Fernando Garcia

pfSense es el sistema operativo orientado a firewall (cortafuegos) más utilizado a nivel profesional, tanto en el ámbito doméstico con usuarios avanzados, como en pequeñas y medianas empresas para segmentar su red correctamente y disponer de cientos de servicios disponibles. pfSense está basado en el popular sistema operativo FreeBSD, por tanto, tendremos la garantía de que es un sistema operativo estable, robusto, y, sobre todo, muy seguro. A diferencia de otros firewalls, pfSense dispone de una interfaz gráfica realmente completa y muy intuitiva, ya que tendremos una pequeña explicación de cada parámetro a configurar. Hoy en RedesZone os vamos a explicar todo sobre pfSense, y cómo instalarlo en cualquier ordenador con dos tarjetas de red (una para WAN y otra para LAN).

pfSense es un sistema operativo que consume muy pocos recursos, sin embargo, dependiendo del uso, de los usuarios que vayan a transferir datos, y de los servicios que instalemos, necesitaremos disponer de más o menos potencia de CPU y también tamaño de memoria RAM. Este sistema operativo se puede instalar en prácticamente cualquier ordenador actual, pero lógicamente, el rendimiento que obtendremos dependerá del hardware, y lo mismo ocurre sobre la configuración que hayamos realizado al propio firewall. Lo más crítico para pfSense es reconocer las tarjetas de red Ethernet, las más recomendables para no tener problemas son las Intel, pero hay otros muchos fabricantes que también son compatibles, pero antes sería recomendable leer en los foros oficiales de pfSense.

Principales características

El objetivo principal del sistema operativo pfSense es la de proporcionar seguridad a entornos domésticos y empresariales, este equipo actúa de firewall, pero también podemos usarlo como router principal, ya que disponemos de cientos de opciones de configuración avanzadas. Gracias a la posibilidad de instalar software adicional, podremos disponer de un potente IDS/IPS (Sistema de Detección y Prevención de Intrusiones) como Snort o Suricata. Para usar pfSense es obligatorio disponer de dos tarjetas de red, una para la WAN de Internet y otra para la LAN, aunque si disponemos de más tarjetas (o una tarjeta con varios puertos) mucho mejor, porque podremos disponer de interfaces físicas adicionales para configurar una DMZ, una red adicional y mucho más.

Otro punto a favor de pfSense son las continuas actualizaciones que disponemos, tanto del sistema operativo base, como también de todos los paquetes que podemos instalar de manera adicional. En un firewall/router que está expuesto a Internet, disponer de actualizaciones es algo importantísimo para evitar vulnerabilidades de seguridad que se pudieran encontrar.

Firewall y IDS/IPS

pfSense emplea un cortafuegos SPI (Stateful Packet Inspection) basado en reglas, como suele ser habitual. Podremos filtrar paquetes rápidamente de manera muy avanzada, dependiendo del hardware, podremos conseguir anchos de banda superiores a los 10Gbps. Gracias a la interfaz gráfica de usuario, podremos crear «alias» para crear grupos de IPs y puertos, para posteriormente aplicarlo a las reglas, y de esta forma, no tener cientos de reglas en el firewall, es muy importante saber qué estamos filtrando y mantener las reglas correctamente actualizadas. Por supuesto, pfSense dispone de avanzados registros de si una regla se ha ejecutado, y de todo lo que está ocurriendo en el sistema operativo.

pfSense no solamente dispone de un potente firewall para mitigar y/o bloquear los ataques DoS y DDoS, sino que también dispone de un avanzado IDS/IPS como Snort y Suricata, los cuales podremos instalar de manera fácil y rápida a través de los paquetes disponibles para su instalación, y en ambos tendremos interfaz gráfica de usuario para configurar las diferentes interfaces donde deben actuar, así como todas las reglas que tenemos para detectar posibles ataques. También podremos detectar fugas de información e incluso actividad sospechosa en la red que podremos bloquear. Por supuesto, también tenemos la posibilidad de ver en tiempo real el estado del sistema operativo, e incluso instalar software adicional para ver informes gráficos avanzados y conocer todo lo que ocurre en el sistema.

VPN

Las redes privadas virtuales (VPN) siempre suelen colocarse en el propio firewall, para no tener problemas con la NAT y el filtrado de otros firewalls. Disponer de un servidor VPN o cliente VPN, nos permitirá interconectar ubicaciones remotas a través de Internet de forma segura, y también conectar diferentes dispositivos a la red local en modo VPN de acceso remoto. pfSense incorpora diferentes tipos de VPN para adaptarse perfectamente a las necesidades de los usuarios:

• L2TP/IPsec
• IPsec IKEv1 y IKEv2, con diferentes tipos de autenticación como Mutual-PSK, Mutual-RSA e incluso Xauth.
• OpenVPN con autenticación por certificados digitales, credenciales de usuario y más.
• WireGuard

Lo más destacable de pfSense 2.5.0 es la incorporación de la popular VPN WireGuard, tanto para conectar usuarios de forma remota, como para hacer túneles Site-to-Site de forma rápida y fácil, gracias a este nuevo protocolo que se ha integrado en el kernel y nos proporcionará un gran rendimiento.

Otras características

pfSense incorpora una grandísima cantidad de servicios, los mismos o más que los routers y otros firewalls profesionales. Por ejemplo, algunas de las principales características adicionales son la posibilidad de configurar un servidor DNS con DNS Resolver, ideal para que sea el propio firewall quien resuelva todas las peticiones, también disponemos de un completo servidor DHCP con decenas de opciones avanzadas, un servidor NTP para servir la hora a diferentes dispositivos, WoL, QoS para priorizar diferentes equipos, Traffic Shaper, compatibilidad con VLANs, posibilidad de configurar diferentes VLANs en una o varias interfaces, posibilidad de configurar QinQ, Bridge y LAGG con diferentes opciones avanzadas, también podemos usar el servidor Dynamic DNS y mucho más. No debemos olvidar que, al ser un sistema operativo muy avanzado, podremos ver un completo registro de todo lo que está ocurriendo, e incluso tendremos avisos por email o Telegram para estar al tanto de todo lo que ocurra.

Una de las características más importantes, es la posibilidad de instalar paquetes adicionales para disponer de aún más funcionalidades, gracias a este software adicional, podremos ampliar las funcionalidades de este firewall profesional. Algunos de las extensiones más populares son las siguientes:

• arpwatch para que nos notifique por email o Telegram qué equipos nuevos se han conectado
• bandwidthd para ver gráficos de utilización del ancho de banda
• freeradius3 para montar un servidor de autenticación RADIUS, ideal para configurar APs WiFi y disponer de WPA2/WPA3-Enterprise
• iperf para medir el ancho de banda al pfSense y desde él
• nmap para realizar escaneo de puertos
• pfBlocker-ng para bloquear toda la publicidad, y también dominios y direcciones IP maliciosas
• Snort y Suricata: los dos IDS/IPS por excelencia, no vienen por defecto pero se puede instalar
• Haproxy para balanceador
• Squid para montar un servidor proxy.
• nut para monitorizar sistemas SAI
• Agente zabbix para integrarlo fácilmente en un sistema de monitorización
• Zeek (antiguo Bro IDS)

pfSense funciona en arquitectura x86, siendo compatible con CPU recientes de 64 bits, además, se puede instalar en casi cualquier plataforma en la nube como Amazon Cloud, Azure y más, además, debemos tener en cuenta que hoy en día podemos comprar equipos del fabricante Netgate que ya vienen con pfSense preinstalado, con equipos orientados a ámbito profesional.

Descarga e instalación de pfSense

La descarga y uso de pfSense CE es completamente gratuita, basta con entrar en la web oficial e irnos directamente a la pestaña de «Download».

Una vez que hayamos pinchado en «Download», veremos una sección donde elegiremos la arquitectura a elegir, seleccionamos AMD64.

También tenemos que seleccionar el tipo de imagen, si queremos una imagen ISO para copiar en un DVD o pendrive, o directamente una imagen USB, nosotros hemos seleccionado la imagen ISO DVD. A continuación, deberemos elegir el servidor desde donde realizar la descarga, es recomendable que siempre sea el más cercano físicamente de tu ubicación actual.

Una vez que hayamos descargado la imagen, deberemos descomprimirla ya que viene en formato iso.gz, y deberemos extraer la imagen ISO directamente.

Una vez que lo hayamos descargado, podremos grabarlo a un CD, copiarlo a un USB booteable con Rufus etc. En nuestro caso, vamos a instalar pfSense en una máquina virtual con VMware, para que veáis cómo instalarlo de manera virtual y probarlo en un entorno controlado de pruebas, para posteriormente pasarlo a producción. En el tutorial vais a ver cómo crear dos tarjetas de red, una en modo bridge para que se conecte a la red local real, y otra en modo host-only para poder acceder vía web desde nuestro ordenador, sin depender de la red local.

Configuración de la máquina virtual en VMware

En nuestro caso vamos a utilizar VMware Workstation 15.5 PRO, pero cualquier versión serviría para realizar la instalación de este sistema operativo orientado a cortafuegos. Lo primero que tenemos que hacer al abrir VMware es pinchar en «Create a New Virtual Machine», tal y como podéis ver en la siguiente pantalla:

En el asistente de configuración de la VM tendremos que elegir creación «Typical», cargar la imagen ISO de pfSense, automáticamente reconocerá que el sistema operativo reconocido internamente es FreeBSD 10 (aunque realmente es la última versión), seguimos con el asistente hasta elegir la ruta de la VM, el disco reservado para la máquina virtual lo dejamos en 20GB, y por último, veremos un resumen de todo el hardware que tendrá esta máquina virtual que vamos a crear.

Antes de finalizar, debemos pinchar en «Customize Hardware» para aumentar la memoria RAM a 4GB, aumentar el número de Cores de CPU, y añadir una tarjeta de red adicional, y configurar las tarjetas de red correctamente.

Independientemente del número de CPU y núcleos (os recomendamos 1 CPU y 4 Cores), y de memoria RAM (os recomendamos mínimo 4GB), tenemos que añadir una segunda tarjeta de red, porque tendremos la WAN de Internet y la LAN. Pinchamos en «Add» y pinchamos en «Network Adapter» para añadirla. También podríamos añadir tarjetas adicionales para tener más opciones de configuración a nivel de firewall, pero empezar por una WAN y LAN está bien.

Una vez que tengamos las dos añadidas, tendremos que configurarlas de la siguiente forma:

• Adaptador 1: bridge (automatic)
• Adaptador 2: custom VMnet1 (Host-only)

A continuación, podéis ver cómo quedaría esta configuración.

Para poder acceder vía web a la administración del sistema operativo, es necesario configurar el adaptador VMnet1, para hacer esto, nos vamos a «Panel de control / Centro de redes y recursos compartidos / Cambiar configuración del adaptador» y cambiamos la dirección IP al adaptador VMware Network Adapter VMnet1, poniendo la IP 192.168.1.2/24 tal y como podéis ver a continuación. Una vez hecho, pinchamos en aceptar y aceptar para salir del menú de configuración.

Una vez que ya lo tenemos todo configurado a nivel de máquina virtual, podemos ejecutar la máquina virtual para empezar con la instalación.

Instalación de pfSense en VMware

Cuando arrancamos la máquina virtual, podremos ver un menú con varias opciones de arranque, no debemos tocar nada y esperar a que pasen los segundos. Posteriormente cargará, y ya podremos ver las diferentes opciones que nos brinda la imagen ISO para la instalación de pfSense.

Una vez que arranque la instalación de este sistema operativo, que aceptar el copyright que nos muestra. En el siguiente menú podremos instalar, recuperar el sistema operativo en caso de fallo catastrófico, y también recuperar el archivo de configuración config.xml de una instalación anterior. Nosotros pincharemos en «Install» para instalar el sistema operativo desde cero. En el siguiente menú tendremos que configurar el teclado, eligiendo nuestro idioma y distribución de teclado.

Después nos preguntará cómo queremos instalar el sistema operativo, si con UFS para BIOS o UEFI, de forma manual para expertos, abrir la consola para hacer todo manualmente, o utilizar ZFS como sistema de archivos. En nuestro caso, hemos elegido la primera de todas, Auto (UFS) BIOS y procedemos con la instalación. La instalación tardará un minuto aproximadamente, aunque dependerá del hardware que tengas, cuando finalice nos preguntará si queremos lanzar una consola para hacer configuraciones específicas, pinchamos en «No» y posteriormente nos preguntará si queremos reiniciar el sistema operativo, y aceptamos.

En cuanto se inicie nuevamente pfSense, podemos ver que se le ha asignado correctamente una IP a la WAN de Internet y otra a la LAN.

En el menú de administración por consola podremos realizar las siguientes acciones:

• Cerrar sesión a SSH
• Asignar interfaces físicas a la WAN o LAN, permite configurar también VLANs para la conexión a Internet e incluso de cara a la LAN.
• Configurar la dirección IP de las diferentes interfaces configuradas anteriormente
• Resetear la contraseña de administrador para entrar vía web
• Restaurar pfSense a valores de fábrica
• Reiniciar el sistema operativo
• Apagar el sistema operativo
• Hacer ping a un host
• Lanzar una consola para tareas de administración avanzadas por comandos
• Lanzar pfTop para ver todas las conexiones actuales
• Ver los logs del sistema operativo de filtrado
• Reiniciar el servidor web
• Lanzar consola con utilidades pfSense para configuraciones rápidas
• Actualizar desde consola
• Habilitar SSH en el sistema operativo
• Restaurar una configuración reciente
• Reiniciar PHP-FPM por si tenemos problemas de acceso vía web al sistema operativo.

Si quieres configurar las interfaces físicas a través de la consola, antes de iniciar sesión vía web, podremos hacerlo fácilmente e incluso asignar las correspondientes VLANs:

Por supuesto, debemos realizar la configuración desde cero, asignando la interfaz correspondiente a la WAN y a la LAN:

Por último, podremos configurar a nivel de IP las interfaces, tanto de la WAN como también de la LAN. No obstante, esta configuración es muy básica, todas las opciones disponibles las podéis ver vía web.

En esos instantes, ya podremos acceder vía web a la configuración del pfSense, a través de https://192.168.1.1 con nombre de usuario «admin» y contraseña «pfsense».

Asistente de configuración de pfSense

Para poder acceder al sistema operativo pfSense vía web, tenemos que introducir la URL https://192.168.1.1 con nombre de usuario «admin» y clave «pfsense», el puerto es el 443 por defecto de HTTPS, no es necesario usar un puerto específico.

Una vez que hayamos aceptado el certificado SSL/TLS autofirmado de pfSense, veremos el menú de inicio de sesión, tal y como podéis ver aquí:

pfSense nos va a proporcionar un asistente de instalación paso a paso para realizar las principales configuraciones de la red. Tenemos la opción de no hacerlo, pero es recomendable seguirlo si es la primera vez que lo utilizamos.

