amazon por 179,99€PVP en PcComponentes 179€PVP en El Corte Inglés 179€

El pack Lightberry está disponible para televisores hasta 70 pulgadas de diagonal y viene con todo lo necesario, pero en la actualidad es complicado encontrarlo.

Otra opción es comprar por separado una tira de LEDs, un conversor LED para conectar las luces a la Raspberry Pi, alimentador y elementos de fijación para todo.

La Raspberry Pi será el cerebro que lanzará la orden de cambiar de color en función del contenido. Para ello requeriremos una distribución de XBMC y un add-on para controlar la tira de LED como pueden ser Hyperion o Boblight. En el foro de Raspberry Pi tienes un tutorial muy completo para llevarlo a cabo.

En Xataka

Tecnología Ambilight y alternativas: guía de compra de sistemas LED para crear una iluminación ambiente en la parte trasera de la TV

Comienza a dibujar

Aunque no necesitas más que papel y lápiz/boli para empezar, con una tableta digitalizadora podrás dejar volar tu imaginación con software específico y la facilidad de poder modificar y trasladar tus creaciones a otros programas.

La XP-Pen Artist 12 Pro cuenta con pantalla táctil de 11,6" y lápiz con 8192 niveles de sensibilidad a la presión, además de una rueda de ajuste para mejorar la manejabilidad. Funciona con Windows y Mac y los principales programas de dibujo y retoque.

XP-PEN Artist 12 Pro - Tableta gráfica con pantalla táctil y lápiz, de 11,6 pulgadas, 1 dial rojo y función de inclinación de 60 grados

PVP en FNAC 215€

Hoy en Amazon por 269,99€

La Wacom One Creative cuenta con una pantalla de 13,3" FHD con lápiz digital de gran precisión, con Windows 10 Pro y software creativo incluido.

Wacom One Creative Pen Display de 13.3" con Software Incluido para Esbozo y Dibujo en Pantalla, 1920 x 1080 Full HD, Colores Vivos y lápiz Digital preciso, óptima para Oficina en casa y e-Learning

Hoy en Amazon por 379,99€

PVP en Media Markt 399€

Aprovecha para leer

Es buen momento asimismo para terminar esas lecturas que tenemos pendientes o para empezar un libro nuevo. En Xataka solemos ofrecerte nuestras recomendaciones, libros que nos gustan o incluso que nos han cambiado la vida con su lectura. Como van a ser unos cuantos días, te proponemos dos libros para que no te aburras:

Dune (Nueva edición) (Las crónicas de Dune 1)

Hoy en Amazon por 11,35€

PVP en El Corte Inglés 11,35€PVP en FNAC 11,35€

El primero es 'Dune', todo un clásico de ciencia ficción que cuenta con nueva edición y que nos ha marcado tanto que ofrecemos 50 motivos para leerla. Misticismo, intrigas políticas y ecologismo en esta obra de culto sci-fi.

La segunda es 'Jerusalem' (57 euros). Dividido en tres tomos y centrado en la jugosa historia, la mítica y la real, de su ciudad natal, Northampton, el autor de Watchmen y V de Vendetta plantea una novela de tamaño ingente que algunos críticos han definido como "el Ulises de Alan Moore". Saltando de estilo en estilo (hay capítulos en verso, otros de tipo experimental y un fragmento escrito al estilo de una novela juvenil de detectives), con decenas de personajes y un arco temporal que abarca siglos de historia y mitos, Alan Moore no solo ha escrito su obra más extensa, sino también la más ambiciosa.

Jerusalén (estuche novela) (Biblioteca Alan Moore)

Hoy en Amazon por 57,00€

PVP en El Corte Inglés 57€

Juegos de mesa

Los juegos de mesa son una gran alternativa para pasar tiempo en casa (o en una casa rural, si las condiciones lo permiten), especialmente si hace malo. En Xataka te hemos recomendado bastantes juegos de mesa: desde los editores de Xataka en general hasta los más especializados. No obstante, aprovechando que probablemente tengas tiempo, te proponemos tres moderadamente largos.

Con unas partidas de duración media de dos horas, 'Castillos de Borgoña' es el más corto de nuestros juegos propuestos. Haz crecer tus dominios combinando azar y estrategia. En cada turno nos estableceremos en asentamientos, comerciaremos o pondremos a nuestros trabajadores en marcha. De dos a cuatro jugadores y catalogado como difícil

Ravensburger - The Castles of Burgundy Versión Española, Strategy Game, 14 Jugadores, Edad Recomendada 12+, 26925

Hoy en Amazon por 40,63€

Para amantes de los juegos de mesa que se atrevan con algo avanzado, 'Twilight Struggle: la Guerra Fría' os llevará a revivir momentos reales desde el final de la II Guerra Mundial hasta la caída del Muro de Berlín. Un juego para jugar en pareja y que fácilmente puede engancharte durante tres horas. Gran intensidad y rejugabilidad.

Devir - Twilight Struggle: la Guerra Fría, 1945-1989, Juego de Mesa (BGTWIST)

PVP en Planet On Games 45€

Hoy en Amazon por 54,95€

El universo lovecraftiano tiene una joya como esta: 'Eldritch Horror', un título que puede atraparte hasta ocho horas de juego y que admite de uno a ocho jugadores.

En 'Eldritch Horror' viajas por todo el mundo descubriendo ruinas secretas, dimensiones paralelas y te enfrentas a monstruos. Es un juego cooperativo en el todos ganan o pierden.

Fantasy Flight Games Eldritch Horror - Las montañas de la Locura, Juego de Mesa (Edge Entertainment EH03)

PVP en Amazon 37,47€

Enchufa tu consola

Cuatro o cinco días de ocio son un bien preciado para quienes gustamos de jugar a videojuegos, ya que nos da margen para sumergirnos en ellos sin andar pendientes del reloj.

Si en el punto literario os hemos recomendado dos obras densas y largas, aquí no va a ser una excepción: no os vais a aburrir con estos juegos, que garantizan horas y horas de entretenimiento.

'Animal Crossing: New Horizons' (49 euros) fue el juego de mi confinamiento. De hecho hasta me compré una Switch para jugarlo... y fue una grandísima decisión. Me tuvo enganchada en las pequeñas misiones, la decoración y lo de buscar a Juliana los domingos por la mañana se convirtió en mi sustituto del padel. Lo mejor es que admite muchísima jugabilidad y que sirve hasta para los peques de la casa (3 años). Un must para rezagados

Animal Crossing: New Horizons (Nintendo Switch)

Hoy en Amazon por 48,08€

PVP en El Corte Inglés 59,90€PVP en Media Markt 49,90€

Tanto si tienes una Xbox One o PS4 como si eres de los afortunados que se ha hecho con una consola de última generación, decir 'Assassin's Creed' es sinónimo de juego que engancha y que asegura mucho tiempo frente a la pantalla para no aburrirse, justo lo que promete su última entrega inspirada en el mundo vikingo: 'Assassin's Creed Valhalla' (39 euros)

Assassin's Creed Valhalla

PVP en Media Markt 39€

Hoy en Amazon por 39,95€PVP en PcComponentes 54€

Assassin's Creed Valhalla - Limited Edition (Exclusiva Amazon)

PVP en FNAC 44€

Hoy en Amazon por 66,99€PVP en Media Markt 44€

Haz un puzzle o maqueta

Aunque los míticos puzzles de chopocientas piezas con la catedral de turno son todo un clásico, os proponemos invertir vuestro ocio en kits de montajes en forma de maquetas y puzzles 3D.

