La finalidad de estos emails básicamente son tres.

1. Instalar algún malware en nuestro PC, móvil, etc mediante un archivo adjunto (al abrirlo) o pulsando en algún link que nos lleva a ese malware.
2. Igualmente mediante algún link llevarnos a una web falsa donde con más engaños demos voluntariamente nuestros datos (sobre todo contraseñas).
3. Una vez que tienen ya nuestros datos los pueden aprovechar con multiples finalidades como cargos bancarios, chantajes, robo de datos, encriptación de datos, hacerse con nuestra agenda de contactos y suplantar nuestra identidad, en fin hay muchisimas posiblidades y ninguna buena.

Hay algunas variantes de estos emails que simulan que nos han hackeado nuestro email y como prueba de ello indican que nos están escribiendo desde nuestra propia cuenta de correo. Esto es un truco llamado SPOOFING que cualquiera puede hacer desde su casa. Y en otros casos tan solo te envian por ejemplo el “justificante de pago de la factura pendiente”, la “solicitud de presupuesto” y claro ¿qué empresa no está pendiente de le abonen alguna factura o  que le pidan presupuesto?, lógicamente ese ese archivo adjunto suele ser un malware camuflado como archivo .zip, .rar,etc

Han pasado varias cosas como que hackearon servicios como hotmail, yahoo, gmail, facebook, linkdin y otros grandes servicios robando millones de contraseñas y casi nadie lo ha admitido o avisado para que hagamos cambios de contraseñas y las pongamos más fuertes. Con los datos robados están cruzando información y tratando de hacernos perfiles (saber cual es nuestro banco,clientes,amigos,redes,hobbies,etc) para que estos engaños sean hechos a nuestra medida y sea más fácil engañarnos.

Por otro lado y esto también es una novedad se están centrando y especializando en ataques por países (antes lanzaban estos emails falsos de forma aleatoria,masiva y global) y nosotros (España) durante años hemos pasado algo desapercibidos pero ahora estamos en el punto de mira (antes solo estaban interesados en países de habla inglesa) y además con toda probabilidad cuentan con colaboración de Españoles en estas redes de estafa.

En fin lamentablemente a día de hoy ningún filtros antispam/antiphising  son capaces de diferenciar estos emails falsos de los reales ya que están muy bien hechos y además cumplen con todos los requisitos técnicos lo que hace que muchos logren pasar esos filtros de seguidad sin ningún problema.

Nuestra recomendación es sentido común, no abrir adjuntos dudosos y ante la duda, la norma básica es tratar de contactar con el remitente por otros medios que no sea el email para comprobar su veracidad.

La entrada Recepción de emails falsos se publicó primero en Diseñador web.

Aunque exiten una serie de recomendaciones muy claras a la hora de hacer una compra, como son, comprobar que hay un comercio real tras esa tienda online, que los datos de ese comercio y el vendedor están bien claros, que la tienda cuente con algún certificado de seguridad que otorgue el famoso candadito del navegar y el protocolo “https”, y sobre todo el sentido común de que los super chollazos no existen.

Como quizàs para bastantes personas es complicado ser capaz de discernir entre todos esos factores, la Asociación Confianza Online, lanzó su sello hace años para que sencillamente al verlo se diera la suficiente confianza entre comprador-vendedor para poder realizar la una compra con tranquilidad y garantías.

Personalmente como experto en comercio online (gestiono varias tiendas online, y he creado más de treinta para clientes) me parece una buena idea el sello de confianza online, porque además está respaldado por una campaña de publicidad en diversos medios donde dejan muy claro que el sello es una garantía de comercio fiable y legal.

Para obtener el sello de confianza online, basta con solicitarlo en su web, rellenar un formulario, pagar la cuota, y después pasar una auditoría en la que te indicarán que cambios debes hacer en tu tienda online para que te concedan el sello.