Lo primero que veremos en este asistente es la bienvenida, a continuación, nos indicará que podemos comprar una suscripción de soporte de Netgate para que nos ayuden a realizar diferentes configuraciones, debemos recordar que hace años Netgate se hizo con pfSense para seguir desarrollándolo, tanto para sus propios equipos como para la comunidad. Con la versión 2.5.0 tendremos una división entre ambos proyectos, cada vez se bifurcarán más (pfSense CE vs pfSense Plus).

A continuación, podemos ver y configurar el nombre del host, dominio, y los servidores DNS si queremos poner otros que no sean los de nuestro operador. También podremos configurar el servidor NTP para sincronizar la hora, e incluso la zona horaria. Este asistente de pfSense nos ayudará a configurar la interfaz WAN de Internet, disponemos de cuatro posibles configuraciones: Static, DHCP, PPPoE y PPTP, además, soporta VLAN ID para los operadores que lo necesiten. En este menú podremos clonar la MAC, configurar el MTU y MSS, realizar configuraciones específicas dependiendo del tipo de conexión, e incluso podremos incorporar reglas automáticas al firewall para evitar ataques a las redes.

También podremos configurar la interfaz de la LAN, por defecto usamos 192.168.1.1 pero podemos elegir la que nosotros queramos, además, también podremos configurar la máscara de subred. Otra opción muy importante es cambiar la contraseña por defecto, pfSense nos invitará a cambiarla para estar protegidos. Una vez cambiada, pinchamos en «Reload» para seguir con el asistente de configuración y terminarlo, nos dará la enhorabuena y ya podremos empezar a configurar de forma avanzada este completo firewall.

Una vez que hemos visto en detalle el asistente de configuración vía web, vamos a entrar de lleno en todas sus opciones de configuración.

Opciones de administración de pfSense

En el menú principal de pfSense podremos ver la información del sistema, el nombre del pfSense, el usuario que ha iniciado sesión, sistema, hardware utilizado e incluso la versión exacta de pfSense y qué versión tenemos del sistema operativo base (FreeBSD), también podremos ver el tiempo de uptime, la hora actual, los servidores DNS y el estado del almacenamiento, CPU y RAM. Por supuesto, en la parte de la derecha veremos el estado de las interfaces de red que tenemos configuradas.

Este menú principal es muy configurable, para tener todo el estado de pfSense de un vistazo, podremos añadir widgets como el de estado real de las interfaces de red, el de OpenVPN y IPsec, logs del firewall y muchos otros más. Este menú es muy personalizable para adaptarse a las necesidades de la red y ver todo a la vez.

Una vez que hemos visto el menú principal, vamos a ver parte por parte el sistema operativo pfSense, sin entrar mucho en detalle en todas las configuraciones porque tenemos cientos de posibilidades.

System

En la sección de «System» es donde podremos configurar el servidor web del propio pfSense, activar el protocolo HTTPS y SSH, configurar en detalle la seguridad de acceso y la protección del inicio de sesión. También podremos configurar parámetros globales del firewall y NAT, también podremos configurar parámetros globales a nivel de red, tanto de IPv6 como de las interfaces de red, un detalle importante es que podremos activar o desactivar el «offloading» para acelerar el rendimiento si el hardware lo soporta. Otras opciones de configuración son las de configurar el proxy, balanceo de carga y características de ahorro de energía. Por último, podremos configurar a bajo nivel parámetros del sistema operativo base, y configurar las notificaciones por email y Telegram (una novedad de la última versión pfSense 2.5).

En esta sección de «System» también tendremos un gestor de certificados digitales, podremos crear una CA y certificados de servidor y cliente de manera fácil y rápida, con el objetivo de posteriormente usarlo en servidores VPN como IPsec o OpenVPN, así como en el servidor RADIUS Freeradius que podemos instalar de forma opcional. Este gestor de certificados nos permitirá crear certificados basados en RSA y también en EC con diferentes algoritmos.

En la sección «General Setup» podremos cambiar el nombre al equipo, el dominio, los servidores DNS a configurar para que luego los clientes los utilicen, la localización (zona horaria y servidor NTP), y también podremos configurar el aspecto de pfSense al disponer de diferentes temas. Esta última parte es interesante para modificar la interfaz gráfica de usuario con un pfSense oscuro o directamente otros temas que nos gusten más. También podremos configurar al HA para tener alta disponibilidad e incluso instalar una gran cantidad de software adicional, ya que tendremos en la sección de «Package Manager» una gran cantidad de plugins para ampliar las funcionalidades de pfSense.

En la sección de «Routing» podremos ver las diferentes puertas de enlace dadas de alta, posibilidad de configurar rutas estáticas para llegar a otras redes, e incluso crear un grupo de gateways.

pfSense permite actualización a través del propio sistema operativo, en cuanto detecte que hay una nueva versión, podremos actualizarlo a través de la interfaz gráfica de usuario, sin necesidad de descargar la imagen ISO y realizar la actualización de forma manual.

Al ser un sistema operativo muy completo, podremos crear diferentes usuarios y grupos con diferentes permisos. Por ejemplo, podremos crear un listado de usuarios locales para autenticarse vía SSH en el sistema, o para hacer uso de una VPN en concreto. También podremos configurar un servidor de autenticación con RADIUS o LDAP, para hacer uso de dichos usuarios que tengamos.

Una vez que hemos visto la sección de «System», vamos a irnos a «Interfaces» para ver todo lo que podremos hacer.

Interfaces

En la sección de «Interfaces» podremos ver la asignación de la WAN y LAN con las diferentes interfaces físicas, desde aquí podremos configurar fácilmente las diferentes interfaces físicas y también lógicas, ya que podremos configurar VLANs y posteriormente asignarla a una interfaz virtual. Otras opciones de configuración que podremos hacer son crear grupos de interfaces, configurar WiFi, QinQ, PPPs, GIFs, Bridges o puentes, e incluso podremos crear un LAGG con diferentes algoritmos (LACP, Failover, LoadBalance y Roundrobin).

Imaginemos que nuestro operador hace uso del VLAN ID 6 para proporcionarnos Internet, tal y como está la configuración actual de la WAN no funcionará. Deberemos crear una VLAN ID 6, y posteriormente aplicarla en la WAN de Internet. Si en la red local profesional tenemos diferentes VLANs y queremos intercomunicarlas entre ellas, también podremos hacerlo con pfSense, dando de alta las diferentes VLAN ID y posteriormente creando interfaces virtuales que «cuelgan» de la LAN.

Si nos metemos en la configuración de la WAN o LAN, podremos ver la configuración que se ha realizado en el asistente de instalación que vimos anteriormente. En el menú de WAN tendremos diferentes tipos de configuración de cara a la conexión, lo mismo ocurre con IPv6, e incluso podremos poner la dirección MAC que nosotros queramos. También podremos configurar el MTU y MSS, además de configurar parámetros avanzados del cliente DHCP.

En cuanto a la LAN, lo normal es tener la configuración en «Static IPv4» y posteriormente activar nosotros el servidor DHCP, por supuesto, aquí deberemos configurar también el gateway para los clientes que se conecten que es la dirección IP en sí misma.

Una vez que hemos visto todas las opciones de configuración de «Interfaces», vamos a ver brevemente las opciones del firewall.

Firewall

En la sección de «Firewall» es donde tenemos que configurar todas las reglas del cortafuegos. En la sección de «Aliases» podremos crear un alias para aplicar una regla a un conjunto de direcciones IP, puertos y también URL. Esto es ideal para tener muy bien organizadas las reglas en el cortafuegos, es muy importante tener un cierto orden para tener el mejor rendimiento posible (las reglas más utilizadas en la parte superior, y las menos usadas en la parte inferior), además, las reglas más específicas deben situarse en la parte superior y las más generales debajo, para que el funcionamiento sea correcto.

Tendremos la posibilidad de configurar las reglas del NAT en Port Forward, también podremos configurar el NAT 1:1, las reglas de Outbound de la NAT e incluso el NPt para IPv6. En la sección de «Rules» es donde crearemos las diferentes reglas de permitir o denegar en las diferentes interfaces de red que tengamos en el pfSense. Estas reglas las crearemos a través de la interfaz gráfica de usuario, y podremos definir decenas de parámetros avanzados y usando diferentes protocolos, podremos arrastrar para mover las reglas de una posición a otra, e incluso añadir separadores para ayudarnos a identificar un conjunto de reglas.

Por defecto, en pfSense tenemos un «denegar todo» en la parte inferior de forma implícita, por tanto, para tener tráfico se necesitará al menos una regla de permitir.

Otras características interesantes son la posibilidad de crear «Floating rules» en diferentes interfaces de forma fácil, para tener bien ordenadas las reglas repetitivas, e incluso reglas temporales que están activas en un determinado horario, y la posibilidad de configurar «Virtual IPs» para usar el pfBlocker-ng, por ejemplo. Por último, también tendremos aquí el «Traffic Shaper» por interfaz, por cola, podremos configurar limitadores de ancho de banda e incluso ejecutar un asistente de configuración.

Services

En la sección de «Services» es donde tendremos disponibles todos los servicios que vienen por defecto en pfSense, e incluso los servicios que hayamos instalado de forma adicional a través del gestor de paquetes. En esta sección podremos encontrar una herramienta para hacer backups de forma automática, configurar el portal cautivo del pfSense, configurar el servidor DHCP y DHCPv6 para la LAN.

Uno de los servicios más destacables es el DNS resolver, que es el servidor DNS del propio pfSense, y el cual podremos configurar con DNS over TLS y tener reglas muy específicas para los clientes, podremos realizar configuraciones avanzadas, como definir diferentes servidores DNS para las diferentes reglas.

La Agencia Española de Protección de Datos (AEPD) ha multado con 8,15 millones de euros a Vodafone España por el incumplimiento del RGPD, la LGT y la LOPDGDD. Una multa récord en España al superar los 6 millones de euros a Caixabank el pasado mes de enero.

Según explica la Agencia, Vodafone no ha explicado la razón por la que suceden y continúan sucediendo los hechos reclamados, no se indica el origen de los datos relativos al número de línea telefónica o dirección electrónica y no se responde "el motivo por el cual ciertos usuarios han solicitado no recibir acciones de mercadotecnia y sin embargo siguen recibiendo acciones comerciales".

Este último punto, el de las acciones comerciales, ha motivado parte de la sanción de la AEPD a Vodafone. Y es que según explican, Vodafone España ha continuado sus acciones de mercadotecnia tras resoluciones en tutela instando a que las cancelaran.

Tras las decenas de reclamaciones, llega la multa récord a Vodafone

En total, las multas ascienden a 8.150.000 euros, dividido en cuatro sanciones. Una primera multa por cuantía de cuatro millones de euros por una infracción del Reglamento General de Protección de Datos. Una segunda multa de dos millones de euros por otro infracción del RGPD. Una multa de 150.000 euros por una infracción grave de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) y una cuarta multa grave de dos millones de euros por infringir la La Ley General de Telecomunicaciones.

Entre los agravantes de la sanción, que ha derivado en multa récord, se señala la gravedad de las infracciones, haciendo constar que Vodafone ha sido sancionada desde enero de 2018 en más de 50 ocasiones. No es algo puntual, pues constan un total de 162 reclamaciones en un plazo de menos de dos años debido a la "gran cantidad de acciones de mercadotecnia mediante llamadas telefónicas". Un total de 200 millones de acciones comerciales, según la AEPD.

Vodafone habría salido beneficiado de estas acciones comerciales, pues el número de usuarios en telefonía móvil, banda ancha fija, fibra y Vodafone TV han crecido. Asimismo, la AEPD señala que Vodafone es una de las mayores operadoras de telecomunicaciones, con una facturación anual superior a los 1.600 millones de euros. En un plazo de seis meses, Vodafone España deberá acreditar ante la AEPD que se han ajustado las acciones en lo relativo a las leyes de protección de datos.

Qué posición tiene Vodafone

Desde Vodafone explican que hoy mismo van a presentar recurso de reposición ante la AEPD y, "en función de lo que finalmente decida, dejamos abierta la posibilidad de interponer recurso contencioso-administrativo ante la Audiencia Nacional, dado que entendemos que la responsabilidad que se imputa a Vodafone no nos corresponde".

Vodafone considera que "la cuantía de la sanción propuesta es desproporcionada" y quiere "subrayar que Vodafone trata con la máximas garantías de confidencialidad y privacidad los datos de sus clientes".

Más información | AEPD

-
La noticia Multa récord a Vodafone España de la AEPD: 8,1 millones de euros por saltarse la protección de datos y no frenar acciones comerciales cuando se les pedía fue publicada originalmente en Xataka por Enrique Pérez .

En una operación conjunta del Cuerpo Nacional de Policía con las autoridades de Andorra, Portugal, Europol, Interpol y Eurojust, Mobdro ha sido desmantelada. Esta aplicación muy conocida por los usuarios de Android por ofrecer canales de televisión en directo y otra serie de contenidos, como competiciones deportivas, dejó de funcionar hace unos días y en las últimas horas hemos sabido exactamente por qué.

La Policía Nacional, con apoyo de EUROPOL, ha desmantelado la infraestructura que hacía posible la "emisión ilegal de contenidos audiovisuales" que contaba, explica el cuerpo policial, con más de 100.000.000 descargas.

Una veintena de dominios y servidores web bloqueados

La emisión de los contenidos se realizaba a través de la aplicación denominada Mobdro y sus titulares presuntamente se lucraban a través de la publicidad insertada tanto en la propia aplicación como en la web mediante la cual se llevaba a cabo la descarga de la misma. También a través de una versión premium de pago. Según estiman, el lucro ilícito superaría los 5 millones de euros.

La investigación se inició en octubre de 2018 a raíz de varias denuncias que se presentaron ante la Policía Nacional: las de la Alianza para la Creatividad y el Entretenimiento, la Liga de Fútbol Profesional y la Premier League. El motivo era la "emisión no autorizada de contenidos audiovisuales, sujetos a derechos de autor" a través de la mencionada aplicación.

Los agentes comprobaron los hechos denunciados, según explican, y contrastaron que la emisión de contenidos se realizaba a través de Mobdro, así como que se estaba produciendo un lucro. Además de las fuentes de obtención de ingresos reseñadas, la Policía Nacional señala que los investigadores identificaron otra consistente "en la cesión de los recursos de conexión de sus millones de usuarios a una empresa de anonimización a cambio de un acceso libre de publicidad a los contenidos de la plataforma".