Por ejemplo con esta mantis steampunk de metal que podrás montar con la ayuda de pinzas de precisión, alicates, cortadores, lupa y muchísima paciencia para terminar con un insecto del futuro con dimensiones de 10.70 x 5.80 x 6.20 cm. A partir de 14 años.

YUKM Mantis Mantis Mantis Puzzle Model Kit De Construcción, Kit De Modelo De Insecto De Rompecabezas De Metal 3D, Modelo Mecánico para Niños, Juguetes Educativos, Decoración De Escritorio

PVP en Game World 49€

Hoy en Amazon por 98,61€

Para los fans más pacientes de 'Star Wars" la maqueta del Halcón Milenario en grado perfecto, o lo que es lo mismo: escala 1/72 y 680 piezas para reproducir la nave con alto nivel de detalle. Por 442 euros

Puedes estar al día y en cada momento informado de las principales ofertas y novedades de Xataka Selección en nuestro canal de Telegram o en nuestros perfiles de Twitter, Facebook y la revista Flipboard.

Nota: algunos de los enlaces aquí publicados son de afiliados. A pesar de ello, ninguno de los artículos mencionados han sido propuestos ni por las marcas ni por las tiendas, siendo su introducción una decisión única del equipo de editores.

-
La noticia Semana Santa en casa: 18 propuestas y proyectos tecnológicos para hacer en vacaciones fue publicada originalmente en Xataka por Eva Rodríguez de Luis .

En muchas ocasiones surgen problemas que pueden comprometer la seguridad de nuestros equipos. Es algo que afecta a todo tipo de sistemas operativos y debemos corregir. En este artículo nos hacemos eco de un error en la máscara de red, considerado como crítico, que pone en peligro miles de programas. Vamos a explicar en qué consiste este problema de seguridad.

Un error crítico en la máscara de red npm afecta a miles de aplicaciones

La máscara de red se utiliza con frecuencia en cientos de miles de aplicaciones para analizar direcciones IPv4 y bloques CIDR o compararlos. Por tanto, en caso de que haya algún tipo de problema, alguna vulnerabilidad, podría poner en riesgo a muchos usuarios. Este componente cuenta además con millones de descargas semanales.

El error está presente en la biblioteca npm y significa que cuando se analiza una dirección IP con un cero a la izquierda, la máscara de red ve una IP diferente debido a validaciones incorrectas. Este descubrimiento ha sido por parte de Victor Viale, Sick Codes, Nick Sahler, Kelly Kaoudis y John Jackson. Han revelado un fallo en la popular biblioteca de máscaras de red.

La vulnerabilidad ha sido rastreada como CVE-2021-28918. Afecta a cómo la máscara de red maneja las direcciones IP de formato mixto, o más específicamente cuando una dirección IPv4 decimal contiene un cero inicial.

Hay que tener en cuenta que una dirección IP se puede representar en diferentes formatos, incluidos hexadecimal y entero, aunque las direcciones IPv4 más comunes se expresan en formato decimal. Supongamos que se recibe una dirección IP en formato decimal, 127.0.0.1, que se entiende ampliamente como la dirección de bucle invertido local o localhost.

El problema es cuando aparece un 0 a la izquierda. En ese caso interpreta la dirección IP como otra totalmente distinta. Podemos probar en el navegador, con Chrome por ejemplo, a poner la IP 127.0.0.1. Si ponemos un 0 a la izquierda lo interpreta como una IP en formato octal y al intentar entrar cambia a su equivalente en decimal 87.0.0.1.

En el caso de la máscara de red npm, esos ceros a la izquierda simplemente se eliminarían y descartarían. Según indican los investigadores de seguridad, la máscara de red ignora esto. Siempre considerará las partes como decimales, lo que significa que si intentamos validar que una IP pertenece a un rango, será incorrecto para las representaciones de direcciones IPv4 basadas en octales.

Este problema afecta a la seguridad

Ahora bien, ¿Cómo afecta todo esto a la seguridad? De primeras este error podría parecer poco importante, pero si un atacante pudiera influir en la entrada de la dirección IP analizada por la aplicación, el error puede dar lugar a varias vulnerabilidades. Aquí podemos incluir omisiones de la falsificación de solicitudes del lado del servidor (SSRF) hasta el control remoto.

Un atacante podría, por ejemplo, crear una IP con algunos o todos los octetos en base 8, en la antigua representación de JavaScript con prefijo 0. Este error se podría aprovechar para la inclusión remota de archivos en caso de que un atacante cree una dirección IP que parezca privada para la máscara de red.

Hay que tener en cuenta que para este error CVE-2021-28918 se ha lanzado la versión 2.0.0 de netmask para poder corregirlo. Una vez más podemos ver la importancia de mantener siempre nuestros sistemas y dispositivos correctamente actualizados. Solo así podemos evitar problemas de seguridad.

El artículo Un error crítico en la máscara de red afecta a miles de programas se publicó en RedesZone.

Cuando tenemos una conexión a Internet con un sistema operativo orientado a entornos profesionales como pfSense, es totalmente necesario verificar externamente si la conexión a Internet está funcionando correctamente, para descartar problemas de configuración en los servidores VPN o en los túneles VPN que tengamos configurados. Gracias a UptimeRobot vamos a poder comprobar de forma remota si la conexión a Internet funciona bien, pero antes deberemos hacer unas configuraciones muy específicas en pfSense para que el sistema operativo no detecte falsos ataques.

¿Qué es UptimeRobot y cómo monitorizará la conexión?

UptimeRobot es un servicio web completamente gratuito que nos permitirá monitorizar la conexión a Internet de forma remota, este servicio dispone de decenas de servidores repartidos por todo el mundo, los cuales intentarán conectarse con nuestro equipo a través de TCP, UDP e incluso ICMP para comprobar que la conexión a Internet está funcionando correctamente. La versión gratuita nos permite comprobar hasta 50 host en intervalos de 5 minutos, suficiente para un entorno doméstico y para pequeñas y medianas empresas, aunque es posible que en tu empresa necesites saber más rápidamente si la conexión a Internet se cae. Si compras la versión premium podrás configurar intervalos de un minuto para comprobar si la conexión a Internet está funcionando bien, y dispondrás de más hosts para monitorizar, todo ello centralizado en la misma cuenta.

En RedesZone ya hemos hablado anteriormente de este servicio a fondo, sin embargo, si estamos utilizando un sistema operativo como pfSense, el cual es muy configurable y es capaz de detectar ataques de denegación de servicio y ataques por fuerza bruta, es posible que detecte estas conexiones como posibles ataques, y directamente bloquee la comunicación desde la IP de origen. Lo mismo ocurre si tenemos configurado un IDS/IPS en el propio pfSense, es posible que lo detecte como amenaza. Si el sistema operativo bloquea la dirección IP de origen y no «contesta» a UptimeRobot, entonces detectará que la conexión a Internet está caída, cuando realmente no lo está, dándonos una alerta falsa.

Una característica que nos ha gustado mucho de UptimeRobot, es que nos permitirá recibir avisos por email, Telegram, Twitter, Slack, Microsoft Teams y más, por lo que tendremos siempre una notificación de si existe algún problema. Además, siempre podremos instalar la app oficial de UptimeRobot para Android y iOS:

Descargar QR-Code

UptimeRobot: Monitor anything!