El gran inconveniente que encuentro desde el punto de vista de una tienda online de pyme, es que además de pagar una cuota anual de 295€ por poder mostrar el sello, hay que sumar el coste de adecuar la tienda a todas las exigencias para obtener este sello como son, adaptación a la ley de protección de datos y la de comercio electrónico, modificaciones en diseño y contenido, y posiblemente adquirir algún certificado SSL para la encriptación de datos. En resumen, que para una tienda que esté comenzando, obtener este sello con las exigencias que conlleva, le puede suponer una inversión extra cercana a los mil euros.

Por otra parte, junto con el sello, como punto fuerte del servicio, se incluye la tramitación de hasta 15 reclamaciones por parte de compradores, algo que para una pyme de buena voluntad con sus clientes, nunca he visto que haya sido necesario tener que llegar a un tribunal de arbitraje y consumo, que por cierto, la gestión que hace la Asociación de Confianza online, es trasladar la reclamación a un tribunal local de consumo, ellos no intervienen activamente en el proceso.

Yo quiero pensar, que el pequeño comercio, aún con un mínimo presupuesto pueda llegar a competir cara a cara con grandes marcas en internet, pero este sello, creo que está erróneamente orientado a grandes empresas, y no se ha pensado nada en que la inmensa mayoría de tiendas online corresponden a pymes, a las que les resulta en estos tiempos un gran esfuerzo pagar anualmente por el hosting de su web, por la pasarela de pago de su banco, asumir parte de los gastos de envio para ser competitivos, o comisiones abusivas por parte de bancos,paypal,etc y además ahora añadir una cuota elevada por mostrar este sello.

Sí realmente la Asociación de Confianza online, quieren ayudar a potenciar el comercio electrónico en España, dentro de su rango de tarifas (de 295€ a 3500€), debían incluir unos tramos inferiores en función de visitas, ventas, antiguedad,etc, para que a pequeñas tiendas online no les suponga un gran esfuerzo, y que por ello además les anime a cumplir con el resto de leyes.

En mi opinión, y mirando siempre por los intereses de mis clientes, solo a unos pocos se lo he recomendado, pero sin insistencia. Porque la mejor alternativa al sello de confianza online, es que tú mismo, generes esa confianza en tu tienda online, dejando de forma clara y sencilla, quién eres, dónde estás y que cumples con todas las leyes de comercio electrónico y protección de datos. E incluso, yendo un poco más allá, sí les recomiendo habitualmente poner un certificado SSL en su web(el candadito del navegador), cuyos costes son muy inferiores al sello de confiza online y es lo primero que se aprende en cuanto a seguridad, en cualquier cursillo de internet.

La entrada Sello Confianza Online, ¿Lo contratamos? se publicó primero en Diseñador web.

Pero por desgracia, como suele pasar, la información recopilada, también se puede utilizar para un mal uso. Todos sabemos que nuestros programas, aplicaciones,etc… raro es el día  que no nos están solicitando actualizaciones. Pues en las páginas web, también son necesarias esas actualizaciones de seguridad, pero el problema es que no suele ser tan sencillo como darle a un botón, y tampoco nos avisan cuando es necesario. Las webs son más complicadas y por norma general el webmasters es el responsable de esa tarea, ¿pero todos tenéis los conocimientos o un webmaster que vele por la plena seguridad de vuestra web?, estimo que la respuesta en un 80% es NO.

Un crawler maligno, recopilará información y se la comunicará a su propietario de esta manera más o menos…

Ejemplo 1: La página web www.tupagina.com tiene un formulario de contacto, con funciones de programación antiguas, que tenían agujeros de seguridad y se puede usar para enviar spam a terceros, mediante spambots.
Ejemplo 2: La página web www.tutienda.com es una tienda online basada en el sistema ZenCart, en su versión 1.0 y en esa versión hay una vulnerabilidad en su base de datos que permite robar datos de tarjetas.
Ejemplo 3: La página web www.tublog.com es un blog basado en el sistema WordPress, en su versión 1.1.2 y en esa versión hay un fallo que permite mediante un formulario donde se adjuntan archivos, subir un malware (virus, gusanos, troyanos, rootkits, scareware, spyware, adware intrusivo, crimeware) al servidor y contagiar a todo aquel que entre en tu blog.
Ejemplo 4: La página web www.tuotrapaginaweb.com es una web muy bien hecha pero está alojada en un servidor gratuito, cutre o muy barato, que presenta multiples fallos de seguirdad y permite entre otras muchas cosas la reescritura de archivos, por lo que se puede sustituir la página completamente por otra que se quiera (porno,falsas apuestas, timos bancarios,etc…).