En principio, solamente se identificó a un ciudadano español como creador y receptor de los beneficios a través de una sociedad. Una persona que, mientras se desarrollaba la investigación, trasladó su residencia a Andorra. Pese a estas averiguaciones iniciales, más tarde se comprobó que otras tres personas estarías involucradas. Las tres, presuntamente, "estarían manteniendo la actividad delictiva de la aplicación en España mediante la promoción de la misma en distintos dominios web".

La operación se saldó con tres registros domiciliarios (dos en España y uno en Andorra), cuatro órdenes judiciales de retirada de dominios, una veintena de dominios y servidores web bloqueados, cuatro detenciones (tres en España y una en Andorra), un servidor clausurado en Portugal, otro investigado en la República Checa y la congelación de cuentas bancarias.

-
La noticia Mobdro, desmantelada: la aplicación de Android que ofrecía canales de televisión termina con cuatro detenidos fue publicada originalmente en Genbeta por Toni Castillo .

Malas noticias para los que comparten contraseña de Netflix más allá del núcleo familiar. La compañía está mostrando un mensaje a los usuarios que no viven en la casa del dueño oficial de la cuenta para pedirles que registren su propia cuenta de Netflix, con el beneficio de un mes de prueba gratuito.

Read more...

iperf3 es una de las mejores herramientas para medir la velocidad en la red local, ya sea una red cableada o inalámbrica. Este programa utiliza un modelo cliente-servidor, por tanto, es necesario tener tanto un equipo que actúe como servidor de iperf3, para que el equipo que actúe como cliente iperf3 pueda comprobar la velocidad en la red local. El sistema operativo pfSense permite la instalación de iperf3 para comprobar la velocidad de la red local, hoy en RedesZone os vamos a enseñar cómo hacerlo para comprobar el rendimiento.

En RedesZone llevamos utilizando muchos años el popular programa jperf basado en iperf2, pero la nueva versión de iperf3 es completamente distinta a la segunda versión, por tanto, no son compatibles entre sí. iperf3 nos permitirá medir el rendimiento de una red local en LAN, e incluso podremos realizar pruebas LAN-WAN y también WiFi de manera fácil y rápida, sin depender de medidores de velocidad de Internet externos, todo se quedará en nuestra propia red local doméstica. Esta herramienta iperf3 permite hace uso del protocolo TCP, UDP y SCTP para la realización de las pruebas de rendimiento, y también es compatible con redes IPv4 como redes IPv6.

¿Por qué instalar iperf3 en pfSense?

pfSense es un sistema operativo orientado a firewall, que también puede hacer las funcionalidades de router, tanto en entornos domésticos «avanzados» como en pequeñas y medianas empresas. Cuando tenemos una arquitectura de red router-on-stick, y el propio pfSense es el que gestiona todas las VLANs que tengamos en la red, es posible que el enlace troncal entre el pfSense y el switch principal se nos quede corto.

Gracias a la posibilidad de instalar iperf3 en el pfSense, podremos comprobar la velocidad máxima que conseguiremos en un equipo de la red local, teniendo en cuenta el cableado desde el principio hasta el final, la potencia del hardware donde hayamos instalado pfSense y si realmente es capaz de gestionar el tráfico que le lancemos. Cuando en pfSense tenemos múltiples servicios, como cientos de reglas en el cortafuegos, un IDS/IPS configurado en la LAN y/o WAN, o utilidades como ntopng para ver en tiempo real todos los flujos de datos, es posible que el rendimiento del pfSense no sea el adecuado por falta de potencia, y tengamos que afinar las diferentes reglas. Es en estos casos cuando iperf3 cobra protagonismo, tanto para medir el rendimiento en la red local como también para medir el rendimiento inter-vlan routing.

Para instalarlo, simplemente tenemos que irnos a la sección de «System / Package Manager», en la sección de «Installed Packages» tendremos todos los paquetes instalados actualmente, por defecto no viene instalada esta herramienta.

Nos vamos a la sección de «Available Packages» y buscaremos por «iperf», y procedemos a instalarlo como cualquier otra herramienta.

Una vez instalado, podremos ver en la sección de «Installed Packages» que ya lo tenemos, concretamente tenemos la versión iperf3 3.9.

Una vez instalado, ahora tendremos que ejecutarlo.

Funcionamiento de iperf3 en pfSense

En la sección de «Diagnostics» podremos ejecutar tanto el iperf3 cliente como el servidor. Si ejecutamos el cliente, en nuestro equipo deberemos configurar el iperf3 servidor, y viceversa, si configuramos el servidor iperf3 en pfSense, en nuestro equipo tendremos que configurar el iperf3 en modo cliente para realizar todas las pruebas de rendimiento.

A ambas herramientas, tanto el cliente como el servidor, se puede acceder desde el menú de «Diagnostics», pero posteriormente desde cualquiera de ellos podremos acceder al cliente y servidor.

Cliente

En el menú de interfaz gráfica de usuario tendremos las principales opciones de configuración que tiene el cliente iperf3:

• IP del servidor
• Puerto TCP o UDP del servidor
• Protocolo TCP o UDP
• Formato de salida, bits/sec o bytes/s.

Y otras opciones relacionadas con los buffers que podemos dejar vacías para que coja los valores por defecto. Una vez que hayamos introducido todos los datos del servidor iperf3 que ya se está ejecutando, pinchamos en «Run iperf client» y se ejecutará el test de rendimiento.

Aquí solamente debemos meternos siempre que nuestro equipo actúe de servidor iperf3, y queramos comprobar la velocidad de descarga. Normalmente en una red cableada estamos en un entorno Full-Dúplex, por lo que la velocidad de descarga y subida debería ser la misma, a no ser que esté la red con mucho uso en descarga o subida, que entonces podríamos tener diferencias.

Servidor

En el menú de interfaz gráfica de usuario tendremos las principales opciones de configuración que tiene el servidor iperf3:

• Puerto TCP o UDP del servidor
• Formato de salida, bits/sec o bytes/sec

Un detalle muy importante, es que el servidor iperf3 detectará si estamos enviando tráfico TCP o UDP y actuará en consecuencia, por defecto se usa el puerto 5201 como suele ser habitual en iperf3. Otras opciones disponibles en la sección de servidor, es el «Interval» que nos irá indicando el ancho de banda, jitter y pérdidas en tiempo real.

Una vez que hayamos configurado estos tres parámetros, pinchamos en «Run iperf Server» y ya podremos empezar a lanzar pruebas de rendimiento desde nuestro PC cliente.

Un detalle importante, es que, si el servidor o cliente iperf3 está activado, se nos mostrará en el menú principal en el estado de los diferentes servicios. Lo recomendable es no dejar el iperf3 funcionando si no vamos a estar realizando test de rendimiento, tal y como tenemos nosotros ahora mismo:

En el cliente iperf3 que ejecutemos en el PC, ya sea con sistema operativo Windows o Linux, deberemos poner la siguiente orden:

iperf3.exe -c 192.168.1.1 -P 50 -p 5201 -f g -t 5 ./iperf3 -c 192.168.1.1 -P 50 -p 5201 -f g -t 5

• -c 192.168.1.1: actúa en modo cliente con la IP definida.
• -P 50: mandamos un total de 50 conexiones TCP
• -p 5000: hacemos uso del puerto 5000, el por defecto es 5201
• -f g: mostramos la velocidad en Gbps
• -t 5: lanzamos el test durante 5 segundos.

Dependiendo de las opciones que queramos configurar, modificaremos los valores detrás de los argumentos. Esperamos que con este pequeño tutorial sepáis cómo sacar el máximo partido a iperf3 en el pfSense, y comprobar la velocidad en la red local y en la comunicación inter-vlan.

El artículo Instala y configura iperf3 en pfSense para probar la velocidad en red local se publicó en RedesZone.

Microsoft ha confirmado que una de las actualizaciones de Windows 10 de marzo de 2021 está causando pantallas azules de la muerte (BSOD) que llegan a ser serias porque se repiten.

La causa del problema radica en la actualización KB5000802 si tienes la última gran versión del sistema instalada, que hace que algunos equipos conectados a ciertas impresoras muestren el fatídico pantallazo azul.

Un problema que (creen que) afecta a muchas versiones anteriores de Windows

Según informa Windows Latest, aunque los problemas se están produciendo sobre todo en la versión 2004 o 20H2, lanzada en octubre de 2020, los pantallazos azules causados por impresoras se están dejando ver en versiones tan antiguas como la 1803, que se corresponde con April 2018 Update. En ese caso la actualización problemática es la KB5000809.

Para Windows 10 versión 1809, que es la polémica October 2018 Update, la actualización es la KB5000822. Para Windows 10 November Update, que es la versión 1909, la instalación es la KB5000808.

Todas ellas muestran la pantalla azul con el mensaje "APC_ INDEX _MISMATCH error" al intentar imprimir con algunas impresoras en determinadas aplicaciones. De momento, Microsoft afirma que lo están investigando y no aporta una solución clara.

Para solucionarlo, como en otras ocasiones, la mejor opción es ir a "Configuración > Actualización y seguridad > Windows Update > Opciones avanzadas > Ver el historial de actualizaciones > Desinstalar actualizaciones". Una vez ahí, buscar las problemáticas que hemos mencionado anteriormente.

Como recuerdan en Windows Latest, también es algo que se puede hacer desde la consola, con "wusa /uninstall /kb:5000802" para la versión 2004 de Windows 10 y cambiando el número dependiendo de si estamos en esa o en otra de las afectadas.

-
La noticia Microsoft confirma que la actualización de Windows 10 de marzo está provocando pantallas azules de la muerte, pero tiene arreglo fue publicada originalmente en Genbeta por Antonio Sabán .

Read 18 remaining paragraphs | Comments

El proveedor cloud europeo OVH está teniendo que hacer frente a un incendio en su centro de datos de Estrasburgo, lo que está afectando a todas las empresas que tenían allí alojadas algunos de sus servicios, como páginas web.

La compañía no tiene que lamentar daños personales pero su primera recomendación a los clientes era que ejecutaran su plan de recuperación ante desastres.

We have a major incident on SBG2. The fire declared in the building. Firefighters were immediately on the scene but could not control the fire in SBG2. The whole site has been isolated which impacts all services in SGB1-4. We recommend to activate your Disaster Recovery Plan.

— Octave Klaba (@olesovhcom) March 10, 2021

Qué es un Plan de Recuperación de Desastres

Conocido también como Disaster Recovery, el objetivo de este plan es tener todo previsto para proteger a una empresa de los posibles efectos de un suceso inesperado, como este incendio o una inundación. Tener una estrategia de recuperación de desastres puede ser clave para que una empresa pueda mantener o reanudar rápidamente las funciones de misión crítica después de una interrupción.

Algunos clientes de OVH, por ejemplo, están lamentándose de que han perdido todo su material. Es el caso de MundoPixelmon2, quienes han comunicado que tardarán meses en recuperar todo lo perdido, por lo que los usuarios no podrán acceder a este mundo de Minecraft y jugar en él.

El host ,donde teníamos alojado el server y todos nuestro datos, se a incendiado y no ha quedado nada que se pueda rescatar por el momento.

Lamento comunicar que #MundoPixelmon2 quedara un tiempo detenido para trabajar en nuestro siguiente paso. 1/2 pic.twitter.com/Li5LmcQtWy

— FrigoAdri✨ (@FrigoAdri) March 10, 2021

Una interrupción de estas características puede poner en riesgo las operaciones de una organización. Las causas pueden ser tan variadas como un ciberataque, cortes de energía o desastres naturales. El objetivo de la recuperación ante desastres es que una empresa continúe operando lo antes posible.

El proceso de recuperación ante desastres debe tener en cuenta la planificación y las pruebas. En muchas ocasiones conlleva tener una copia de seguridad o respaldo físico separado del resto de la infraestructura para restaurar las operaciones.

Básicamente, a recuperación ante desastres realiza una replicación de todos los datos y procesamiento informático de una organización en otra ubicación (para que no se vea afectada por el mismo desastre). De esta forma, si los servidores se caen se pueden recuperar los datos perdidos desde una segunda ubicación, donde se realiza una copia de seguridad de los datos. 

Elementos de un plan de recuperación ante desastres

Los planes de recuperación ante desastres son muy diferentes según la organización, la industria o el tamaño al que se pertenezca.

Sin embargo, en muchos de ellos hay componentes comunes, como un listado de las personas clave y del equipo que se va a encargar de ponerlo en marcha, una descripción de las acciones a tomar una vez que se ha producido el incidente y las instrucciones sobre cómo llegar al sitio de recuperación y cómo activarlo.

La activación de estos planes pueden evitar que, como por ejemplo las aerolíneas, se tengan que cancelar cientos de operaciones para una empresa.

Entre los beneficios de contar con un Plan de Recuperación de Desastres están, entre otros:

• Minimizar las interrupciones de las operaciones normales.
• Limitar el alcance de las interrupciones y los daños.
• Minimizar el impacto económico de la interrupción.
• Establecer de antemano medios alternativos de funcionamiento.
• Proporcionar una restauración rápida y sin problemas del servicio.

Empresas afectadas

OVH ha reconocido que todas las empresas que tuvieran algunos de los servicios alojados en el CPD de Estrasburgo se habrán visto afectadas por este incendio, que ha destrozado uno de los bloques del centro de datos.

Entre las empresas españolas que han avisado a sus usuarios de que sus servicios se pueden ver total o parcialmente afectados se encuentran IM Digital Business, el Villareal Club de Fútbol o la página MIT Teach Reviews.

También la empresa de videojuegos Rust ha anunciado que ha perdido sus servidores europeos y que algunos datos "son irrecuperables".

-
La noticia El incendio del principal data center de OVH pone de relieve la importancia de tener un plan de recuperación ante desastre fue publicada originalmente en Xataka por Arantxa Herranz .

El Servicio Público de Empleo Estatal (SEPE) ha sufrido un ciberataque que lo ha dejado tumbado. Desde este organismo han querido dejar claro que datos personales, pago de nóminas y prestaciones de desempleo o ERTES no se han visto afectados, pero otros muchos servicios sí.

El causante del problema ha sido Ryuk, un ransomware que lleva años causando estragos y que ahora ha dejado bloqueados datos y equipos del SEPE. A continuación explicamos cómo funciona este ciberataque y qué se puede hacer para evitarlo o, al menos, minimizar su impacto.

El SEPE, última víctima de un ataque de ransomware

La Central Sindical Independiente y de Funcionarios (CSI-F) indicaba en un comunicado cómo  este ataque "ha  paralizado la actividad del SEPE en todo el país, tanto en las 710 oficinas que  prestan servicio presencial, como en las 52 telemáticas".