Developer: UptimeRobot

Descargar QR-Code

UptimeRobot: Monitor anything!

Developer: itrinity

Una vez que ya sabemos todo lo que UptimeRobot puede hacer por nosotros, vamos a ver cómo configurar correctamente pfSense para evitar alertas de ataque falsas.

Configura pfSense para que UptimeRobot no sea bloqueado

Aunque UptimeRobot dispone de varios servidores repartidos por todo el mundo con el objetivo de monitorizar los diferentes hosts y evitar falsos positivos, en muchas ocasiones esto no es suficiente, sobre todo si tenemos muy bien configurado nuestro firewall pfSense. Todas las comprobaciones que realiza UptimeRobot se realizan desde Dallas-Estados Unidos, sin embargo, cuando se detecta una caída, el resto de nodos repartidos por el mundo comprobarán si realmente se ha caído la conexión o no. Sin embargo, en RedesZone hemos comprobado que esto no es suficiente si usas pfSense, ya que está continuamente diciéndonos que la conexión a Internet funciona correctamente, y que se ha caído, la comprobación está oscilando entre ambos estados.

En nuestro caso, la comprobación de si la conexión a Internet está levantada, la realizamos con unos «checks» en el servidor SSH del sistema operativo pfSense, el cual deberemos habilitar. Solo deberemos habilitar el servidor SSH y configurar un determinado puerto TCP de escucha, por ejemplo, el puerto 2222 para el SSH. Este puerto será accesible a través de Internet desde cualquier origen, con el objetivo de administrar el sistema operativo desde cualquier lugar.

Para solucionar el problema de los falsos positivos, debemos entrar en la interfaz web de configuración del sistema operativo de pfSense:

Nos vamos a la sección de SSH y nos aseguramos de que está habilitado, y que está escuchando en el puerto 2222, o en cualquier otro puerto.

En la sección de «Login protection», deberemos añadir todas y cada una de las redes y direcciones IP de origen de UptimeRobot. En esta «pass list» tendremos el listado de todas las direcciones IP de origen que pueden realizar «checks» contra el servidor web HTTPS o el servidor SSH configurado saltándose las restricciones del «login protection» que tenemos configurado.

En la web oficial de UptimeRobot tenemos el listado de todas las direcciones IP de origen que ellos utilizan, simplemente tendremos que ir introduciendo rango por rango o dirección IP por dirección IP. También tenemos las direcciones IPv6 que ellos usan, por si acaso en tu caso tienes IPv6 para acceder a Internet. Por último, también nos brindan un archivo txt con el listado de todas las direcciones IP para facilitar la configuración de los firewalls.

Cuando habilitamos el servidor SSH en el pfSense, si queremos que accedan desde Internet con cualquier dirección IP de origen, necesitaremos crear una regla en la sección de «Firewall / Rules«, en esta regla deberemos poner:

• Action: Pass
• Interface: WAN
• Address Family: IPv4 y/o IPv6.
• Protocol: TCP
• Source: any
• Destination: WAN Address
• Destination Port Range: el puerto del servidor SSH donde está escuchando, en nuestro caso, el 2222.

También os recomendaríamos loguear todos los paquetes que reciba el firewall, activando la opción «Log packets that are handled by this rule», finalmente le daremos una descripción y pinchamos en guardar.

Antes de acabar, un detalle importante es que coloquéis la regla de pfSense en la sección WAN en el orden correcto, porque si tenemos una regla de denegar todo general por encima de esta regla específica, estarás bloqueando el tráfico y no funcionará desde el exterior.

Si ves los logs del sistema operativo, podrás ver la dirección IP de origen que está usando UptimeRobot, y también la dirección IP de destino y puerto (nosotros). Desde aquí podrás comprobar que cada 5 minutos está realizando una comprobación de si la conexión a Internet funciona correctamente, o mejor dicho, si el servidor SSH de pfSense es alcanzable a través de Internet.

Una vez que hemos visto cómo configurar correctamente pfSense, vamos a recordar cómo crear la regla en UptimeRobot para monitorizar nuestro pfSense.

Crear la regla de monitorización en UptimeRobot

Iniciamos sesión en UptimeRobot con nuestras credenciales, si nunca has usado esta herramienta, tendrás que registrarte en su versión «Free». En el menú principal podremos ver en la sección de la izquierda todas las reglas de monitorización creadas, pinchamos en «Add New Monitor» para crear una nueva regla.

El tipo de monitor que deberás usar es «Port», le damos un nombre descriptivo, ponemos «Port: Custom Port» para poner el puerto 2222 del servidor SSH que acabamos de configurar, y el intervalo de monitorización. En la versión gratuita de UptimeRobot nos permitirá un intervalo mínimo de 5 minutos, lógicamente, cuantas más comprobaciones realice antes nos avisará de que ha habido un problema con la conexión a Internet, pero esto solo está disponible en la versión de pago.

No debes olvidar seleccionar las alertas a enviar, podremos recibir una alerta por email, Telegram u otro servicio, siempre que lo hayas dado de alta anteriormente.

Una vez que hayamos terminado, pinchamos en «Create Monitor» y ya tendremos UptimeRobot funcionando. Ahora deberás revisar en pfSense que has recibido correctamente el paquete, comprobando los logs del firewall en la sección WAN, puedes filtrar los logs poniendo el puerto de destino 2222 que es el puerto del SSH, también podrás comprobar que la dirección IP de origen está dentro del rango de direcciones IP que os hemos indicado anteriormente.

¿Puedo limitar las conexiones SSH solamente a UptimeRobot?

Si quieres habilitar el servidor SSH solamente para las direcciones de UptimeRobot, con el objetivo de comprobar si la conexión a Internet funciona bien, podrás limitar las conexiones SSH a través de la regla en el firewall. Si nos vamos a «Firewall / Aliases» podrás crear un alias con todas las direcciones IP de origen de UptimeRobot, para facilitar enormemente la configuración de la regla. Podemos poner la URL con el archivo de texto que os hemos proporcionado anteriormente, y lo ponemos directamente en el Aliases de URL (IP):

Gracias a esto, podremos incorporar todas las direcciones IPv4 y IPv6 automáticamente y sin necesidad de ir una por una, para facilitar enormemente la configuración. Tal y como podéis ver, en la sección de Aliases / URLs nos aparecerán ya cargadas estas direcciones IP públicas d eorigen que usa UptimeRobot:

Ahora tendríamos que editar la regla de SSH, y definir:

• Address Family: IPv4 y IPv6, para cubrir también las direcciones IPv6.
• Source – Single host or alias: IP_UptimeRobot

Y pinchamos en «Save» y en aplicar cambios. Ahora mismo solamente tendría acceso al servidor SSH las direcciones IP de origen definidas en el aliases, que se corresponden con las direcciones IP de UptimeRobot, para no dejar el servidor SSH expuesto a todo el mundo.

Gracias a UptimeRobot y una buena configuración en pfSense para evitar falsos positivos, podrás comprobar que la conexión a Internet funciona correctamente y no tienes una incidencia. Por supuesto, lo más recomendable es poner el dominio DNS dinámico en el propio UptimeRobot, porque si tienes una IP pública dinámica cambiará cada cierto tiempo, y podrás obtener falsos positivos de pérdida de conectividad.

El artículo Monitoriza que la conexión a Internet de pfSense funciona bien se publicó en RedesZone.

