Política de medidas Seguridad básica.es

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Seguridad Básica mide y publica todas las mediciones en torno a la seguridad en línea que son responsables de publicar, más información al respecto en la política de publicación. También utilizamos las consideraciones de nuestro código de conducta para determinar qué medidas se añaden.

Este artículo enumera qué mediciones se realizan en torno a qué técnicas. Una lista completa de éstas, con referencias, se encuentra bajo el título «visión general de todas las mediciones».

Esta política de medición está siempre en evolución y responde a nuevos desarrollos. Hay una serie de excepciones a esta política de medición; se describen en las excepciones a la política de medición.

Lee nuestra cláusula de exención de responsabilidad antes de utilizar los datos de medición. Si tienes alguna duda, ponte en contacto con info@internetcleanup.foundation.

Este artículo afirma:

• Información sobre la puntualidad de las mediciones
• Cómo se valoran las medidas con más rigor a lo largo del tiempo (hoja de ruta)
• Una visión general de todas las mediciones individuales
  • Incluye enlaces a documentación y herramientas de prueba

Puntualidad de las mediciones

Las mediciones se realizan de diarias a semanales, dependiendo de la complejidad e intensidad de las mismas. Una sola medición de inventario se realiza una vez cada seis meses porque es ruidosa, la medición repetida de ésta sí se realiza una vez a la semana.

Debido a la frecuencia de las mediciones, los datos de los informes no suelen tener más de una semana. Si lo son, entonces ocurre algo especial. Seguimos trabajando en la funcionalidad para que las mediciones con más de dos meses de antigüedad nunca aparezcan en los informes, y reducir esta duración a un mes como máximo.

Siempre puedes ver la antigüedad de una medición en el informe detallado. Esto se muestra en la parte inferior de cada medición. Así, en el ejemplo siguiente, puedes ver que la medición es la misma desde hace 22 días y que la última medición tuvo lugar hace 1 día.

Además, cada mapa muestra la calidad de los datos del mapa. Esa visión general muestra qué mediciones se toman y cuántas de ellas están actualizadas / obsoletas. En esta visión general, las mediciones con más de 7 días de antigüedad se consideran obsoletas. Esto también puede verse en el ejemplo siguiente.

La calidad de los datos está debajo de la bala de la esquina superior izquierda del mapa. Esta bola colorea en función de la calidad. Si es naranja o roja, algo va mal. Normalmente está en un punto verde. Si todo está actualizado, aquí hay un arco iris.

Hoja de ruta de las medidas de ajuste

Con el tiempo, habrá un seguimiento más estricto. Por ejemplo, algunos resultados son actualmente verdes o naranjas, pero pasarán a ser rojos en el futuro.

Una nueva lectura suele presentarse como naranja o verde para que la gente se acostumbre a ella y actúe antes de que se convierta en roja.

La hoja de ruta de esto todavía está fragmentada y no se ha establecido. Cuando se introducen medidas individuales, a menudo se hace alguna mención al respecto. Todavía se está recopilando esta información.

Resumen de todas las mediciones

Aquí tienes un resumen de todas las medidas, evaluaciones, documentación y herramientas para medirte. Cuando todas ellas se aplican correctamente, la organización se pone verde en el mapa.

Si una organización hace un seguimiento de sus servicios en línea y los reduce al mínimo, no es demasiado difícil llegar al naranja o incluso al verde.

Nombre de dominio seguro (DNSSEC)

• Finalidad: Proporcionar seguridad sobre el nombre de dominio y el contenido del sitio web
• Clasificación más pesada: Rojo
• Medido con: herramienta dnssec.pl
• Documentación: internet.es, OpenCRE, Wikipedia
• Comprobable en: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS en el sitio web (HTTPS)

• Objetivo: Aplicar la encriptación: que la visita a un sitio web sea confidencial y con integridad. Comprueba que la confianza está en orden y que no hay vulnerabilidades en la encriptación.
• Clasificación más pesada:Rojo
• Medido con: Qualys SSL Labs
• Documentación: Configuración TLS, Wikipedia, Ley de Gobierno Digital
• Para medir en: Laboratorios SSL

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Sitio sin encriptación (HTTPS)

• Finalidad: Aplicación de encriptación, igual que TLS en el Sitio Web
• Clasificación más pesada:Rojo
• Medido con: Escáner propio
• Documentación: Configuración TLS, Wikipedia, Ley de Gobierno Digital
• Para medir en: SSL Labs, internet.es

# level: endpoint
plain_http

Transferencia de archivos (FTP)

• Finalidad: aplicación de la encriptación
• Clasificación más pesada:Rojo
• Medido con: Escáner propio
• Documentación: Wikipedia
• Comprobable en, por ejemplo: ftptest.net

# level: endpoint
ftp

Información sobre la versión del software (Banners)

• Objetivo: eliminar la información sobre la versión porque sólo es útil para los atacantes
• Clasificación más pesada:Rojo
• Medido con: nmap
• Documentación: Wikipedia, nmap
• Busca: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Seguridad del correo electrónico (STARTTLS, DMARC, DKIM, SPF)

• Finalidad: Garantizar la integridad y confidencialidad del correo electrónico
• Clasificación más pesada:Rojo
• Medido por: internet.es
• Documentación: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Comprobable en: internet.es, dmarcian, mxtoolbox, entre otros

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Portales de acceso

• Finalidad: No proporcionar una funcionalidad global y pública destinada a un pequeño grupo de personas, especialmente para blindar la funcionalidad de administrador.
• Clasificación más pesada: Rojo
• Medido con: Núcleos
• Documentación: Wikipedia
• Para ser medido en o.a.: comprueba los enlaces en las conclusiones. ¿Hay aquí un portal de acceso? Entonces el hallazgo sigue siendo válido. Estos portales están en una página especial llamada Plaza de Inicio de Sesión.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Cookie de seguimiento sin consentimiento