El problema, añaden, "ha  afectado tanto a los ordenadores de los puestos de trabajo como a los  portátiles de la plantilla que se encuentra teletrabajando", algo que ha provocado "el  retraso en la gestión de centenares de miles de citas en toda España, que se sumarán a la carga de trabajo de días posteriores".

La situación por lo tanto es grave, sobre todo considerando que la actividad del SEPE se ha disparado como consecuencia de la pandemia y de su impacto en el desempleo.

Fuentes internas indican que no se sabe cuándo los empleados podrán volver a poder usar los equipos informáticos afectados, incluidos los teléfonos fijos. Para avisar a los empleados tuvieron que usar sistemas de megafonía, y con los datos y equipos bloqueados, queda por ver cuándo se logrará recuperar la normalidad.

El sitio web oficial del SEPE, que tras el ataque quedó inaccesible, ha vuelto a estar disponible, aunque en versión muy limitada en funciones. De hecho, lo que han hecho es rescatar una copia guardada por Internet Archive, como algunos usuarios han apuntado en Twitter— de hecho, y que sobre todo muestra una advertencia en la que se indica que se está trabajando para mitigar el impacto del ataque en los sistemas del SEP.

Allí señalan además que esta situación no afecta a los derechos de los solicitantes de prestaciones, y "de la misma manera, no es necesario renovar la demanda de empleo. Se  renovará automáticamente o se podrá renovar una vez restablecido el  servicio sin pérdida de derechos".

El Ministerio de Trabajo ha indicado que cualquier interesado podrá solicitar más información sobre este incidente en el teléfono de atención grauito 060.

Curiosamente en este ciberaataque al SEPE no parece haberse solicitado un rescate. El director del organismo, Gerardo Gutiérrez, explicaba en el programa 'Hora 14' de la Cadena Ser que no se había solicitado el pago de ese rescate,  algo muy extraño en estas circunstancias.

También ha indicado que los expertos del ministerio están trabajando con el Centro Criptológico Nacional (CCN) para recuperar el control de los sistemas. "Los datos confidenciales están a salvo del ataque", aseguraba, y las prestaciones podrán seguir abonándose con normalidad.

Ryuk, un ransomware despiadado

Ryuk apareció por primera vez en 2018. Aunque se sospechó que tenía su origen en un grupo de hackers de Corea del Norte, indicios posteriores parecen indicar que fueron organizaciones cibercriminales rusas las responsables de su creación y gestión.

Como sucede con otros tipos de ataque de ransomware, el objetivo de Ryuk es infiltrarse en sistemas para cifrar sus datos y así hacerlos inaccesibles. Para desbloquearlos piden un rescate (en inglés, 'ransom') que normalmente se debe pagar en criptodivisas, lo que hace ese pago más difícil de rastrear.

De lo contrario, los sistemas quedan bloqueados indefinidamente, y si el grupo responsable del ciberataque ha logrado robar datos además de infectar los sistemas y bloquearlos, hay un riesgo adicional: el de filtrar los datos robados para que queden expuestos.

Como ya explicamos en el pasado, se sospecha que Ryuk está gestionado por un grupo criminal llamado Wizard Spider que tiene un grupo operativo llamado Grim Spider.

Los ataques con Ryuk normalmente se centran en grandes organismos y empresas. Los expertos en ciberseguridad de CrowdStrike explicaban cómo el proceso comienza con un ataque dirigido —no van a por cualquiera— normalmente a través del correo electrónico. Se envía un mensaje con un malware como el célebre TrikBot, que dispone de módulos que permiten estudiar la infraestructura de red una vez la víctima cae en el engaño para propagarse aprovechando diversas vulnerabilidades en los sistemas Windows que ataca.

El fin último es el de cifrar los archivos de los equipos que se atacan, salvo en el caso de extensiones como .exe, .dll (pero sí cifra .sys o .ocx). Lo que se logra al no cifrar esos archivos es lograr que el sistema pueda seguir funcionando de forma básica en muchos casos.

De hecho las versiones más recientes de Ryuk no cifran carpetas con nombres como Windows, Chrome, Mozilla, Microsoft o Recycle.bin, y en su última versión han adoptado ciertas caracteríticas de los "gusanos" de internet, pudiendo propagarse de forma autónoma a través de las llamadas Remote Procedure Calls (RPC) de Windows. Hasta pueden llegar a equipos apagados a través de comandos WoL (Wake on LAN) para infectarlos una vez se encienden.

Además de ello, explican los expertos de Panda Security, Ryuk trata de mantenerse lo más posible creando ejecutables y lanzándolos de forma silenciosa. Todo el proceso acaba cifrando el resto de archivos de estos sistemas, a menudo cambiando extensiones de fichero (por ejemplo, de un documento .DOCX a un fichero .RYK). Los autores del ciberataque pueden dejar además un fichero de texto llamado "RyukReadme.txt" en el qeu se informa de las condiciones del rescate y de cómo obtener la clave de descifrado.

Cómo protegerse de un ataque como este: backups

Aunque en octubre de 2020 Microsoft y varias empresas de ciberseguridad asestaron un golpe importante a la botnet TrikBot y a Ryuk, está claro que no eliminaron del todo la amenaza.

Evitar un ciberataque de estas características es muy complicado, y requiere un esfuerzo proactivo importante en materia de ciberseguridad. El reconocimiento de actividad sospechosa (por ejemplo, a través de análisis de tráfico de red y también de los registros del sistema) y la actuación en estos casos suele ser complicada, y más en el ámbito de las grandes empresas y organismos que suelen tener una infraestructura muy compleja en la que viejos sistemas se mezclan con los nuevos.

Para tratar de frenar estos problemas debemos tener actualizado nuestro equipo, algo que minimiza el riesgo de que se puedan aprovechar vulnerabilidades que sí están presentes en viejas versiones de ciertos componentes y aplicaciones de nuestro sistema.

Una de las claves para poder salir (al menos parcialmente) ileso de un ataque de estas características es realizar backups o copias de seguridad frecuente de los sistemas. Hacerlo permite que en caso de que nuestro equipo quede bloqueado podamos recuperarlo con la última copia de seguridad realizada.

Esas copias deben estar además fuera del alcance de la red a la que se conectan los empleados de esa empresa: es buena idea usar por ejemplo discos duros externos que solo conectaremos al equipo cuando se realicen esas copias de seguridad.

-
La noticia Así es Ryuk, el ransomware que ha dejado tumbado al SEPE (y que antes tumbó a otros muchos) fue publicada originalmente en Xataka por Javier Pastor .

Las cámaras y el sistema de reconocimiento facial de la empresa Verkada, una startup proveedora de tecnología de seguridad, para vigilar espacios públicos y empresas, han sido atacados. Un grupo de hackers ha conseguido acceder a sus sistemas y hacerse con vídeos que transmitían en directo desde lugares como escuelas, hospitales, cárceles, fábricas de Tesla y oficinas del proveedor de software Cloudflare.

Según ha publicado Bloomberg, algunas de las cámaras, incluidas las de los hospitales, utilizan tecnología de reconocimiento facial para identificar y clasificar a las personas captadas en las grabaciones. Los piratas informáticos han dicho que se han hecho con imágenes de 150.000 cámaras de vigilancia y que también tienen acceso al archivo de vídeos cmpleto de todos los clientes de Verkada.

Mucha información privada: así son los vídeos

En un vídeo visto por Bloomberg, una cámara de Verkada dentro de un hospital en Florida mostraba lo que parecían ser ocho empleados del hospital abordando a un hombre y sujetándolo a una cama. Otro vídeo, grabado en el interior de un almacén de Tesla en Shanghái, muestra a trabajadores en una cadena de montaje.

Los piratas informáticos han dicho que han conseguido hacerse con el acceso a 222 cámaras de fábricas y de almacenes de Tesla. Otra de las grabaciones muestra a agentes en una comisaría de Massachusetts, interrogando a un hombre esposado.

Cabe recordar que Verkada ofrece una función llamada "People Analytics", que permite al cliente que usa estas cámaras "buscar y filtrar en base a muchos atributos diferentes, incluyendo rasgos de género, color de la ropa e incluso la cara de una persona", según la propia empresa ha explicado en su blog.

Las imágenes vistas por Bloomberg muestran que las cámaras del interior de la cárcel, algunas de ellas ocultas dentro de lugares como rejillas de ventilación, rastrean a los reclusos y al personal penitenciario utilizando la tecnología de reconocimiento facial. Los piratas informáticos dicen que pudieron acceder a las transmisiones en directo y a los vídeos archivados, en algunos casos incluyendo el audio de interrogatorios.

Los hackers dicen luchar por la libertad de información con una gran dosis de anticapitalismo

Según las informaciones que se conocen por el momento, este ataque informático fue llevado a cabo por un colectivo internacional de hackers que buscaron mostrar la omnipresencia de la videovigilancia y la facilidad con la que se pueden vulnerar los sistemas, según ha dicho Tillie Kottmann, uno de los hackers que se atribuyó este acto junto con más personas.

El mismo Kottmann ya se ha atribuido otros ciberataques a entidades como el fabricante de chips Intel o el fabricante de coches Nissan. Kottmann ha dicho que sus razones para hackear son "mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, con una gran dosis de anticapitalismo, una pizca de anarquismo”, además de que “es demasiado divertido como para no hacerlo", según ha publicado Bloomberg.

Las cuentas de administrador internas está ahora desactivadas

"Hemos desactivado todas las cuentas de administrador internas para evitar cualquier acceso no autorizado", dijo un portavoz de Verkada en un comunicado. "Nuestro equipo de seguridad interno y la empresa de seguridad externa están investigando el alcance de este asunto, y lo hemos notificado a las autoridades". La compañía está trabajando para notificar a todos los clientes y establecer una línea de apoyo para poder atender las preguntas.

Desde Cloudflare han dicho que las cámaras internvenidas estaban ubicadas a las puertas de diversas oficinas que están oficialmente cerradas desde hace varios meses (como tantas otras a causa de la pandemia). La compañía dijo que desactivó las cámaras y las desconectó de las redes de las oficinas.

Tesla dijo que, "en base a lo que sabemos hasta ahora, las cámaras que están siendo hackeadas sólo están instaladas en la fábrica de uno de nuestros proveedores" y que los datos que la empresa de Elon Musk recoge en las fábricas de Shanghái se almacenan en servidores locales.

-
La noticia Un ataque a las cámaras de seguridad y al software de Verkada filtra vídeos de cárceles, fábricas de Tesla y oficinas de Cloudflare fue publicada originalmente en Genbeta por Bárbara Becares .

Cuando instalamos un servidor Linux basado en Debian, siempre es muy recomendable realizar un hardening completo para proteger al máximo el sistema operativo y todos los servicios. Con el paso del tiempo, siempre existen nuevas vulnerabilidades en los diferentes softwares que tenemos instalados, e incluso en el propio kernel de Linux. Gracias a una herramienta como Debsecan, podremos escanear por completo nuestro sistema operativo, detectando los paquetes que tenemos instalados y los fallos de seguridad que se han encontrado. Hoy en RedesZone os vamos a enseñar cómo utilizarlo.

Instalación de Debsecan en Debian

Esta herramienta no se encuentra instalada por defecto en el sistema operativo, por tanto, debemos instalarla manualmente a través de los repositorios oficiales de la distribución. Para instalarla, deberemos ejecutar la siguiente orden:

sudo apt install debsecan

En la siguiente captura podéis ver todos los paquetes adicionales que debe instalar para que funcione correctamente:

Una vez que lo hayamos instalado, podemos ejecutarlo con la ayuda, para que nos indique qué argumentos podremos utilizar y qué opciones tenemos disponibles:

debsecan --help

También podremos ejecutar las páginas man para la ayuda más completa de esta herramienta, para abrir el manual completo, basta con ejecutar lo siguiente:

man debsecan

Funcionamiento de esta herramienta

La forma de funcionamiento de debsecan es realmente fácil, simplemente deberemos ejecutar el programa con el argumento de la versión de Debian que estamos utilizando:

debsecan --suite buster

Una vez que ejecutemos este comando, nos saldrá un listado de todas las vulnerabilidades que ha tenido o tenemos en esta versión, y también una descripción de si hay poca urgencia por solucionarlo, si ya está solucionado, aunque tenga poca urgencia, o si simplemente está solucionado el problema. También nos mostrará si no está solucionado el fallo de seguridad, pero sí lo tiene en la base de datos de vulnerabilidades.

Tenemos la posibilidad de configurar debsecan para que siempre utilice la versión de «Debian Buster» (la que estamos usando), sin necesidad de definirlo en un argumento. Para hacer esto, deberemos ejecutar la siguiente orden:

sudo dpkg-reconfigure debsecan

Y nos saldrá la siguiente pantalla, donde deberemos elegir la versión de nuestra distribución:

Si aprovechamos a utilizar este asistente de configuración, también podremos configurar debsecan para que nos envíe automáticamente y una vez al día, cualquier cambio que ocurra en las vulnerabilidades vía email:

A continuación, definiremos nuestra dirección de correo electrónico, y el propio sistema operativo se encargará de mandarnos un email diario sobre el estado de la seguridad del sistema. También nos preguntará que Debsecan descarga la información de vulnerabilidades desde Internet, si el servidor no está conectado a Internet, o no queremos que haga solicitudes a Internet, podremos definir una URL con la información de vulnerabilidades para añadirla a su base de datos. Una vez configurado, ya podremos ejecutar debsecan sin necesidad de poner «–suite».

Una orden muy interesante es la siguiente:

debsecan --suite buster --only-fixed

Esta opción enumera las vulnerabilidades para las que hay una solución disponible, y tengamos que actualizar el sistema operativo para librarnos de ellas. Hay que tener en cuenta que es posible que aparezca una solución, aunque el paquete todavía no esté disponible en el repositorio de Debian para su actualización o instalación. Si nos aparece vacío, significa que tenemos todas las actualizaciones y parches disponibles:

Si ejecutamos la orden siguiente:

debsecan --format detail

Nos mostrará todas las vulnerabilidades arregladas o no pero más en detalle, además, nos mostrará qué versión del software tiene el problema de seguridad, y qué versión lo soluciona, tanto a nivel de parche inestable como del repositorio principal. Es posible que el parche esté en el repositorio «unstable» durante semanas o meses, por lo que debemos tenerlo muy en cuenta.

En las páginas man, podremos ver más en detalle cómo funciona la whitelist. Imaginemos que queremos poner un determinado paquete con código CVE en una lista blanca, de tal forma que nunca nos aparezca en el listado del reporte, para hacerlo, simplemente tendremos que ejecutar lo siguiente:

debsecan --add-whitelist CVE-XXXX-XXXX

Tendremos que poner el código CVE para que se añada a la lista blanca. En caso de quitar algo de la lista blanca también podremos hacerlo fácilmente, para que vuelva a incluirse en los reportes diarios de vulnerabilidades.