Ubiquiti es una de las empresas más importantes de dispositivos de redes inalámbricas. Cuenta con un gran abanico de routers, dispositivos Wi-Fi, cámaras de vigilancia IP… En este artículo nos hacemos eco de una noticia negativa que rodea a esta marca. Se trata de la supuesta ocultación de una importante brecha de seguridad. Esta filtración de datos ha afectado a la información alojada en la nube.

Acusan a Ubiquiti de ocultar una filtración

Hay que indicar que Ubiquiti es una organización que siempre ha sido considerada por contar con dispositivos seguros. Siempre que contemos con equipos conectados a la red hay que tener en cuenta la importancia de mantenerlos correctamente actualizados, seguros y con todo lo necesario para evitar problemas.

Ahora la compañía ha sido acusada de ocultar una importante brecha de seguridad. La propia empresa ha emitido un comunicado donde no niegan que eso haya ocurrido. Esta filtración tuvo lugar en enero. La compañía indica que hubo un acceso no autorizado a algunos de sus sistemas de tecnología que tienen alojados en un proveedor externo en la nube.

Más concretamente, desde Ubiquiti indicaron que no podían descartar que hubieran obtenido información relacionada con los clientes, direcciones de correo, datos personales, contraseñas… Eso sí, aseguran que no hay pruebas de que esto haya ocurrido.

Una recomendación importante dada desde Ubiquiti es cambiar las contraseñas y activar la autenticación en dos pasos. Esto es algo que siempre hemos recomendado llevar a cabo de manera periódica. Es importante cambiar las claves de acceso para evitar ser víctimas de posibles filtraciones de seguridad y fallos que pueda haber. Además, la autenticación en dos pasos es una barrera extra de seguridad.

Fallo de seguridad más importante de lo previsto

El pasado 11 de enero desde Ubiquiti enviaron un e-mail a los usuarios indicando que había habido una infracción de seguridad que calificaron como menor. Esto ocurrió, según indicaron, en un proveedor de nube externo. Sin embargo, en el sitio web de ciberseguridad KrebsOnSecurity indicaron que esa infracción de seguridad fue mucho más grave de lo que se pensaba.

Hay que indicar que desde Ubiquiti se ha impulsado el uso de la nube por parte de los usuarios. Esto hace que sean muchos los clientes que utilizan esta opción, la cual ahora ha sufrido una brecha de seguridad. Según indican desde KrebsOnSecurity, los piratas informáticos habrían tenido acceso al servicio en la nube de Amazon.

Todo esto ha podido hacer que los ciberdelincuentes tuvieran acceso a las cookies de inicio de sesión y datos de control. Un problema que podría afectar seriamente a la seguridad y privacidad de los usuarios que utilizan algún dispositivo vulnerable de esta marca.

Desde RedesZone, como decimos siempre, recomendamos actualizar lo antes posible los dispositivos. No solo hay que hacerlo cuando surge alguna vulnerabilidad de este tipo, sino siempre que haya una nueva versión disponible. De esta forma mantendremos la seguridad en las mejores condiciones y evitaremos problemas que puedan afectar también al rendimiento. Esto es algo que debemos aplicar a cualquier dispositivo y sistema operativo que utilicemos.

El artículo Ubiquiti ha ocultado una brecha de seguridad se publicó en RedesZone.

Siempre que utilizamos un equipo informático donde almacenamos información, utilizamos algún servicio en la red o incluso tenemos una página web, es importante crear copias para no tener problemas. Son muchos los ataques que podemos sufrir, los errores que pueden aparecer y la pérdida de datos es un problema importante. En este artículo vamos a explicar cómo podemos crear una copia de seguridad de WordPress tanto de forma manual como utilizando plugins.

Por qué es importante hacer una copia de seguridad de WordPress

WordPress es hoy en día el gestor de contenidos web más importante y que cuenta con más usuarios a nivel mundial. Esto hace que tenga una gran cantidad de complementos que podemos instalar y conseguir así mejoras en el rendimiento, seguridad y tener diferentes utilidades para potenciar la usabilidad del sitio web.

Sin embargo hay que tener en cuenta que en cualquier sitio web que tengamos vamos a alojar mucho contenido. Aquí podemos mencionar los archivos como imágenes, vídeos, complementos… También todo el texto de los archivos, bases de datos, etc. Todo esto podría verse comprometido en caso de algún problema.

Nuestro sitio web WordPress, como podría ocurrir con un disco duro que tuviéramos, puede sufrir problemas y todo el contenido verse comprometido. De ahí la importancia de crear copias de seguridad de manera periódica. Una manera de tener todo a salvo y evitar así fallos.

Las copias de seguridad normalmente podemos hacerlas de forma manual o también configurarlas para que se realicen de forma periódica. Esto último es interesante, ya que podemos olvidarnos de crearlas nosotros mismos y reducir así posibles problemas. Existen programas para configurar las copias en sistemas operativos y algo similar podemos conseguir con WordPress.

Cómo crear copias de seguridad de WordPress

Vamos a ver algunas opciones que podemos tener en cuenta para crear copias de seguridad en nuestro sitio web WordPress. Una serie de alternativas interesantes para que no perdamos archivos.

Crear copias de seguridad en WordPress desde cPanel

Podemos decir que cPanel es el panel de control más utilizado en hosting web, especialmente en aquellos que utilizan WordPress. Por tanto vamos a explicar cómo crear desde allí una copia de seguridad de nuestro sitio web. Es un proceso muy sencillo y que además viene muy bien para evitar problemas en nuestra página.

Lo primero que tenemos que hacer es iniciar sesión en nuestro hosting web, vamos a cPanel y allí nos encontraremos con todas las opciones que podemos utilizar. Veremos, en la sección Archivos, una llamada Copias de seguridad.

Cuando estemos dentro nos encontraremos con diferentes opciones. Veremos un botón para descargar una copia de seguridad completa, pero también diferentes alternativas para realizar copias de seguridad parciales. Dentro de estas últimas podremos hacer una copia del directorio principal o de la base de datos, por ejemplo.

También podemos restaurar una copia de seguridad que hemos realizado previamente. Esto es muy útil en caso de que surja algún problema y queremos que todo vuelva a una situación anterior. Simplemente tendríamos que cargar el archivo de la copia de seguridad que ya creamos anteriormente.

Utilizar una herramienta propia del hosting web

Una alternativa a cPanel es utilizar una herramienta propia del hosting web. Esto dependerá de cuál tengamos contratado, aunque en general el funcionamiento es similar. En cada caso pueden tener un nombre propio. En nuestro caso, por ejemplo, la prueba que hemos realizado es utilizando SuperBackup.

Para acceder tendremos que entrar nuevamente con nuestro usuario, cPanel y allí ir a aplicaciones de la empresa del hosting web que estamos utilizando. En nuestro caso, como vemos en la imagen, es SuperBackup.

Una vez estemos dentro nos aparecerán las opciones típicas relacionadas con las copias de seguridad. El aspecto dependerá de la herramienta que utilicemos, pero suele ser similar. Podremos descargar una copia de seguridad completa, parcial, restaurar archivos que previamente hemos descargado, etc.

Descargar una copia de seguridad manualmente por FTP

También podemos tener en cuenta la opción de descargar una copia de seguridad manualmente a través de FTP. No es la mejor opción, ya que lo ideal es utilizar cPanel, como hemos visto anteriormente, pero es una alternativa más disponible.

En este caso tendríamos que usar un servicio FTP como puede ser WinsCP o FileZilla. Tenemos que iniciar sesión desde nuestro sistema y posteriormente vamos al directorio de nuestro sitio web. Tenemos que darle a descargar y lo guardamos en nuestro equipo a nivel local.