• Finalidad: Las cookies de seguimiento nunca deben instalarse sin permiso. Al hacer esto transparente, los creadores de sitios web pueden eliminar estas cookies.
• Clasificación más pesada: Naranja, Rojo a partir de enero de 2024.
• Medido con: Escáner propio obv Dramaturgo
• Documentación: por determinar
• Se medirá en: tbd

Visión general de las galletas de seguimiento medido

A continuación medimos las galletas de seguimiento. Se trata de galletas seguidoras que el proveedor indica que se colocan con fines de marketing. Estas galletas seguidoras son, con diferencia, las galletas seguidoras colocadas con más frecuencia según nuestra encuesta de noviembre de 2023.

# level: endpoint
web_privacy_cookie_products_no_consent

Propietario de la dirección de Internet (WHOIS)

• Finalidad: Poner en orden la administración del dominio. Una persona ajena puede comprobar que el sitio pertenece a la organización correcta en el SIDN.
• Clasificación más pesada: Naranja
• Medido con: Escáner propio
• Documentación: SIDN, Wikipedia, OpenCRE
• Comprobable en: SIDN

# level: url
whois_domain_ownership

Conexión segura según los requisitos de NCSC-NL (TLS)

• Finalidad: Aplicación del cifrado, medición de los requisitos legales
• Clasificación más pesada:Naranja
• Medido por: internet.es
• Documentación: Ley, Interpretación de la ley, Requisitos técnicos
• Se medirá en, por ejemplo: internet.es

# level: endpoint
internet_nl_web_tls

Seguridad.txt

• Finalidad: Poder recibir notificaciones sobre vulnerabilidades online graves.
• Clasificación más pesada:Naranja
• Medido por: internet.es
• Documentación: internet.co.uk, Wikipedia, securitytxt.org
• Se medirá en, por ejemplo: internet.es

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Enrutamiento fiable del tráfico de Internet (RPKI)

• Objetivo: Garantizar que el tráfico de Internet pasa por el camino correcto
• Clasificación más pesada:Naranja
• Medido por: internet.es
• Documentación: Wikipedia
• Comprobable en: internet.co.uk, maduro

# level: endpoint
internet_nl_web_rpki_exists

Cabecera HSTS

• Finalidad: Imponer la encriptación en los sitios web mientras los navegadores no lo hagan
• Clasificación más pesada:Naranja
• Medido con: Escáner propio
• Documentación: MDN, Wikipedia, Ley de Gobierno Digital
• Comprobable en: securityheaders.com, internet.co.uk, entre otros
• Ten en cuenta que includesubdomains y preload se ignoran, en caso de que preload no se actualice y un visitante aterrice en un subdominio sin cabecera HSTS.

# level: endpoint
http_security_header_strict_transport_security

La visita al sitio web respeta la privacidad

• Finalidad: Confidencialidad de una visita, que no se te dirija publicidad después de una visita
• Clasificación más pesada:Naranja
• Medido con: Escáner propio
• Documentación: Folleto sobre la creación de sitios web respetuosos con la privacidad, Disconnect.me, Prohibición de Google Analytics
• Para medir en: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Servicios redundantes (puertas abiertas)

• Objetivo: Reducir al mínimo los servicios en línea. La Internet pública sólo debe contener servicios que deben estar disponibles para todos en todo el mundo.
• Clasificación más pesada:Naranja
• Medido con: Nmap
• Documentación: Wikipedia (puertas abiertas)
  • Busca: ipvoid

# level: endpoint
ports

Presencia STARTTLS (correo electrónico)

• Finalidad: poder enviar correo electrónico cifrado al servidor de correo como remitente.
• Clasificación más pesada:Naranja
• Medido por: internet.es
• Documentación: internet.es
  • Se medirá en, por ejemplo: internet.es

# level: endpoint
internet_nl_mail_starttls_tls_available

Cifrado del correo electrónico según los requisitos del NCSC

• Finalidad: poder enviar correo electrónico cifrado al servidor de correo como remitente.
• Clasificación más pesada:Naranja
• Medido por: internet.es
• Documentación: internet.es
  • Se medirá en, por ejemplo: internet.es

# level: endpoint
internet_nl_mail_dashboard_tls

Ubicación del servidor (Geolocalización IP)

• Finalidad: Tratamiento de datos en NL/UE, medir los requisitos legales. Garantizar que todos los servicios están en su propio territorio (legal).
• Clasificación más pesada:Verde (durante el periodo introductorio),Naranja después de octubre de 2023
• Medido con: Maxmind, Ripe (para algunas correcciones)
• Documentación: Ley que prohíbe el tratamiento de datos fuera de la UE (Matomo)
• Comprobable en: InfoByIP, geolocation.com, iplocation.io (no todos estos sitios tienen la misma base de datos de geolocalización)

# level: url
location_server
location_mail_server
location_third_party_website_content

Otras cabeceras del sitio web (X-Frame-Options, etc.)

• Finalidad: Asegurar la configuración al visitar el sitio web
• Clasificación más pesada:Naranja (sin CSP Y opciones x-frame),Verde (resto)
• Medido con: Escáner propio
• Documentación: General (OWASP), Cabecera CSP, Política de permisos, Política de remitentes, X-Content-Type-Options, Clickjacking,
• Comprobable en: securityheaders.com, internet.co.uk, entre otros

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)