Tal y como podéis ver, la herramienta debsecan es muy útil para mantenernos informados de todos los fallos de seguridad que se van encontrando y que afectan a nuestro sistema operativo Debian, ya sea al propio sistema operativo, o a los paquetes que tengamos instalados. Gracias a debsecan podremos recibir emails diarios con las novedades en cuanto a la resolución de las vulnerabilidades por parte del equipo de desarrollo de los diferentes softwares.

Por último, como medida de seguridad fundamental en cualquier servidor, nunca debemos instalar programas o paquetes que no utilicemos, para reducir al mínimo la superficie de exposición a una vulnerabilidad grave. Por supuesto, realizar un hardening del servidor es algo fundamental.

El artículo Comprueba la seguridad de tu servidor Debian con Debsecan se publicó en RedesZone.

¡Y llega la hora de gobernar los APs y los switches de Ubiquiti! Así que si tienes algún dispositivo de este tipo en tu organización… es hora de centralizarlo y controlarlo desde Centreon. Con el mero hecho de tener todo supervisado y anticipándonos a posibles problemas, ¡empezamos! 😛   Bueno, para muchos de los servicios […]

La entrada Monitorizando Ubiquiti UniFi en Centreon apareció primero en Blog Bujarra.com.

Muchos sitios web han podido dejar de funcionar con normalidad debido a un incendio ocurrido en el centro de datos de OVH. Se trata de uno de los mayores proveedores de hosting en Europa y a nivel mundial. Este importante incidente ha podido afectar por tanto a muchas webs y servicios que dependían de estos servidores.

Un incendio en el centro de datos de OVH afecta a muchas webs

El centro de datos de OVH está situado en Estrasburgo, en Francia. Un gran incendio ha provocado la caída del servicio de muchas páginas web, servicios de correo o incluso el acceso a servidores VPN. Desde la empresa han indicado a sus clientes que ejecuten los planes de recuperación ante desastres, ya que son varios los centros de datos que se han visto perjudicados.

Concretamente este incendio ha afectado a los centros de datos franceses SBG1, SBG2, SBG3 y SBG4. Se inició en SBG2 y rápidamente tuvieron que quedar cerrados para intentar contener el problema. Los bomberos llegaron al lugar pero no pudieron controlar la rápida propagación del fuego. Hay que indicar que proporciona servidores VPS y servidores dedicados, así como otros muchos servicios online.

Muchos sitios web de importancia se han visto afectados. Aquí podemos incluir a la empresa de inteligencia sobre amenazas cibernéticas Bad Packets, el servidor de ajedrez gratuito Lichess.org, el intercambiador de criptomonedas Deribit, la herramienta de cifrado VeraCrypt o empresas de telecomunicaciones como AFR-IX.

El fundador y presidente de OVH, Octave Klaba, ha indicado que el fuego ya está controlado, pero que se espera que los servicios no estén disponibles al menos durante el día de hoy. Aún no tienen acceso al sitio y por ello es de esperar que los servidores SBG1, SBG3 y SBG4 no se reinicien en las próximas horas.

Octave Klaba también ha informado que los servidores más afectados han sido el SBG2, donde se originó el incendio, y el SBG1. Respeto al SBG3 también ha corrido riesgo, pero el SBG4 está asegurado. Eso sí, como hemos indicado todos ellos han sido desactivados.

Muchas páginas web y servicios inaccesibles

Lógicamente todo esto ha afectado a una gran cantidad de sitios web que están alojados en estos servidores, así como otros servicios de correo electrónico o incluso VPN para acceder a la empresa de forma remota.

Esto ha provocado que desde OVH recomienden a los clientes afectados que tengan en cuenta el plan de recuperación ante desastres y puedan volver a estar en pleno funcionamiento lo antes posible. Es algo que muchos han tenido que poner en práctica de inmediato.

Este hecho demuestra una vez más la importancia de generar copias de seguridad y tener un buen respaldo no solo de los archivos a nivel de usuario doméstico, sino también de cualquier gran organización. Este incendio ha afectado a uno de los servidores de hosting más grandes del mundo, donde por ejemplo estaba alojado WikiLeaks. Las copias de seguridad en la nube no siempre son seguras y hay que tenerlo en cuenta.

En caso de cualquier complicación, como por ejemplo llegado al extremo este incendio, puede dañar el buen funcionamiento de muchos sitios web y servicios en Internet que dejarían de prestar servicio a los usuarios.

El artículo Un incendio afecta a OVH, un importante centro de datos mundial se publicó en RedesZone.

DOS.Zone es una curiosa colección de juegos antiguos para DOS, que se autodenomina «base de datos interactiva de juegos», porque no sólo está la labor de recopilación y archivo, sino también todos los apaños para que funcionen correctamente en cualquier navegador web, tanto en el ordenador como en el teléfono móvil. En total hay unos 1.900 juegos de los cuales unos 850 funcionan también en dispositivos móviles.

Como navegar por una colección tan gigantesca puede resultar un poco aburrido –aunque también es parte de la gracia– hay varias selecciones de juegos por categorías o sagas así como otras con los más populares o los más recientes. En las Colecciones se han agrupado títulos como Command & Conquer, los simuladores (Sim City, Oregon Trail), carreras de coches, Doom, Duke Nukem, GTA y otros. Entre los favoritos de siempre están Prince of Persia, Doom, Mortal Kombat, Arkanoid, Wolfenstein 3D e incluso Digger.

Además de eso hay una zona de debate donde hablar de los juegos, incluyendo una categoría en español en la que no parece que haya mucha actividad reciente. Pero quien sabe, todo es animarse.

Relacionado:

• La Biblioteca Nacional de España anda detrás de originales de más de 6.000 videojuegos
• Adventure: un clásico entre los clásicos de los juegos conversacionales
• High Score: una serie sobre la historia de los videojuegos antiguos
• Space Invaders: la historia de su creación
• La historia de Microsoft Flight Simulator (1982-1989)

# Enlace Permanente

Read 6 remaining paragraphs | Comments

España no ha hecho sus deberes en materia de Protección de Datos. Tras meses de espera, Europa ha decidido poner una multa a España de 89.000 euros al día hasta que no se realice la transposición. El Tribunal de Justicia de la Unión Europea ha emitido un comunicado donde explica que se condena a España a "pagar una suma de 15 millones de euros y una multa coercitiva diaria de 89.548,20 euros por no haber transpuesto aún una Directiva ni comunicado las medidas de transposición de esta".

En concreto se trata de la 'Directiva de protección de datos personales en el marco de la prevención y detección de infracciones penales'. Una ley europea que debería haberse adaptado al marco español y donde, pese a que se remitió por escrito, España no ha cumplido.

España lleva meses de retraso en sus deberes de Protección de Datos

Ya en marzo de 2019, España indicó que el procedimiento estaba en curso y debía finalizarse en marzo de 2020. En ese momento se indicó un retraso debido "esencialmente del contexto político particular y de la necesidad de transponer la Directiva mediante una ley orgánica".

Han pasado meses desde entonces y España todavía no tiene la directiva europea transpuesta al marco nacional, por lo que el Tribunal de Justicia Europea ha decidido actuar.

#ECJ: #Spain ordered to pay a lump sum of € 15 million and a daily penalty of € 89,000 for failing to transpose or communicate transposition measures regarding the Directive on the protection of #PersonalData for the purposes of the prevention and detection of criminal offences

— EU Court of Justice (@EUCourtPress) February 25, 2021

España no niega el retraso y se justifica en la situación excepcional, argumentando que la multa debía tener en cuenta este contexto para valorar su importe.

El pasado 11 de febrero de 2021, el Gobierno presentó en el Congreso de los Diputados su 'Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. (121/000046)'.

Esta ley está siendo tramitada de manera urgente, pero hasta el 1 de febrero se da margen para las enmiendas y hasta el 3 de febrero para la ampliación de enmiendas. Unos cuantos días más donde España tendrá que pagar miles de euros por no haber hecho los deberes a tiempo.

Más información | Curia

-
La noticia Europa multa a España con 15 millones de euros por su retraso en Protección de Datos y con 89.000 euros al día hasta que no se adapte la directiva fue publicada originalmente en Xataka por Enrique Pérez .

Son muchas las vulnerabilidades que pueden estar presentes en nuestros sistemas y dispositivos. Esos fallos podrían ser aprovechados por los piratas informáticos para llevar a cabo sus ataques. En este artículo nos hacemos eco de una vulnerabilidad que afecta a los archivos PDF y que permitiría a un intruso saltarse la validación de firmas y llegar a modificar el contenido de ese archivo.

Un fallo permite modificar archivos PDF evitando la firma

Un equipo de investigadores de seguridad informática ha encontrado una serie de ataques que eluden la validación de firmas en PDF. Hay que tener en cuenta que los PDF firmados digitalmente se utilizan en muchos contratos y facturas para garantizar así la autenticidad e integridad del contenido.

Cuando un usuario abre un archivo PDF que ha sido firmado previamente esperaría ver una advertencia en caso de haber encontrado cualquier modificación. Sin embargo estas vulnerabilidades permitirían eludir esa firma. Han encontrado ataques que podrían modificar el contenido de esos archivos sin invalidar la firma.

No obstante, este tipo de ataque se encontró por primera vez en 2019. Implantaron una serie de medidas para evitar que esto ocurriera, pero ahora hay ataques que pueden eludirlas. Se trata de ataques en la sombra que evitan esas medidas implantadas para proteger los archivos.

Estos ataques se aprovechan de funciones legítimas, por lo que son difíciles de mitigar. Permite ocultar el contenido relevante para las víctimas detrás de una capa visible. De esta forma logran ocultar contenido legítimo y muestran lo que ellos quieren que aparezca.

Pero también puede haber ataques que buscan reemplazar la información. Eso sí, la modificación no está permitida para todos los tipos de objetos, por lo que el atacante solo cambia los objetos que se consideran inofensivos pero que pueden cambiar el contenido visible del documento.

Por otra parte están los ataques de ocultar y reemplazar. Los atacantes crean un documento PDF oculto que se envía a los firmantes. El documento PDF contiene una descripción oculta de otro documento con contenido diferente. Dado que los firmantes no pueden detectar el contenido oculto malicioso, firman el documento.

Cómo evitar ser víctimas de este tipo de problemas

Es importante que los usuarios estén protegidos para evitar ser víctimas de este tipo de ataques. En este caso hemos visto vulnerabilidades en archivos PDF, pero puede ocurrir en cualquier otro documento o programa que utilicemos. Los ciberdelincuentes pueden acceder al sistema a través de métodos muy variados.

Algo básico es mantener actualizados los equipos. Siempre debemos contar con las últimas versiones para poder corregir problemas que sean explotados por parte de los piratas informáticos y que pongan en riesgo nuestra privacidad y seguridad.

Pero también es interesante tener programas de seguridad. Un buen antivirus puede evitar la entrada de amenazas en nuestro sistema. Así podremos estar protegidos y mantener la fiabilidad de nuestros dispositivos en todo momento.

No obstante, lo más importante de todo ese el sentido común. Hay que evitar cometer errores como podría ser descargar un archivo malicioso por correo electrónico, instalar software desde fuentes de terceros que son inseguras o iniciar sesión desde links en los que no deberíamos confiar.

El artículo Una nueva vulnerabilidad permite saltarse la firma en un PDF y modificarlo se publicó en RedesZone.

Hoy, durante su evento anual para desarrolladores Ignite 2021, Microsoft ha presentado su nuevo lenguaje de programación Power Fx, destinado a facilitar que la mayoría de los usuarios acostumbrados a trabajar con MS Excel sean capaces de programar.

Y no porque confíen en que estos usuarios vayan a ponerse ahora a estudiar complejas lecciones sobre desarrollo de software, sino porque Power Fx es un lenguaje 'low-code' (literalmente, 'de bajo código'), es decir, enfocado a simplificar el código hasta reducir su uso a su mínima expresión.

Es este caso, se busca que podamos utilizar la Power Platform de la forma más intuitiva posible, facilitando la creación de programas empresariales sencillos en forma de apps o bots.

Este lenguaje está basado en expresiones declarativas con el objetivo de facilitar a los usuarios la lectura y manipulación de datos. Y, al basarse en las fórmulas ya utilizadas en Excel, Microsoft confía en que los fundamentos de Power Fx sean ya familiares para "millones de usuarios".

"Los lenguajes de programación están en nuestro ADN"

Además de en las fórmulas de Excel, Microsoft se ha inspirado también en la sintaxis de lenguajes como Pascal, Mathematica o Miranda (un lenguaje de programación funcional de los 80).

De modo que, aunque sea 'low-code', Power Fx no será un lenguaje visual, sino basado en texto. Y, además, es de código abierto y está disponible en GitHub para que cualquiera pueda implementarlo en sus propios proyectos. ¿Su objetivo? Convertirlo en el estándar de facto para esta clase de usos.

Sin embargo, pese a su naturaleza 'open source', Microsoft tiene la intención de seguir controlando la evolución de Power Fx, aunque adherido a una licencia MIT, también aplica un 'Acuerdo de Licencia de Colaborador' (CLA) que permitiría a la compañía cambiar dicha licencia en el futuro.

En palabras de Charles Lamanna, vicepresidente corporativo de Microsoft, estaríamos ante otro ejemplo más de un lenguaje desarrollado por una gran compañía que en los últimos años da el salto al 'open source' y termina siendo adoptado por una amplia comunidad de desarrolladores, como ya ocurrió con C# y TypeScript (de la propia Microsoft), o con Go (de Google).

Power Fx estará disponible tanto en el entorno Power Apps Studio como -en el caso de necesitar desarrollar aplicaciones más complejas- en Visual Studio Code. También podremos usarlo en breve en Power Automate (el antiguo Microsoft Flow) y Power Virtual Agents.

-
La noticia Power Fx, el nuevo lenguaje creado por Microsoft para programar sin apenas código y basado en las fórmulas de Excel fue publicada originalmente en Genbeta por Marcos Merino .

Un investigador de seguridad informática ha detectado una serie de vulnerabilidades importantes que afectan a la red de Linux. Estos fallos podrían permitir que un atacante obtenga acceso root. Debido a ello un atacante podría bloquear servidores a través de un ataque de denegación de servicios. Vamos a explicar en qué consiste este problema y por qué es tan importante.

Detectan fallos en Linux que pueden afectar a los servidores

Estos fallos han sido detectados por Alexander Popov, de Positive Technologies. En total ha encontrado cinco vulnerabilidades de seguridad que afectan a la implementación del socket virtual del kernel de Linux. Las vulnerabilidades han sido registradas como CVE-2021-26708 y ha recibido una puntuación de 7, lo que le otorga ser de alta gravedad.