De esta forma tendremos una copia de nuestro sitio en WordPress y podremos guardarla en cualquier lugar. Eso sí, siempre recomendamos que se encuentre en un dispositivo seguro, protegido y que en ningún momento pueda suponer un peligro.

Crear copias de seguridad de WordPress con plugins

WordPress cuenta con una gran cantidad de complementos que podemos instalar. Son muy útiles para nuestro día a día, para aportar también un valor extra a nuestra página y favorecer así el buen funcionamiento y lo que ofrecemos a los usuarios. Podemos instalar plugins para mejorar la seguridad, conseguir una mejora en velocidad o añadir diferentes funciones.

También podemos contar con plugins para WordPress con los que podremos crear copias de seguridad. Hay diferentes opciones y vamos a nombrar algunos de los principales. Representan una alternativa a crear una copia de seguridad desde cPanel o de forma manual a través de FTP. Estos son algunos de los más interesantes:

• UpdraftPlus: es sin duda uno de los complementos de WordPress más populares que podemos encontrar. Tiene más de tres millones de descargas y destaca por su sencillez de uso. Nos permite crear copias de seguridad de una manera rápida y fácil, así como restaurar archivos ya creados. Nos permite crear copias de seguridad en la nube en Dropbox, Google Drive o Amazon S3, entre otros muchos servicios.
• BlogVault: aunque no tiene tantas descargas como la anterior, es también una solución muy interesante para poder crear copias de seguridad en WordPress. Destaca por su gran velocidad y fiabilidad. Permite tener las copias disponibles en todo momento para evitar así que puedan surgir problemas.
• BackWPup: una tercera opción que queremos mostrar para crear copias de seguridad de WordPress es BAckWPup. Cuenta con más de 700.000 instalaciones. Permite también utilizar diferentes servicios en la nube para alojar el contenido descargado. Funciona de forma fluida y perite tener las copias de seguridad en cualquier momento.

En definitiva, estas son las opciones que tenemos para crear copias de seguridad en nuestro WordPress. Una serie de alternativas que podemos realizar para evitar problemas y la pérdida de archivos importantes para nuestro sitio web.

El artículo Cómo crear copias de seguridad en WordPress con plugin y manualmente se publicó en RedesZone.

Eliminar las aplicaciones preinstaladas en Android, conocidas como bloatware, siempre ha sido (y desgraciadamente, seguirá siendo) un problema que de momento ningún fabricante está dispuesto a erradicar completamente de sus terminales. Afortunadamente, hace años que las operadoras abandonaron esa odiosa práctica y en la actualidad tan solo nos tenemos que pelear con el software de los fabricantes.

Pero, no solo nos encontramos con ese problema en Android, sino que también está presente en iOS, ya que Apple también se empeña en seguir incluyendo aplicaciones que prácticamente nadie utiliza como la aplicación Mail para el correo, Notas de voz, Brújula, Bolsa… Eso si, la solución para eliminar (realmente no se elimina) las aplicaciones es más sencilla que en Android.

Cuando hablamos de bloatware o software preinstalado al que muchos usuarios no le dan ninguna utilidad, no solo debemos hablar de las aplicaciones que instalan los fabricantes, sino que además, también tenemos que hablar de todas y cada una de las aplicaciones  que Google mete con calzador en todos y cada uno de los smartphones que llegan al mercado con Android.

Eliminar aplicaciones preinstaladas en Android con ADB

Desde hace varios años, la mayoría de los fabricantes impiden a los usuarios que estos puedan acceder al sistema para hacer cambios instalar ROMs personalizadas… Afortunadamente, el no tener permisos root a los terminales no es ningún problema, ya que tenemos otros métodos que nos permiten realizar la misma función: desinstalar aplicaciones preinstaladas en nuestro terminal.

Tan solo necesitamos la aplicación para desarrolladores de Google ADB, una aplicación que, a través de sencillos comandos de terminal, nos permite eliminar todas y cada una de las aplicaciones que no queremos ver en nuestro dispositivo. Para eliminar aplicaciones preinstaladas sin dejar rastro en nuestro dispositivo Android, debemos realizar los 4 pasos que os detallo a continuación:

Activar las opciones de desarrollador

Lo primero que debemos hacer es activar las opciones de desarrollador, ya que sin estas activadas, no vamos a poder realizar el paso siguiente en el que tenemos que activar el modo depuración USB.

Para activar las opciones de desarrollador en Android, debemos acceder al menú donde se muestra el número de compilación de nuestra versión de Android. Esta información se encuentra generalmente dentro del menú Sistema o Información del teléfono.

Si no encuentras esta opción en los menús, puedes encontrarla a través del cuadro de búsqueda que se encuentra en la parte superior del menú de Ajustes, con el término «compilación» sin las comillas.

Activar el modo depuración USB

El segundo paso que debemos hacer es activar el modo Depuración USB, un modo que nos permite obtener acceso vía USB al terminal. Sin este paso, la aplicación que vamos a utilizar, nunca podrá comunicarse con el dispositivo.

Para activar el modo Depuración USB, accedemos a las Opciones de desarrolladores disponible dentro del menú Sistema, buscamos la sección Depuración y activamos el interruptor Depuración USB.

Descargar la aplicación ADB

En el siguiente paso, tenemos que descargar la aplicación ADB desde este enlace y pulsamos en Cómo descargas las herramientas de la plataforma del SDK para Windows / Mac o Linux dependiendo del sistema operativo que utilicemos. Una vez descargado, descomprimimos el archivo (no hay que instalar nada).

Eliminar las aplicaciones

Lo primero que debemos hacer, después de haber realizado todos los pasos detallados más arriba, es conectar nuestro dispositivos al ordenador. En ese momento, se mostrará un mensaje en pantalla que nos invita a Permitir depuración USB con una clave RSA. Este proceso sirve para garantizar que tenemos acceso al dispositivo, que el dispositivo es realmente nuestro.

A continuación, abrimos la ventana de comandos de nuestro sistema operativo y accedemos a la ruta donde hemos descargado ADB para comenzar a realizar el proceso que nos permitirá eliminar aplicaciones de raíz de nuestro dispositivo sin dejar ningún rastro.

Seguidamente, escribimos en la línea de comandos «adb shell pm list packages» sin las comillas para que se muestre un listado con todas las aplicaciones instaladas en nuestro equipo.

Una vez hemos localizado el nombre de la aplicación que queremos eliminar escribimos «adb shell pm uninstall -k –user  0 nombre-del-paquete» sin las comillas. Tenemos que sustituir nombre-del-paquete por el nombre de la aplicación que queremos desinstalar, que en este caso es flipboard.boxer.app.

Eliminar aplicaciones preinstaladas en Android con AppControl

Una opción más sencilla, que solo está disponible para Windows, es utilizar la aplicación ADB App Control, una aplicación que reemplaza la interfaz de comandos por una de ventanas, donde podemos seleccionar rápidamente las aplicaciones que queremos eliminar de nuestro dispositivo.

Para utilizar esta aplicación, previamente debemos Activar las opciones de desarrollador y Activar el modo depuración USB, tal y como os hemos explicado en el apartado anterior.

Activar opciones desarrollador

Para activar las opciones de desarrollador en Android, debemos acceder al menú donde se muestra el número de compilación (dentro del menú Sistema / Información del teléfono) de nuestra versión de Android y pulsar varias veces hasta que se un mensaje nos confirme que hemos activado correctamente las opciones para desarrolladores.