Existen muchos ejemplos más, pero la cuestión es que un crawler maligno, no descansa y recopila y envia a su dueño (casi siempre un hacker profesional, no ocasional) información de miles de páginas continuamente, el cual ya tiene otros programas prepados para cada tipo de vulnerabilidad detectada, y con un click puede lanzar un ataque y manipular miles de páginas en unas horas, y de esas miles, en muchas no pasará nada porque un buen hosting/servidor  será capaz de bloquear ese ataque, otra tanta cantidad será infectada pero el websmaster será avisado y en cuestión de horas solucionará el problema(al menos de momento), pero una cantidad significativa quedará infectada durante bastante tiempo (semanas y meses) sin que nadie se percate y haga algo, y podrá ser usada como cualquiera de los ejemplos anteriores.

¿Cómo prevenir estos ataques?

Para estos ataques automatizados, existen una serie de medidas que son recomendables de tomar y que a continuación indicaré, aunque para un ataque organizado en el que uno o varios hackers ponen el punto de mira y todos sus conocimentos en una única web, me temo, que es solo cuestión de tiempo hasta que puedan  acceder y manipular algo, y digo algo ya que no siempre obtienen un control total.

Recomendaciones de Seguridad en páginas eb.

1. Como norma general usar en nuestra web navegación mediante  https (servidor seguro), sobre todo si la web gestiona datos muy delicados(tarjetas de crédito, salud,legales,etc.). Esto garantiza que todo la información que se mueve en la web, viaja de forma segura (encriptada). Para esto es necesario que el servidor permita esta navegación, y además contratar un certificado SLL, cuyo precio puede oscilar de 60€ a 300€/año (hay para todos los gustos).

2. Todas las zonas de acceso privado o gestión, lógicamente deben estar protegidas por usuario y contraseña. Pero es contraseña, en caso de PHP debería al menos estar encriptada con el algoritmo MD5.

3. Cuando la web cuente con un área de administración  , hay una mala costumbre de llamar “admin” , “login”, “acceso”,”access” al  directorio donde se alojan los archivos de esa zona de administración tan sensible. Esto es poner un flecha de indicación, señalando donde está la puerta trasera de la web. Por eso se recomienda:
 
– Llamar a ese directorio con nombres y números que no tengan que ver con los anteriores.
– Si es posible desde el CPANEL (u otro panel del servidor) proteger por contraseña ese directorio.
– Bloquear el acceso a ese directorio a los Crawlers mediante una instrucción /Disallow/en el archivo robots.txt. (aunque esto es parcialmente efectivo)

4.Todas las webs que contengan formularios para envio de información, son susceptibles de ser usados para el envio de spam a terceros.  Para evitar esto:

– Utilizar funciones de programación que  revisan el contenido enviado o guardado mediante  post, get, files y cookie,y busquen cadenas de texto sospecho y lo bloqueen.

– Incorporar un sistema captcha que hará diferenciar el envio de información entre un humano y un programa (spambots).

– Si un formulario permite adjuntar archivos o subirlos al servidor, habría que implententar otra función de programación, que revise las extensiones de los archivos permitiendo solo las inofensivas. Con esto se evita la instalación de malware en el servidor.

Con esto y un servicio de hosting medio decente la web estaría protegida para ataques automátizados.
Si  algún lector conoce alguna media más, que la idenque en los comentarios, será muy bienvenida.

La entrada Seguridad en Páginas Web se publicó primero en Diseñador web.

Para cualquier negocio o profesional, tener presencia en internet, es indiscutible. Ahora bien, según el tipo de profesional, negocio, proyecto y cómo no, ¡el presupuesto!, hay diversos tipos de web para cada necesidad, y a continuación voy a tratar de simplificar cada una de ellas.

1.Webs Básicas. La página web para emprendedores o pequeñas empresas locales con escasos recursos.