Como hemos mencionado anteriormente, en caso de que un atacante lograra explotarlas podrían afectar a los servidores Linux. Obtendrían acceso root y podrían desencadenar ataques de denegación de servicio.

Este problema está presente en los servidores que utilizan el kernel Linux desde la versión 5.5 de noviembre de 2019 hasta la versión actual del kernel principal 5.11-rc6. El investigador de seguridad detectó el problema en Fedora 33 Server.

Hay que indicar que estos agujeros de seguridad afectaron a Linux cuando se agregó el soporte de transporte múltiple de sockets virtuales. Este transporte de red facilita la comunicación entre las máquinas virtuales y su host.

El problema principal son las condiciones de los controladores del kernel CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS. Estos se envían como módulos del kernel en todas las principales distribuciones de Linux. La razón por la que este es un problema tan serio es que cada vez que un usuario común crea un socket AF_VSOCK, los módulos vulnerables se cargan automáticamente.

Alexander Popov ha indicado que creó un prototipo de exploit para lograr escalar privilegios en Fedora 33 sin pasar por las protecciones de la plataforma x86_64 como SMEP y SMAP.

Las vulnerabilidades han sido corregidas

Estas vulnerabilidades ya han sido corregidas. El pasado 3 de febrero lanzaron los parches correspondientes en Linux 5.10.13. Este parche también se ha incluido en distribuciones de Linux tan populares como Debian, Ubuntu o SUSE.

No es la primera vez que Alexander Popov encuentra vulnerabilidades de este tipo en Linux. Este investigador de seguridad ya ha descubierto anteriormente otros fallos como CVE-2019-18683 y CVE-2017-2636. Cuando se trata de servidores es incluso más importante detectar estos fallos. Podéis ver los mejores servidores FTP y FTPES para Linux.

En definitiva, una vez más se demuestra la importancia de mantener en todo momento actualizados los equipos. Es esencial tener siempre todos los parches que vayan saliendo instalados en nuestros equipos. De esta forma podremos protegerlos y evitar que puedan ser explotados por parte de terceros para poner en riesgo el buen funcionamiento.

En este caso se trata de una serie de vulnerabilidades, cinco en total, que permitiría a un atacante obtener acceso root y comprometer los servidores Linux. Este problema ya ha sido resuelto mediante parches que debemos agregar.

El artículo Detectan importantes vulnerabilidades de seguridad en Linux se publicó en RedesZone.

Con la llegada de la industria 4.0 a los procesos productivos de las empresas, entre los que se encuentran el IIoT y el Cloud, surge la necesidad de controlar y monitorizar los SCI que los componen de manera remota. Sin embargo, dichos accesos deben establecerse de una manera controlada y segura, debido principalmente a la criticidad de estos activos. En este artículo se abordan buenas prácticas, herramientas y métodos que pueden emplearse para establecer conexiones remotas a las redes TO de la forma más segura posible.

Introducción a los accesos remotos a SCI

Los accesos remotos a los sistemas TO actualmente son algo habitual, especialmente impulsados por aplicaciones de industria 4.0, aunque no aplican únicamente a estos casos. Cada vez son más las compañías que contratan el desarrollo, montaje y puesta en marcha de nuevas máquinas que requieren de un acceso remoto para que el proveedor pueda dar el soporte técnico acordado en el contrato. Para los clientes, estos accesos son un punto de entrada a su red, por lo que deben de buscar que sean lo más seguros posible y que solamente sean utilizados cuando sea estrictamente necesario.

Con el constante crecimiento de los ataques a infraestructuras críticas, resulta de vital importancia asegurar las redes y sistemas que las componen. Para evitar este tipo de situaciones, el método establecido en las guías de buenas prácticas define un aislamiento directo entre las redes TI y TO, por lo que para acceder a una red desde la otra, o desde una externa a la empresarial, sería necesario llevar un estricto control de dichas comunicaciones. Esto ya se comentó en la “Guía de acceso seguro a los dispositivos de campo”.

A lo largo de los años, esta práctica se ha realizado de forma insegura y no controlada. Algunos de los errores de configuración y malas prácticas más comunes que podemos encontrar en cualquier empresa industrial son:

• Configurar una red plana, en la que están incluidos todos los dispositivos de la empresa, sin ningún tipo de segregación en VLAN que separe los equipos por niveles de criticidad o de funcionalidad. Esto permite que cualquier acceso malicioso pueda propagarse a todos los equipos.
• No configurar un aislamiento entre redes TI y TO, lo que supondría que, si un equipo de TI es infectado con un malware, este puede propagarse hacia los sistemas de TO sin ningún impedimento.
• Conexión directa a Internet de los dispositivos propios de SCI, lo que los expone a ataques y acceso no deseados.
• Contraseñas por defecto para el acceso remoto a dispositivos.
• Utilizar soluciones de accesos remotos de terceros, ya que, pese a su facilidad de uso y practicidad, se pierde completamente el control sobre quién accede a qué y de qué manera.

Métodos de accesos remotos a TO

Existen varios métodos para acceder de forma remota a los sistemas ubicados en una planta. Algunos ejemplos son los siguientes:

• Acceso directo a la red industrial: la forma más sencilla de dar acceso desde el exterior a la red industrial es mediante un acceso directo. Para las empresas industriales no concienciadas en seguridad, ésta práctica suele ser la más extendida. En estos casos, la red industrial forma parte de la red corporativa, sin limitación en las comunicaciones. Si el nivel de concienciación es más elevado, entonces las redes estarán separadas y se gestionarán los accesos mediante reglas de cortafuegos. Para poder decir que la conexión es segura, dichas reglas deberán ser de extremo a extremo, es decir, no se debe hacer uso de rangos IP para los equipos de origen y destino de las comunicaciones. De esta manera, aunque un atacante consiga infiltrarse en la red TI, no será capaz de acceder a los sistemas de control al no existir en el cortafuegos una regla específica que permita dicho acceso. Por otra parte, a los externos se les proporcionaría un acceso a la red corporativa de la organización mediante el uso de una VPN, la cual le asignaría una IP dentro del rango empresarial. Unos ejemplos de reglas específicas de extremo a extremo serían:
  • Operador 1 ➔ red industrial ➔ permitido;
  • Historiador réplica ➔ historiador ➔ permitido;
  • Red corporativa ➔ red industrial ➔ denegado;
  • Internet ➔ red corporativa ➔ permitido;
  • Internet ➔ red industrial ➔ denegado.
• Uso de un equipo de salto: en esta solución, los usuarios corporativos que deseen acceder a los sistemas de control deberán, en primer lugar, acceder a un equipo de salto situado en la DMZ TO, que dispone de acceso directo a los sistemas SCI y que contendrá todas las herramientas de trabajo y programas necesarios para la labor del empleado que establece la comunicación. Los externos deberán entrar previamente a la red empresarial mediante el uso de la VPN a través de un equipo específico de accesos remotos, situado en la DMZ TI. Una vez dentro de la red corporativa, accederán al equipo de salto situado en la DMZ TO, de la misma manera que un empleado de la organización lo haría. Existen varias soluciones comerciales que proporcionan y permiten controlar este tipo de accesos. Las más extendidas son las soluciones Virtual Desktop de Citrix u Horizon de VMware.

- Esquema de un acceso a equipo de salto desde una red externa. Fuente: INCIBE-CERT. -

• Solución específica de accesos remotos: existen equipos y soluciones específicas que proporcionan accesos remotos a TO de manera segura. Se trata de soluciones que incluyen elementos hardware y/o software que permiten controlar qué puertos y aplicaciones se exponen hacia la red externa y qué usuarios pueden acceder a ellas. Entre todas las soluciones existen dos métodos de funcionamiento extendidos: el primero está basado en un dispositivo hardware, ofrecido por fabricantes como Ixon o Secomea. Por otro lado, se encuentra el método basado en software, como la solución OTAccess de Bayshore. Además, todas ellas tienen en común el establecimiento de un túnel, ya sea TLS o encapsulando el tráfico mediante HTTPS, entre el cliente que se quiere conectar y el equipo remoto de la solución. Dicho túnel se crearía en sentido cliente-solución, por lo que para controlar estas comunicaciones en el firewall no sería necesario permitir conexiones entrantes, sino una sola conexión saliente a través de un puerto, habitualmente 443.

- Solución de acceso remoto basada en portal web. Fuente: Bayshore. -

- Solución de acceso remoto basada en comunicaciones entre hardware. Fuente: Secomea. -

Comparación de los diferentes métodos

Como se ha podido apreciar en el punto anterior, existen varias formas de acceder de forma remota a los sistemas de control. Algunos son más seguros que otros, pero, al mismo tiempo, resultan más complejos de implementar y desplegar. Siempre debemos partir de la premisa de que los accesos remotos de forma directa a sistemas de control están desaconsejados en todas las guías de buenas prácticas y normativas, dado que las redes externas se consideran entornos inseguros, por lo que cualquier medida que se adopte va a resultar beneficiosa para la seguridad de la organización.

La utilización de un cortafuegos mejora la situación, pero, aun así, no es una solución escalable, puesto que habría que establecer reglas específicas para cada uso y para cada conexión. A nivel de despliegue, es el método menos complejo, el más inmediato y el más económico, puesto que únicamente se requiere de un cortafuegos que separe las redes TI y TO.

Por otro lado, el uso de un equipo de salto proporciona un control de los accesos y una granularidad (parametrización a bajo nivel, es decir, capacidad de diferenciar los accesos y funciones dependiendo del usuario y rol) elevados, que se ven incrementados al combinarse con el uso de un RADIUS o LDAP para la autenticación de usuarios y segregación de roles. Sin embargo, su implementación es compleja y el mantenimiento costoso, sobre todo desde el punto de vista del licenciamiento de las soluciones, ya que se hace en función de usuarios y de sistemas accedidos, que puede ser considerablemente alto.

Finalmente, las soluciones comerciales de acceso remoto permiten prácticamente la misma granularidad y control que el uso de un equipo de salto, todo ello sin necesidad de conocimientos avanzados en redes. Además, no sería necesaria la apertura en el cortafuegos de conexiones entrantes a la red TO, puesto que el tunelizado se establece en sentido saliente y a través de un único puerto a un destino conocido. Sin embargo, en algunos casos existen limitaciones en el número de conexiones y usuarios activos que se pueden establecer y configurar, puesto que estos parámetros suelen estar limitados a nivel de licenciamiento. Además, para establecer el túnel desde el exterior es necesario el acceso a través de un servidor web, que en algún caso no es posible establecer su ubicación dentro de la compañía, sino que debe situarse en la nube del fabricante, por lo que se perdería cierto control sobre el sistema de acceso remoto.

- Resumen de soluciones. -

Conclusiones

Los accesos remotos en TO son cada vez más frecuentes y necesarios, sin embargo, no debemos olvidar que se trata de equipos con nivel de seguridad mucho más inferior de lo que podemos encontrar en entornos TI, por lo que es imprescindible realizar un trabajo adecuado para elevar los niveles de ciberseguridad en los mismos.

En este artículo hemos presentado algunos de los métodos más comunes para implementar y desplegar estos accesos de manera segura. Tal y como se ha podido ver, es relativamente sencillo implementar una de dichas soluciones, por lo que las organizaciones y empresas deberían empezar a considerar cual es la que mejor se adapta a sus casos de uso y llevarla a cabo.

Etiquetas: Buenas prácticas, Cloud computing, Despliegue de servicios, Firewall, Gestión de identidades, IIoT, Infraestructuras críticas, Protección de datos, Sistema de Control Industrial, Virtualización, Wireless

Llegan los paneles solares de IKEA a España, y te damos todos los detalles para que puedas realizar su contratación. Esto es todo lo que debes saber para hacerte con ellos.

La pandemia COVID ha hecho a muchos negocios adaptarse a los nuevos tiempos, prescindiendo del papel y del plástico al ser una posible fuente de contagio. Muchos bares, restaurantes y negocios de otro tipo han creado su propia lista de precios a través de un código QR que da acceso con apenas apuntando con la cámara de tu teléfono.

No es necesario ser un experto para crear un espacio en el que tus clientes puedan acceder de manera rápida para saber el coste de un plato o una bebida. Para ello lo mejor es dedicarle un poco de tiempo, sobre todo si quieres implementar toda la carta, todo ello va a depender de lo extensa que llegue a ser.

Al crear la lista de precios para tu negocio en QR Code se va a tener acceso a ella sin tener una página web propia, por lo que nos ahorraremos tener que adquirir un hosting más un dominio. La comodidad es poder crearla y editarla si lo queremos eventualmente con alguna novedad.

Cómo crear una lista de precios para tu negocio en QR Code sin tener página web

El método sencillo es usar la aplicación Telegram, con ella y Telegraph puedes crear una lista rápida con texto e imágenes, la personalización juega un papel fundamental. Por ello si no tienes aún la aplicación de Telegram puedes descargarla desde este enlace.

Telegram (Free, Google Play) →

Una vez tengas instalada Telegram dirígete a Telegraph desde este enlace, es un bot que te servirá para ir añadiendo la lista de precios para luego pasarla a código QR. Aunque parezca complicado, nada más la hagas una vez vas a ver lo fácil que resultará crearla desde cero y modificarla todas aquellas veces que quieras.

• Abre el bot Telegraph en la aplicación Telegram
• Haz clic sobre Settings y luego pulsa en «Create a New Account»
• En «Create a New Account» elige el nombre de tu negocio, en este caso ponemos por ejemplo «Bar DaniPlay» y pulsa a la tecla Enviar, por último elige el nombre del autor, puedes usar el que quieras, ya sea un alias o tu nombre real y dale a «Enviar»
• Ya tendrás el acceso para empezar, dale a Skip para volver atrás y te mostrará tres opciones, pulsa en la que dice Create a New Story y haz clic en OK para empezar a editar tu carta
• En Tittle elige el nombre de tu negocio, verás como debajo aparece el alias elegido y en «Your Story» tenemos que ir completando nuestra lista de precios
• Elige una imagen con el icono de la cámara, luego ve poniendo texto con la bebida y el precio a la derecha, todo para que parezca más profesional y al estilo de una carta convencional
• Una vez lo tengas terminado dale a «Publish» en la parte superior derecha, copia la dirección URL creada para convertir esa dirección en un código QR con QRCode Monkey

Convierte una URL en un código QR

Después de tener nuestra lista de precios completa tenemos ahora que convertir esa dirección web en una URL para colocarla en una mesa, en la puerta del negocio y en cualquier rincón visible para el cliente. Lo mejor es tenerlo por todos los sitios para la visita de aquellos clientes habituales y de futuros clientes que pasen por tu local.