Para activar el modo Depuración USB, accedemos a las Opciones de desarrolladores disponible dentro del menú Sistema, buscamos la sección Depuración y activamos el interruptor Depuración USB.

Una vez hemos activado estas opciones, descargamos la aplicación ADB App Control, una aplicación que de momento solo está disponible para Windows, por lo que no utilizas este sistema operativo, tendrás que utilizar el método de línea de comandos explicado en el apartado anterior.

Una vez hemos descargado la aplicación, conectados nuestro dispositivo Android al PC y la ejecutamos. La aplicación ADB App Control es un ejecutable e incluye todos los archivos necesarios para funcionar, por lo que esta no se instalará en nuestro equipo.

Al iniciarla por primera vez, descargará una serie de archivos e iconos de las aplicaciones para mostrar la información de una forma mucho más gráfica y detallada.

La aplicación mostrará los menús en inglés, idioma que podemos cambiar desde la parte superior de la aplicación, pulsamos sobre las letras ES para que se muestren todos los idiomas disponibles, entre los que se incluye el español, como podemos ver en las siguientes imágenes.

Para eliminar las aplicaciones de nuestro dispositivo, tan solo tenemos que desplazarnos por la ventana donde se muestran todas las aplicaciones de nuestro dispositivo, seleccionarlas y dirigirnos a la columna de la derecha.

En esta columna, seleccionamos Desinstalar en el cuadro de opciones, desmarcamos la opción Mantener datos y caché (para eliminar todos los datos de la aplicación) y pulsamos en Desinstalar.

Se mostrará un mensaje en el que nos informa que si eliminamos alguna aplicación del sistema, nos podemos ver obligados a restaurar el dispositivo de cero, lo que implica perder todos y cada uno de los datos que tengamos almacenados. Pulsamos en Si.

Si queremos recuperar esas aplicaciones después de haber sido eliminadas, la aplicación nos invita a hacer una copia de seguridad. Es recomendable pero no obligatorio.

Una vez haya realizado la eliminación por completo de las aplicaciones, se mostrará un mensaje de configuración en la aplicación.

Desactivar aplicaciones en Android sin desinstalarlas

Este es el proceso más sencillo a la hora de eliminar aplicaciones de nuestro sistema, pero deja rastros, por lo que podemos encontrarnos con accesos directos a las aplicaciones que desinstalemos de nuestro equipo mientras hacemos uso de nuestro terminal, accesos directos que nos inviten a instalar nuevamente la aplicación.

Aunque es la opción más sencilla, deja un rastro que podemos encontrar fácilmente, de ahí que sea la primera opción disponible por su sencillez pero la menos recomendable si queremos olvidarnos por completo de las aplicaciones que el fabricante instala en todos sus dispositivos.

Para desactivar aplicaciones en Android, debemos acceder a los ajustes de nuestro dispositivos, pulsar en Aplicaciones y seleccionar la aplicación que queremos desactivar. Dentro de las opciones de la aplicación se mostrará la opción Desinstalar / Inhabilitar.

Si la opción Inhabilitar se encuentra en gris, esta no está disponible, por lo que la única opción para poder desactivarla es haciendo uso de la aplicación ADB ya sea a través de línea de comandos (disponible en Windows, macOS y Linux) o con la aplicación ADB AppControl, una aplicación que solo se encuentra disponible para Windows.

A tener en cuenta

Todos los métodos que os he mostrado en este artículo, nos permiten eliminar total o parcialmente aplicaciones de nuestro dispositivo, aplicaciones que volverán a estar disponibles si restauramos nuestro dispositivo.

Esto es debido a que cuando se realiza el proceso, el sistema restaura la ROM que tiene almacenada con la versión más actualizada del sistema operativo a no ser que restauremos una versión anterior del sistema operativo procedente de la ROM del propio fabricante.

La única forma de poder eliminar aplicaciones preinstaladas para siempre en nuestro dispositivo móvil es como antiguamente, cambiando la ROM del dispositivo, algo que, debido a las limitaciones de los fabricantes, no podemos hacer de ninguna de las maneras, al menos en los dispositivos más recientes.

Al utilizar una ROM diferente a la que nos ofrece el fabricante, esta únicamente incluye las aplicaciones que su creador ha incluido. Si tienes un dispositivo con unos cuantos años y quieres darle una segunda oportunidad, eliminar aplicaciones preinstaladas no es la solución que estás buscando, ya que lo que necesitas es instalar una ROM que se adapte con anillo al dedo a su hardware.

Enlarge (credit: Getty Images)

Network devices maker Ubiquiti has been covering up the severity of a data breach that puts customers’ hardware at risk of unauthorized access, KrebsOnSecurity has reported, citing an unnamed whistleblower inside the company.

In January, the maker of routers, Internet-connected cameras, and other networked devices, disclosed what it said was “unauthorized access to certain of our information technology systems hosted by a third-party cloud provider.” The notice said that, while there was no evidence the intruders accessed user data, the company couldn’t rule out the possibility that they obtained users’ names, email addresses, cryptographically hashed passwords, addresses, and phone numbers. Ubiquiti recommended users change their passwords and enable two-factor authentication.

Device passwords stored in the cloud

Tuesday’s report from KrebsOnSecurity cited a security professional at Ubiquiti who helped the company respond to the two-month breach beginning in December 2020. The individual said the breach was much worse than Ubiquiti let on and that executives were minimizing the severity to protect the company’s stock price.

Read 7 remaining paragraphs | Comments

Enlarge (credit: Getty Images)

The FBI and the Cybersecurity and Infrastructure Security Agency said that advanced hackers are likely exploiting critical vulnerabilities in the Fortinet FortiOS VPN in an attempt to plant a beachhead to breach medium and large-sized businesses in later attacks.

“APT actors may use these vulnerabilities or other common exploitation techniques to gain initial access to multiple government, commercial, and technology services,” the agencies said Friday in a joint advisory. “Gaining initial access pre-positions the APT actors to conduct future attacks.” APT is short for advanced persistent threat, a term used to describe well-organized and well-funded hacking groups, many backed by nation states.

Breaching the mote

Fortinet FortiOS SSL VPNs are used mainly in border firewalls, which cordon off sensitive internal networks from the public Internet. Two of the three already-patched vulnerabilities listed in the advisory—CVE-2018-13379 and CVE-2020-12812—are particularly severe because they make it possible for unauthenticated hackers to steal credentials and connect to VPNs that have yet to be updated.

Read 6 remaining paragraphs | Comments

Enlarge (credit: BeeBright / Getty Images / iStockphoto)

A hacker compromised the server used to distribute the PHP programming language and added a backdoor to source code that would have made websites vulnerable to complete takeover, members of the open source project said.

Two updates pushed to the PHP Git server over the weekend added a line that, if run by a PHP-powered website, would have allowed visitors with no authorization to execute code of their choice. The malicious commits here and here gave the code the code-injection capability to visitors who had the word “zerodium” in an HTTP header.

PHP.net hacked, code backdoored

The commits were made to the php-src repo under the account names of two well-known PHP developers, Rasmus Lerdorf and Nikita Popov. “We don't yet know how exactly this happened, but everything points toward a compromise of the git.php.net server (rather than a compromise of an individual git account),” Popov wrote in a notice published on Sunday night.