Este tipo de web, se trata sencillamente, de un sitio web compuesto las secciónes básicas (quienes somos, servicios, contacto,etc), con el logo, descripción de servicios y datos de contacto. A los fines, es como si tuvieras tu tarjeta de visita en  internet.

Con esta web, además de ser la forma más económica de estar en internet , a nivel de imagen, en tus tarjetas, publicidad,papelería, etc… podrás incluir el dominio de tu web (www.tuempresa.com), y tendrás emails con dominio propio (tunombre@tuempresa.com). En resumen es que el profesional que tiene web propia, trasmite seriedad y profesionalidad. Y a la vez, aumentas las posibilidades de que te contacten mediante tu web.

Y si el día de mañana creces profesionalmente, tu mini web, puede y debe crecer también a  cualquiera de los siguientes tipos.

2.Web Corporativa/Estándar/Profesional. Una web exclusiva y a medida.

Este tipo de web, lo indicaría más para pymes y empresas, con una cierta proyección, que deben mostrar  bastante información, bien presentada y con un diseño diferenciador.

Se podría decir que este es el tipo de web más extendido, y de ahí que se conozca como web corporativa, web estándar o web profesional. Esta web se centra en la trayectoria de la empresa, sus servicios, sus trabajos realizados,sus productos, sus clientes, etc…

Esta web no busca publicidad, si no la comunicación, es decir, que la gente que la visite conozca las bondades de la empresa y adquiera confianza y buena imagen de ella.

El precio de una web así, solo se puede dar bajo presupuesto, ya que puede ser muy sencilla  o puede incluir muchos extras como descarga de catálagos, galerías de fotos o vídeos, conexión a redes sociales, ser autogestionable,etc… y costar de 500€ a 1500€ habitualmente.

3.Tienda Online. Negocio y web corporativa en uno.

Para todos aquellos negocios que vendan productos, para mi esta es la solución ideal ya que además de tener una tienda online propia, dentro de esa tienda, disponen de secciones donde publicar información sobre su negocio físico, clientes, horarios,mapa de localización,etc… por lo que en este caso sí se cumple la doble finalidad de publicidad(venta) y comunicación.

Abrir una tienda online, es una forma muy económica de expandir tu negocio.

El comercio online, año a año va creciendo, y todavía hay parcelas sin ocupar, por lo que una pequeña tienda local tiene opciones de competir con grandes comercios.

Por supuesto, una tienda online, no es una garantía de éxito, ya que como en cualquier otro negocio,  el tipo de producto que vendas o su precio, será determinante para que te lo compren.

Aquí, el abanico de precios también es muy variable. Hace 10 años, una tienda online costaba entorno a los 10.000€ pero en los últimos años, con la aparición de sistemas de código abierto  los precios cayeron en picado.

4.El Blog. Forzado a ser una web comercial.

La naturaleza del blog es un sistema web, que permite crear y gestionar artículos de opinión, con opciones a que la gente los comente. El hecho de que en algunos casos como blogger,wordpres, blogspot,etc… ofrezcan gratuitamente su sistema de blog y alojamiento, ha hecho que muchos profesionales y empresas erróneamente conviertan un blog en su web comercial.

En un blog, predomina la palabra y el texto por encima de la imagen, y en una web comercial, como en cualquier otra plataforma de publicidad y comunicación todo el mundo sabe que lo más importante es la imagen. Aquí dejo dos ejemplos claros, ambos son rent a car (alquiler de coches), y el primero esta hecho y alojado gratuitamente con blogger, el segundo se trata de una web corporativa con diseño a medida.

Personalmente, yo veo al blog, como una gran herramienta de marketing online, que permite complementar a tu web profesional o tienda online. Ya que desde un blog propio (no gratuito) y debido a su fácil manejo, puedes ir más allá de tu web, compartiendo consejos con tus clientes, informando de novedades, respondiendo a sus dudas,etc… y esto ayudará a reforzar la imagen de tu empresa.

La entrada Tipos de páginas web. ¿Cuál me conviene? se publicó primero en Diseñador web.