Para convertir la URL en un código QR tienes el servicio de QRCode Monkey, puedes acceder al sitio en el siguiente enlace y luego para llevarlo a cabo sigue el paso a paso:

• En «Introduce tu contenido» donde te marca «Tu URL» pon la dirección creada por Telegraph para llevar a la lista de precios directamente
• La segunda opción es «Escoge colores», puedes personalizar el código QR del tono que quieras, esto ya dependerá de ti y de si lo quieres en otro tono
• La tercera opción es para personalizar el QR con el logo de tu bar o negocio, dale a «Usa image» y se cargará en apenas un segundo
• Ya en la última opción tienes la posibilidad de «Personalizar diseño», tienes muchas opciones que te da la página, aquí es decisión tuya la de crear uno distinto a los demás

Editar la lista de precios

De querer actualizar la lista de precios creada es tan fácil como ir de nuevo a Telegram, abre el bot de Telegraph, dale a Iniciar y escoge el account creado, por ejemplo Bar DaniPlay, luego a «My Posts» y haz clic en 1. «nombre de tu lista de precios» para que te lleve de nuevo a la URL creada en Telegraph.

La edición se hará igual que antes, aunque ahora pulsa en «Edit» para empezar, una vez finalices acuerdate siempre de hacer clic sobre «Publish» para que actualice el contenido subido en ese momento.

 

Somos muchos los que grabamos la actividad de nuestros monitores para todo tipo de fines. Unas veces nos sirve simplemente con hacer capturas estáticas…pero hay situaciones en las que nos conviene mejor grabar un video porque puede resultar más explicativo.

---

Leer más »

Read 7 remaining paragraphs | Comments

Read 9 remaining paragraphs | Comments

El almacenamiento en la nube se ha convertido en esencial en los últimos años para ir almacenando nuestras imágenes, vídeos y documentos de cualquier tipo. Uno de los servicios protagonistas de ello es Google Drive, pero existen otros tan interesantes que el creado por la compañía de Mountain View.

Debido a la escasez de espacio de Drive y Google Fotos han nacido herramientas como Dubox, un servicio que lleva ya un tiempo entre todos nosotros y sirve para hacer copias de seguridad. Lo positivo es poder acceder a ella desde dos vías, la primera es mediante su servicio web, mientras el otro es por su aplicación oficial.

Dubox es una opción interesante si queremos sustituir también a Google Fotos, ya que almacena de manera automática las imágenes en su servicio. Esto nos ahorrará el tener que enviarlas de manera manual, teniendo el respaldo siempre a mano para poder gestionarlas si decides cambiar de dispositivo.

Primeros pasos con Dubox

Lo primero y esencial es descargar la aplicación Dubox para nuestro teléfono Android, de querer usarlo en el PC debemos acceder a la página web oficial. Lo interesante es tener ambas opciones por si queremos trabajar de manera fluida, ya sea para usarlo personal o profesionalmente, se adapta a ambos perfiles.

La nube de Dubox: Respalda la nube e información (Free, Google Play) →

Una vez la descargamos e instalamos tenemos que completar un breve registro, nos pedirá un apodo, un correo electrónico, una contraseña y la fecha de nacimiento. Nos enviará un correo para la validación de la cuenta, verifica en la carpeta de «Promociones» o «Spam», todo dependiendo del correo que utilicemos y pulsa sobre «Correo electrónico de verificación».

Una vez verificado todo podemos empezar a usar servicio, para ello contamos con 1 TB gratis que nos da Dubox, suficiente espacio para almacenar todo aquello que queramos como si fuera un disco duro externo. Drive comparte los 15 GB con servicios como Gmail y Google Fotos, quedándose en unos pocos gigas libres para usarlo.

Configurando Dubox

Una vez la iniciemos nos va a pedir los permisos para almacenar las fotos de manera automática, en este caso las imágenes, para ello puedes ir eligiendo aquellas carpetas completas. El backup tomará un tiempo, todo depende del peso de la carpeta, por ello es conveniente dejar que vaya subiendo todos los archivos.

Dale a «Activar el backup automático» y a «Permitir» para acceder a las fotos, archivos de medios, esto lo hará para poder seleccionar todas de una carpeta. Puedes subir cualquier tipo de contenido, ya sean imágenes, vídeos, archivos, música y otros, con la extensión que sea.

Lo primordial es ordenar todo en carpetas, para ello tienes la opción en el símbolo «+» y «Crear nueva carpeta», en ella puedes ir guardando aquello que quieras, por ejemplo la galería de fotos tuya y de la familia. El orden dependerá de lo que vayas guardando, para poder encontrarlo más rápido es bueno ir poniendo nombre a cada una de ellas.

Información de espacio y otras opciones

Una vez abres haces clic en la pestaña «Mi» tendrás información de todo, incluido el espacio ocupado en la parte superior, mostrando tu alias y concretamente debajo tiene opciones realmente interesantes. Dubox es totalmente personalizable desde sus ajustes, por eso conviene repasarlo de principio a fin.

Todas sus opciones

Backup automático de fotos: Al activarlo te mostrará estar ya funcionando en tu teléfono, la segunda opción es mejor dejarla desactivada, sobre todo para no usar la conexión de datos de tu operadora. Ya en la parte de abajo puedes seleccionar que apps pueden entrar dentro de la copia de seguridad, esto dependerá de que elementos son importantes.

Centro de seguridad: Mostrará un total de tres opciones, la primera es para añadir un patrón de seguridad, te pedirá un código PIN para tener acceso único, apto para si te cogen el móvil o se pierde. La segunda opción es «Inicio de sesión en el extranjero», si la activas debes verificar tu identidad, mientras la última es verificar cada inicio de sesión, si la activas te pedirá el correo y tu contraseña cada vez que cierres y abras la aplicación.

Configuración: La ubicación de descarga predetermina es perfecta por elegir la carpeta de destino, deja esta opción tal como viene por defecto. Las demás opciones es también bueno que no se lleguen a tocar, sobre todo para trabajar con una conexión WiFi y no sobrecargar los datos de tu operador.

Comentarios de clientes: Aquí contarás con «Centro de ayuda», Retroalimentación y propuestas, por último «Estímulo Dubox», dejando tu comentario de la aplicación en la Play Store.

Papelera de reciclaje: Todo lo eliminado pasará a una papelera, su eliminación procederá a eliminarse automáticamente en 10 días. Puede restaurarse si es un elemento importante.

Computadora: Te muestra la dirección del servicio en la nube mediante la página web. Podemos usarla si estamos en un PC, todo ello de una manera sincronizada.

Son muchos los servicios y herramientas que tenemos a nuestra disposición cuando se trata de aprovechar las plataformas online y los dispositivos que utilizamos. A la hora de navegar por Internet, en muchas ocasiones resulta necesario obtener ciertos datos e información. Podemos hacer uso de lo que se conoce como web Scraping. En este artículo vamos a explicar en qué consiste y daremos también algunas opciones para ello.

Qué es web Scraping

Con web Scraping, o también conocido como raspado web, nos referimos al método a través del cual podemos extraer información de sitios web. Para ello se utiliza software que incluso puede simular la navegación normal de un usuario, pero automatizando el proceso.

Podemos relacionado el web Scraping con la indexación de un sitio web en los buscadores. Ahora bien, en este caso se centra más en la transformación de datos sin estructura en la web (por ejemplo el formato HTML) en datos estructurados que se pueden almacenar y analizar en una base de datos o una hoja de cálculo.

Para el tema del posicionamiento web ha sido muy utilizada esta técnica en los últimos años. Sirve también para comparar precios en tiendas online, monitorización de datos, etc. Muchos usuarios se basan en esta característica para crear contenido de calidad.

En definitiva, el web Scraping podemos decir que consiste en extraer información de una página web. Algo que podemos hacerlo a nivel de usuario, de forma manual, pero que también podemos utilizar programas informáticos para ello.

Programas web Scraping para extraer información

Vamos a ver algunos programas gratuitos que podemos utilizar para recopilar información de una página web.

Parsehub

Una de las herramientas que tenemos a nuestra disposición es la de Parsehub. Es una aplicación de escritorio que permite conectarse a cualquier sitio web del que queremos extraer datos. Tiene una interfaz cuidada y además es sencillo de utilizar. Podemos exportar los datos en diferentes formatos como JSON, CSV o Excel.

Lo primero que tenemos que hacer para comenzar utilizar Parsehub es descargarlo de su web. Veremos que está disponible para Windows, Linux y macOS. Una vez lo tengamos bajado el siguiente paso será instalarlo. Una vez lo ejecutemos nos pedirá crearnos una cuenta.

Cuando lo abramos nos aparecerá una ventana como la que vemos en la imagen de arriba. Posteriormente tendremos que crear un nuevo proyecto y escribimos la dirección de la que nos interesa extraer datos para que comience.

Scrapers

Otra opción que tenemos para recopilar información de un sitio web es Scrapers. Se trata en este caso de una herramienta web, también gratuita, que va a permitir llevar a cabo esta acción de una manera sencilla e intuitiva. Los datos extraídos los podemos exportar en JSON, HTML y CSV.

Cuando entremos en su web veremos que es necesario registrarse para utilizar el servicio. A partir de ahí tendremos que crear un nuevo Scraper, poner los datos necesarios y darle a comenzar. Empezará a recopilar información de ese sitio.

Scrapingdog

Una alternativa similar a la anterior es Scrapingdog. Podemos probar su versión de prueba gratuita. Tendremos que registrarnos, una vez más. Para un uso básico esta versión gratuita será suficiente. También cuenta con una de pago para acceder a través de un proxy y poder extraer datos de sitios más complejos.

Como en los casos anteriores tendremos que poner la URL que nos interesa y comenzar a extraer información de ese sitio.

Dexi.io

Dexi cuenta con una interfaz simple que nos permite extraer datos en tiempo real de cualquier página web utilizando su tecnología de aprendizaje automático incorporada. Permite extraer tanto textos como imágenes. Se basa en una solución en la nube y permite exportar datos extraídos a plataformas como Google Sheets, Amazon S3 y otras similares.

Más allá de extraer datos, con Dexi también podemos monitorizar en tiempo real. Cuenta con herramientas para mantenernos actualizados sobre todos los cambios que pueda haber en un sitio en concreto. Una manera de tener un mayor conocimiento también sobre la competencia, en caso de tener una página para vender productos online, por ejemplo. Tiene opción gratuita para un uso básico, pero también cuenta con otras de pago.

En definitiva, estas son algunas opciones que tenemos para realizar web Scraping. Hemos visto algunos programas sencillos y que pueden ser de utilidad para quienes necesiten extraer información de sitios web.

El artículo Conoce estos programas web Scraping para sacar información de cualquier sitio se publicó en RedesZone.

Un malware llamado Silver Sparrow ha infectado casi 30.000 equipos Mac de Apple con macOS, afectando incluso a equipos con el nuevo chip M1 de Apple silicon. El dato ha sido descubierto por los investigadores de seguridad de Red Canary, que han trabajado posteriormente en analizar el problema con otros de Malwarebytes y VMWare Carbon Black.

La incidencia de esos 29.139 casos está muy repartida, pues Silver Sparrow afectaba a equipos de 153 países hasta el pasado 17 de febrero. La actividad más intensa del malware se ha ubicado en Estados Unidos, Reino Unido, Canadá, Francia y Alemania, según la investigación. No es casualidad que en varios de estos países la cuota de mercado de equipos de Apple sea más alta que la media.

No está clara la causa de la infección

Los investigadores han estado monitorizando el efecto del malware, sin llegar a ver sus efectos últimos mientras lo analizaban. Es decir, han podido acceder a equipos infectados, pero el malware solamente esperaba a recibir órdenes externas en forma de comandos, que nunca llegaron durante el proceso en que han atendido a su incidencia.

Aun así, Red Canary advierte de que eso no quiere decir que Silver Sparrow no suponga una amenaza ante su falta de actividad observada, pues esto podría tratarse incluso de un mecanismo ejecutado ante la detección de herramientas de detección de investigadores. El mayor problema, ahora mismo, más allá de desconocer su posible manifestación futura, es que tampoco se sabe cómo Silver Sparrow está infectando tantos equipos.

En la investigación se menciona que el malware podría llegar con aplicaciones crackeadas, en publicidad maliciosa o en actualizadores de Flash falsos, que incluso tras el adiós de Flash sigue siendo una de las vías de "contagio" más activas en macOS. Como siempre, muchas de estas instalaciones se producen tras sobrepasar la seguridad de Gatekeeper en 'Preferencias del sistema'.

Vía | ZDNet

-
La noticia Casi 30.000 Mac se han infectado con el malware Silver Sparrow, y los investigadores no saben exactamente cómo fue publicada originalmente en Genbeta por Antonio Sabán .

Si llevas años en el mundo de los servidores NAS, estamos seguros que conoces el sistema operativo FreeNAS, uno de los mejores sistemas operativos con todos los servicios necesarios para exprimir al máximo el hardware de tu servidor. Aunque existen fabricantes muy buenos y conocidos como QNAP, Synology o ASUSTOR, si quieres montarte tu propio NAS con el hardware que quieras, es muy recomendable contar con TrueNAS CORE (el nuevo nombre de FreeNAS) para montártelo por tu cuenta. ¿Quieres conocerlo todo sobre este sistema operativo orientado a NAS y cómo configurarlo desde cero?

En RedesZone os vamos a ofrecer una completa guía para configurar el servidor NAS desde cero, podrás ver configuraciones específicas de cómo tener el almacenamiento, cómo configurar TrueNAS CORE en una máquina virtual para realizar las pruebas, cómo configurar la red, los principales servicios como Samba, FTP, DLNA, SSH o BitTorrent, e incluso os enseñaremos cómo configurar un servidor OpenVPN en el servidor NAS. Uno de los aspectos más interesantes de TrueNAS CORE, es que está basado en FreeBSD, por tanto, podremos hacer uso del sistema de archivos ZFS, uno de los más avanzados y que nos aportarán la mejor integridad de datos posible.

Índice de contenidos:

• Principales características
• Instalación y puesta en marcha
• Opciones generales del sistema operativo
• Configuración del almacenamiento con ZFS
• Configuración de usuarios y grupos
• Configuración del servidor Samba
• Configuración del servidor FTP
• Configuración del servidor DLNA con Plex Media Server
• Configuración del servidor SSH
• Configuración del servidor OpenVPN

Principales características

TrueNAS CORE es el nuevo nombre del popular sistema operativo orientado a NAS FreeNAS, un sistema operativo que está orientado específicamente para funcionar como un servidor NAS profesional de alto rendimiento. Este sistema operativo se puede instalar en cualquier plataforma x64 gracias a que el sistema operativo base es FreeBSD en su versión 12. TrueNAS incorpora una compatibilidad con una gran cantidad de hardware, ya sea placas base y tarjetas de red, que son los dos dispositivos que más problemas pueden dar. Las siglas de NAS significan «almacenamiento conectado en red», y TrueNAS facilita enormemente la utilización y la configuración de todos los servicios que debe tener un servidor NAS, como el servidor Samba, FTP, NFS, el almacenamiento con RAID, el acceso remoto vía OpenVPN y mucho más.