Read 12 remaining paragraphs | Comments

Figura 1: Cómo construir una DashCam con una Raspberry Pi Zero W

En el proyecto de Maker que os traigo hoy, los elementos que necesitaremos para llevar a cabo la construcción final son los siguientes:

• Raspberry Pi Zero W.
• Tarjeta micro SD de 32 GB o más.
• Módulo de cámara para Raspberry Pi.
• Lente super wide para PiCamera.
• Batería portátil o cargador USB 3.0 para coche.
• Carcasa original de Raspberry Pi Zero adaptada para cámara o impresa en 3D.

En cuanto al mecanismo de sujeción podremos ser todo lo originales que queramos ya que cada vehículo es distinto y deberemos buscar un ángulo optimo en el que se vea el morro de nuestro coche y la vía por donde circulemos. Uno de los métodos mas sencillos para fijar la cámara en nuestro cristal es perforando la carcasa y fijando un par de ventosas en ella.

Figura 3: Mecanismo de sujeción con ventosas.

Al igual que en la mayoría de los proyectos con Raspberry Pi que os hemos traído al blog durante los últimos meses, como en muchos de los que tenéis en el libro de "Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun",  el sistema operativo escogido ha sido Raspbian, al trabajar en esta ocasión con una Raspberry Pi Zero W no utilizaremos la versión de escritorio de Raspbian para que su funcionamiento sea más fluido y porque una vez que la placa esté configurada no necesitaremos tenerla conectada a una pantalla.

Figura 4: Libros para Makers en 0xWord que deberías tener:

Arduino para Hackes: PoCs & Hacks Just For Fun,

Hacking con Drones: Love is in the air &

Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun.

Figura 6: Configuración de Pi Camera.

Después tendremos que reiniciar la placa y asegurarnos de que se ha guardado la configuración aplicada. Una vez configurada nuestra cámara el siguiente paso es actualizar la Raspberry Pi Zero W con el comando:

sudo apt update && sudo apt full-upgrade -y

Figura 7: Dashcam-diy-35

Antes de poder utilizar el script deberemos instalar el módulo de psutil que nos permitirá controlar el uso de la memoria y así detectar cuándo se está llenando la tarjeta. Para poder instalarlo necesitamos pip, un instalador de paquetes para Python por lo que hay que hacer:

Esto quiere decir que en caso de justificar los daños de tu vehículo a la compañía de seguros la grabación podría serte útil, pero en caso de que el accidente conllevase un proceso judicial las imágenes podrían no considerarse válidas para demostrar tu inocencia. Por el momento en nuestro país no ha habido ningún caso en el que las grabaciones de una cámara de salpicadero hayan sido el elemento resolutivo en un juicio, por lo tanto esto deja un vacío legal a la espera de que se dictamine una ley que regule el uso de este tipo de dispositivos.

Saludos,

Autor: Sergio Sancho, Security Researcher en Ideas Locas.

Contactar con Sergio Sancho en MyPublicInbox

Sigue Un informático en el lado del mal RSS 0xWord

Desde hace día y medio muchos estamos sufriendo el cierre inoportuno de muchas de las apps que intentamos abrir en nuestro móvil. Y es que incluso en plataformas como Chromecast con Google TV, está ocurriendo lo mismo ¿Pero qué sucede? La respuesta es simple os vamos a dar la solución para ello.

Es decir, que hablamos de que si lanzas Tapatalk, se cierra al abrirla, para que si intentas volver a abrirla, se cierra de nuevo. Pasa con muchas apps y cada vez son más usuarios los que se encuentran con este grave problema que casi deja nuestro sistema inservible. Por suerte la solución es bastante sencilla.

Cómo solucionar el cierre inoportuno de las apps en tu móvil o tablet

Primero, como pasa con el 80% de usuarios de Android, seguramente que se te actualizan de forma automática las apps de la Play Store. Y es que el problema viene de que hay una que en una actualización genera este tipo de problemas el sistema: Android System Webview.

En una nueva versión se generan estos problemas de cierres inoportunos que nos dejan con las manos atadas. Es verdad que Google ha lanzado ya una actualización que lo arregla, pero por si acaso os aconsejamos desinstalar la actualización de esta app.

Android System Webview es una app dedicada a ofrecer a cualquier app un navegador interno y que muchos conoceréis de Tapatalk y otra serie que nos permiten abrir enlaces URL dentro de las mismas.

Primer paso a dar: desactiva las actualizaciones automáticas de Play Store

Para que no se actualice automáticamente hasta que Google se pronuncie ante este problema dado, vamos a desactivar las actualizaciones automáticas de la Play Store:

• Nos vamos a Ajustes desde el menú lateral de la Play Store
• La tercera opción «Actualizar aplicaciones automáticamente», la pulsamos
• Seleccionamos: «No actualizar aplicaciones automáticamente»

Segundo paso: WebView del sistema Android

Vamos a dar los pasos para arreglar este grave problema:

• Abrimos la Google Play Store
• Buscamos WebView del sistema Android
• Desinstalamos las actualizaciones
• Solucionado el problema de cierre inoportuno de apps

Cómo desinstalar WebView del sistema Android en Chromecast con Google TV

Para los que os encontréis que alguna app en Chromecast con Google TV no funciona, como es el caso del servicio de streaming de Movistar+, seguiremos la misma solución, aunque los pasos a dar son distintos en Google TV:

• Nos vamos a Ajustes de Google TV en Chromecast

• Nos vamos a Aplicaciones

• Buscamos al final de la lista «Mostrar aplicaciones del sistema»

• Ahora buscamos «Android System Webview»

• La seleccionamos y desinstalamos las actualizaciones en el mismo botón:

Ahora ya podréis lanzar las apps que se cerraban en Google TV sin ningún tipo de problema y seguir visualizando los servicios de streaming que estaban colapsados como el de Movistar+.

Y aunque es verdad que se ha actualizado, por si las moscas, os recomendamos esperar unos días hasta volver a activar las actualizaciones automáticas y actualizar esta app. No pasa nada porque no la tengáis actualizada hasta que pase un poco esta tormenta dada.

Los autónomos y empresas se benefician de las distintas herramientas disponibles para poder trabajar tanto en la oficina como fuera de ella. Con el tiempo más del 70% de pymes y empresas ya disponen de aplicaciones para fichar en el trabajo, ya que no es necesario hacer un desembolso para tener una instalada.

Esto sirve para tener un control horario de cada uno de los trabajadores, mientras los autónomos podrán llevar un cómputo de cada una de las jornadas realizadas. En Android se dispone de una gran cantidad de ellas para poder incluso sacar un informe general una vez finalice el mes, entre otras características.

Fichar en el trabajo

Es probablemente una de las aplicaciones más óptimas a la hora de fichar en el trabajo, todo sin hacer ningún tipo de inversión en un una pantalla de control. El Real Decreto Ley marca que sin excepción toda empresa y autónomos deben realizar un control de horas de sus trabajadores.

Con Fichar en el trabajo se consigue dos herramientas, el control de acceso de todas las personas incluidas mediante web y una app para cualquier dispositivo Android, también existe una versión para IOS. La interfaz se muestra bastante sencilla para usarla en cualquier empresa al adaptarse perfectamente.

La aplicación tiene dos modalidades, la primera de ellas es la de permitir al trabajador acceder a sus datos personales, realizar las entradas y salidas del trabajo desde su propio teléfono. La segunda modalidad sirve para que los clientes que lo prefieran permitan a los trabajadores fichar en el lugar de trabajo, en cuyo caso los trabajadores desde la app solo tienen acceso a sus datos y no podrán registrar ni entrada ni salida.

Fichar en el trabajo (To be announced, Google Play) →

Registro de Trabajo

Es una poderosa aplicación con la que ir controlando la hora de entrada y salida del trabajo, con ella se puede fichar con tal de llevar una regulación de toda la plantilla. Registro de trabajo es una herramienta rápida, sencilla y fácil, la interfaz es clara y limpia.

Suma las horas de cada uno de los trabajadores, hace un total y lo desglosa de manera semanal y todo va en conjunto de las mínimas a realizar que rondan las 40 horas semanales. Añade deducción automática de los descansos y ajustes de períodos de pago mes por mes.

Aparte, Registro de Trabajo dispone de varios extras interesantes, entre ellos llevar las ventas y las propinas de haberlas en el trabajo que se realice. Lo bueno es poder consultar todas las horas, ya sean semanales, mensuales o las anuales, ya que suele guardarlo en la base de datos.

Registro de Trabajo (Free, Google Play) →

Horas Laborales 4b

Es una aplicación bastante interesante para ir controlando los tiempos de trabajo, ya que puedes ir añadiendo las trabajadas, los descansos y tener un global cuando se quiera. La interfaz que muestra es realmente intuitiva, lo hace con lo básico que al final es lo que funciona.

Muestra un gráfico diario, semanal, mensual y de los meses que lleves usándola, por lo tanto puedes tener todo el control en la app. Es perfecta para llevar el trabajo de una o varias personas, no tiene fin comercial, pero si hace un cómputo general para tener todo a mano.

Entre sus características destaca por incluir horas regulares, horas extra, pausas horarias, bonificación, gastos, un icono y notas para apuntar todo lo que se quiera. La aplicación permite la descarga de todas las horas en CSV, PDF y en documento de texto. Contiene publicidad en la versión gratuita.

Horas Laborales 4b (Free, Google Play) →

Control Horario

Con esta app se puede controlar el horario de entrada y salida de la jornada laboral, perfecta para cualquier autónomo, pero también para los empresarios. En la versión gratuita podrás controlar todo desde el teléfono móvil, tablet y ordenador, ya que está disponible también en Windows.

Una vez inicies la jornada arranca con el inicio, se irá contando el tiempo establecido de la jornada, pero tiene la posibilidad de pausarlo en los descansos, ya sea para el desayuno o el almuerzo. Es bastante usada en empresas para llevar el control de cada uno de sus empleados, fichando para entrar y salir.

Control Horario deja fichar con PIN, para ello se debe ajustar para poder tener entrada y salida, guardando así la privacidad del nombre, apellidos y otros datos añadidos por la empresa. Muestra las horas diarias, semanales y mensuales, haciendo un global para ver el rendimiento horario.

Control horario (Free, Google Play) →

Control de horas

Al igual que sucede con las otras aplicaciones es bastante útil de querer controlar la jornada diaria, semanal y mensual de cualquier tipo de trabajo. Control de horas hace conteo de todo lo trabajado, desglosando las horas trabajadas de las horas de descanso, ya que se ficha en la entrada, descansos y salidas.

Lo bueno es que podrás editar las horas trabajadas en cualquier día, ver los resuménes mes por mes, anual y otros datos de interés para uno o varios usuarios. Se incluye a un trabajadores o varios, dependerá de si se usa como particular (Autónomo) o bien como empresa, en el último se incorpora varios perfiles.

Control de horas deja exportar los datos por semanas, quincenas, meses o por años, todo ello estará detallado en el informe que se descargue en PDF y otros formatos. La aplicación pesa en torno a los 5 megas, son 100.000 las descargas que tiene y fue actualizada en Octubre del año pasado.

Control de horas (Free, Google Play) →

Control horario (Bixpe)

Bixpe es conocida por ser una de las apps para controlar el trabajo de personas individualmente, pero existe la opción de hacerlo sobre un grupo de trabajo. Es una excelente herramienta para fichar en la relación laboral, ya que está disponible para Android, iOS y Windows.

La aplicación deja añadir a los distintos perfiles, con nombre, apellidos, puesto otorgado y otros dato e información para tener el máximo control. Deja fichar por horas, añade pausas y descansos de la jornada laboral, geolocalización del trabajador en tiempo real, informes de las horas y datos por días, semanas, meses y años.

Permite fichar con PIN, código que se le debe asignar a cada uno de los empleados, es necesario tenerlo para la entrada y salida, ya que es el acceso de cada uno de ellos. El director puede consultar las horas trabadas y otra información mediante la aplicación, pero también vía web al tener acceso por los datos (email y contraseña).

Control horario (Free, Google Play) →

Factorial HR

Es una aplicación para poder fichar en el trabajo de una manera rápida, pero esta va un poco más allá al tener muchas opciones extra sobre las demás. Factorial HR tiene un total de tres modalidades disponibles y que son las siguientes: Essential, Business y Enterprise.

Permite fichar a todo el personal de la empresa, pero a ello le suma las ausencias (por vacaciones, descanso o baja), organigrama de trabajo y gestor de documentos para compartir. La exportación de las horas trabajadas se hacen en PDF, un documento con todos los detalles para el director y encargado.

Lo mejor es poder llegar a usar las distintas versiones, pero existe una versión de dos semanas de uso, aunque la versión gratuita existe para teléfonos Android. Podrá apuntarse la hora de llegada, ya que con eso vas a ir viendo todos los detalles de los más puntuales. Tiene unas 10.000 descargas y es una app interesante comparada con los demás.

Factorial HR (Free, Google Play) →

Reloj Laboral – Control de horas de trabajo

La aplicación de Duocom llega a ser una de las mejores aplicaciones a la hora de poder controlar todo sobre el entorno de la entrada y salida de trabajadores. Permite fichar cuando se entra y se sale de la jornada con apenas un clic, añade un histórico para saber las horas trabajadas por cada empleado.

Integra un mapa en tiempo real para saber la posición de cada uno de los empleados, todo lo hace por geolocalización y pasa a ser vital si se necesita buscar a alguien en ese preciso momento. Añade un calendario para ir implementando la jornada, tomar notas y dar vacaciones a cada uno de ellos.

Es multiplataforma, funciona perfectamente en teléfonos móviles y PC, se conecta entre ambas, puede fichar con la app instalada en el teléfono de cada uno de los trabajadores. Se pueden añadir un total de 20 empleados y lo mejor es poder asignarle a cada uno las tareas dentro del entorno de la herramienta.

Reloj Laboral - control de horas de trabajo (Free, Google Play) →

365 Crono – Fichar y Control Horario

365 Crono es la herramienta perfecta para empresas y autónomos al llevar un control horario de la entrada y salida de cada jornada laboral. Se ficha en la entrada y salida, permite pausas en los trabajos, genera informes en PDF, accede a todo los horarios de los trabajadores a poco más de dos clics.

El funcionamiento de la app da para seleccionar los días e introducir el horario de la jornada laboral, ya sean horas directas con o sin descanso. Introduce también los días festivos o de vacaciones para ir dejando los campos para que pueda tener el descanso cada uno de los empleados.

La aplicación recuerda la hora de fichar, avisándote siempre con tiempo, por lo que no se te olvidará la entrada y salida nunca, un aviso sonante. 365 Crono permite el acceso web para saber todo sobre las entradas y salidas, pero se necesita el contacto con el creador de la aplicación.