La característica más importante de TrueNAS CORE es la incorporación del sistema de archivos ZFS (OpenZFS), uno de los sistemas de archivos más avanzados, completos y rápidos que existen actualmente, gracias a ZFS, tendremos la mejor integridad posible en nuestros datos, además, podremos configurar diferentes niveles de RAID-Z para proteger la información de un posible problema de hardware en los discos. Por supuesto, podremos configurar el disco cifrado con AES-XTS, configurar el SMART para ver y detectar errores en el disco y estar advertidos de que existe un problema, y también podremos configurar reportes por email bajo demanda o cuando suceda algún evento.

TrueNAS Core incorpora una gran cantidad de servicios para exprimir al máximo el hardware del servidor, concretamente, tendremos los siguientes servicios:

• Directorio Activo
• LDAP
• NIS
• Kerberos
• AFP
• iSCSI
• NFS
• WebDAV
• CIFS/SMB (Samba)
• FTP (Proftpd)
• Servidor DNS Dinámico
• Cliente OpenVPN
• Servidor OpenVPN
• Rsync
• S3
• SNMP

Otras características extras de este sistema operativo, son las siguientes:

• Plugins: podremos instalar una gran cantidad de software adicional de forma fácil y rápida
• Jails: podremos crear jails para almacenar los diferentes plugins de forma segura y aislada del sistema operativo
• Máquinas virtuales para instalar cualquier SO
• Cliente BitTorrent con Transmission
• Acceso a la consola para línea de comandos

También nos gustaría destacar que TrueNAS CORE permite la instalación de una gran cantidad de plugins de forma casi automática, no obstante, siempre vamos a poder instalar cualquier software de manera manual a través de SSH o por consola.

En cuanto al desarrollo de este sistema operativo y sus actualizaciones, uno de los principales aspectos que valoramos en RedesZone son las actualizaciones. En el caso de este sistema operativo, el proyecto está más vivo que nunca con el nuevo cambio de nombre, y gracias a la empresa IxSystems que es la que está detrás del desarrollo del sistema operativo. Por supuesto, debemos tener en cuenta que este SO está basado en FreeBSD, por tanto, todas las novedades y parches de seguridad incorporados en FreeBSD, también los tendremos en TrueNAS.

Instalación y puesta en marcha

Lo primero que tenemos que hacer es meternos en la web oficial de TrueNAS Core, e irnos a la sección de descargas. En este menú nos descargaremos una única imagen ISO para equipos x64 que nos permitirá instalarlo fácilmente vía DVD o USB booteable, un detalle muy importante son los requisitos recomendados de hardware, ya que es recomendable tener 8GB de memoria RAM como mínimo, ya que tendremos una gran cantidad de servicios funcionando, y el propio sistema de archivos ZFS consume mucha RAM si usamos deduplicación.

Una vez que lo hayamos descargado, podremos copiarlo a un DVD o a un USB booteable que será lo más normal, posteriormente ya solo faltaría arrancarlo y proceder con el asistente de configuración que tenemos disponible.

En RedesZone vamos a usar una máquina virtual con VMware donde añadiremos un total de 6 discos virtuales, para enseñaros cómo se configura el ZFS con diferentes discos. Abrimos el VMware o cualquier otro programa de virtualización como VirtualBox.

En el asistente de configuración de la máquina virtual, vamos a elegir la imagen ISO recién descargada, le damos un nombre a la máquina virtual, indicamos el tamaño del primer disco donde estará el sistema operativo (podemos poner 100GB, por ejemplo). Una vez que terminemos el asistente, es recomendable ajustar los parámetros de hardware, lo primero que debemos hacer es poner 8GB de memoria RAM, también sería recomendable poner varios núcleos de procesador para que funcione más rápido, y, por último, pondremos un total de 6 discos de 1TB de capacidad (virtual)

Cuando ya tengamos todo configurado, procedemos a arrancar el sistema operativo, y podremos ver el logo de TrueNAS y diferentes opciones, aquí no tenemos que tocar absolutamente nada, dejamos pasar unos segundos y arrancará automáticamente para proceder con la instalación del sistema operativo.

Cuando se inicie el asistente de configuración, debemos elegir la opción de «Install / Upgrade», y elegir el primer disco duro que hemos añadido a la máquina virtual, el de 100GB de capacidad que tenemos de forma predeterminada. Nos preguntará que, si queremos proceder con la instalación, todos los datos se borrarán, a continuación, tendremos que poner una contraseña de root para acceder al asistente, pero también podremos no ponerla. Una vez que lo hayamos configurado, debemos elegir si tenemos UEFI o BIOS, en nuestro caso elegimos BIOS, pero esto depende de la placa de cada servidor. Por último, nos preguntará si deseamos crear una partición de 16GB para swap en el dispositivo de arranque.

Una vez que esté instalado todo, nos indicará que ha terminado la instalación, y que reiniciemos el servidor. Pulsamos en OK, y salimos del menú de TrueNAS y procedemos a reiniciar el equipo normalmente. Una vez reiniciado, nos saldrá un listo de opciones de configuración básicas, pero también nos saldrán las direcciones IP para acceder a la administración vía web del sistema operativo, tanto con el protocolo HTTP (no seguro) como también el protocolo HTTPS (seguro).

En este menú básico por consola, podremos configurar la interfaz de red, la dirección IP, el Link Aggregation, si tenemos VLANs, la ruta por defecto, crear rutas estáticas, configurar los DNS, resetear la clave de root, resetear la configuración completa a valores de fábrica, ejecutar la consola para introducir comandos, reiniciar el servidor y también apagar el servidor NAS.

Una vez que ya tenemos instalado el sistema operativo, vamos a ver todas las opciones disponibles.

Opciones generales del sistema operativo

Cuando introducimos en nuestro navegador la URL de acceso al sistema operativo, tendremos que introducir el usuario y contraseña, el usuario es «root» y la contraseña la que nosotros hayamos fijado en el asistente de configuración.

Una vez dentro, podremos ver diferentes menús de configuración y de visualización de los diferentes parámetros. Por ejemplo, tendremos acceso a la información del sistema operativo, las características y el estado de la CPU, RAM y también de la interfaz de red. No obstante, cuando configuremos el almacenamiento también lo podremos ver, para administrarlo correctamente.

Principal

En el menú principal del sistema operativo podremos conectarnos a TrueCommand Cloud para monitorizar y administrar el NAS desde la nube, esto es algo opcional bastante interesante. En la parte superior derecha podremos ver el estado de todos los procesos y si está todo funcionando correctamente, las alertas que tengamos, menús para cambiar la contraseña, preferencias y las claves API, también podremos cerrar sesión, reiniciar el servidor NAS e incluso apagarlo fácilmente.

Cuentas

En la sección de «Accounts» podremos crear los diferentes usuarios y grupos, asignando diferentes grupos a un mismo usuario y, por supuesto, aplicarle diferentes permisos de acceso.

Sistema

En la sección de «Sistema» podremos configurar la interfaz gráfica de usuario con diferentes perfiles, también podremos cambiar el puerto de administración, los protocolos TLS a utilizar, el idioma de la interfaz gráfica de usuario y mucho más. Un detalle importante, es que, aunque tengamos el idioma en español, la traducción no está completa, por lo que veremos muchos menús y opciones de configuración en inglés.

En esta sección podremos configurar los servidores NTP, el arranque del sistema, opciones de acceso por consola y GUI y otros parámetros avanzados, configurar el servidor SMTP para el email, configurar el dataset del sistema (primero tenemos que crearlo), el reporting que tenemos, las configuraciones de alertas, las credenciales Cloud, las conexiones SSH, las claves SSH, e incluso las variables internas (Tuneables), por último, también tendremos una opción de «Actualización». A diferencia de otros sistemas operativos para NAS, la actualización de TrueNAS CORE es realmente fácil y rápida, además, podremos realizar una actualización manual.

Por último, también podremos configurar y crear nuevas CA (Autoridad de Certificación), los certificados digitales para el servidor/cliente VPN, configurar los DNS de ACME, acceso al soporte y también a la autenticación en dos factores que tenemos disponible.

Tareas

En la sección de «Tareas» es donde podremos programar el servidor NAS para realizar diferentes tareas programadas, podremos configurar trabajos en el Cron, podremos configurar scripts en el inicio y apagado del sistema, tareas a través de Rsync para sincronizar carpetas y archivos, tests programados de SMART para comprobar la salud de los discos, tareas para realizar snapshots de ZFS de manera periódica, las tareas de replicación y resilvering, asimismo también podremos programar tareas de scrubbing y tareas de sincronización Cloud.

Todas las tareas repetitivas las tendremos en este menú, con el objetivo de automatizar al máximo el servidor NAS.

Red

En la sección de «Red» es donde podremos configurar las diferentes interfaces de red, si es que tenemos varias, también podremos ver la ruta predeterminada y los DNS. También podremos configurar los DNS que nosotros queramos, e incluso configurar la puerta de enlace predeterminada. Por supuesto, si tenemos varias interfaces de red podremos hacer un Link Aggregation fácilmente, ajustar el MTU, y otras opciones avanzadas a nivel de red.

Almacenamiento

La parte de almacenamiento es la más importante de los servidores NAS, en esta ocasión tenemos el sistema de archivos ZFS (OpenZFS) con la última versión. Podremos crear diferentes vdev configurados como stripe, mirror, y diferentes niveles de RAID-Z, e incluso podremos configurar diferentes discos como caché para acelerar la lectura y escritura de los datos. Otras opciones que tenemos disponibles son la posibilidad de crear todos los pools que queramos, y todos los dataset en un determinado pool. Por último, no debemos olvidar que una de las opciones más interesantes de ZFS es la compresión en tiempo real, la deduplicación para ahorrar mucho espacio de almacenamiento (consume muchísima RAM), y también todas las opciones ACL disponibles y los Snapshots para protegernos de ataques de ransomware. Por último, también tendremos la posibilidad de configurar los discos cifrados, de esta forma, todos nuestros datos estarán encriptados.

En RedesZone os vamos a ofrecer un completo tutorial (más abajo) de cómo configurar el almacenamiento.

Directory Services

En la sección de servicios de directorio, podremos configurar el Active Directory si tenemos una red Windows, también podremos configurar el LDAP, NIS y Kerberos.

Sharing

En la sección de «Sharing» es donde podremos configurar en detalle los diferentes protocolos para compartir archivos y carpetas en red local, tenemos AFP, iSCSI, NFS, WebDAV y también SAMBA, ideal para entornos Windows.

Sin embargo, en esta sección no encontramos algo tan importante como el servidor FTP, esto se encuentra en «Servicios».

Servicios

En la sección de «Servicios» es donde vamos a poder activar o desactivar los diferentes servicios, y también configurar si queremos que se inicien junto con el servidor NAS. Por supuesto, si pinchamos en el lápiz de la derecha, accederemos directamente a su configuración. En esta sección podremos encontrar todos y cada uno de los servicios del NAS, como los de compartir archivos en red local e Internet, OpenVPN tanto cliente como servidor, el SMART, Rsync y mucho más.

Plugins y jails

Uno de los aspectos que más nos gusta de TrueNAS es la posibilidad de instalar plugins para aumentar las funcionalidades del equipo. ¿Quieres instalar un Nextcloud o un Plex Media Server? Podrás hacerlo de manera muy fácil y rápida, simplemente tienes que pinchar en el icono del plugin, seleccionar un pool donde instalar todo el software en un jail, y seguir el asistente de configuración.

Respecto a los jails, debemos recordar que FreeBSD hace uso de esto para almacenar el software compartimentado y que no influya en el resto del sistema operativo, es una implementación de virtualización a nivel de sistema operativo, como por ejemplo el popular Docker, pero es nativo de FreeBSD.

Reporting, Máquinas Virtuales, Procesos, Consola y Guía oficial

Otros menús que tenemos en este sistema operativo es la parte de Reporting donde veremos el estado de la CPU y RAM en detalle, la sección de máquinas virtuales, donde podremos instalar VM con sistemas operativos completos como Windows, posibilidad de ver los procesos de TrueNAS, y también acceder a la consola vía web del sistema y un enlace a la guía oficial de configuración de este sistema operativo.

Hasta aquí hemos llegado con nuestro repaso a los principales menús de TrueNAS, ahora vamos a configurar el almacenamiento y diferentes servicios.

Configuración del almacenamiento con ZFS

El sistema de archivos ZFS es uno de nuestros favoritos para los servidores NAS, está diseñado para proporcionarnos la mejor integridad de datos posible, y también un gran rendimiento y eficiencia, ya que tenemos compresión en tiempo real y deduplicación, por lo que ahorraremos un gran espacio de almacenamiento en nuestros discos. Otras características son que podremos crear múltiples pools y dataset, e incluso instantáneas de forma nativa, no como otros sistemas de archivos que se hace vía software, aquí en ZFS son nativas gracias a su esquema «Copy on Write».

Para configurar el almacenamiento, lo primero que tenemos que hacer es irnos a la sección de «Storage / Disks», y aquí veremos todos los discos que tenemos actualmente en el servidor. Lógicamente, nosotros vamos a usar todos los discos de 1000GB, ya que el disco de 100GB es el que se utiliza para el sistema operativo. Si desplegamos la información de los discos, podremos ver el tipo de disco, fabricante, el estado del SMART y otras opciones típicas. También podremos ejecutar un test anual, ver los resultados del SMART y también formatear los discos si es que tenían información.

Una vez que nos hayamos asegurado de que todos los discos los ha reconocido correctamente, vamos a crear los «pools» con los discos en diferentes configuraciones.

ZFS – Pools

En la sección de «Storage / Pools» pinchamos en «Add» y nos saldrá un pequeño asistente de configuración. En el siguiente menú tendremos que pinchar en «Create new pool» que es la opción predeterminada, ahora pinchamos en el botón «Create Pool» y nos saldrá el nombre del pool a crear, y también si queremos crearlo cifrado (encriptado), ideal para proteger toda la información interna.

Una vez que hayamos puesto un nombre, y si queremos o no que todo el pool esté cifrado, llega el momento de elegir uno o varios discos que tenemos disponibles.

Muchos de los correos electrónicos que recibes diariamente contienen una tecnología de rastreo que avisa a su emisor si abres el email, e incluso desde qué dispositivo. Expertos en privacidad advierten a la BBC que esta información que se recopila es similar a una cookie por lo que la RGPD debería aplicarse.