Ahileos - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cuando la seguridad se degrada por cuestiones “de negocios”

Eliminar un token como elemento de seguridad en un sitio financiero contribuye más a degradar la seguridad que a la experiencia del usuario.

Imaginen que son usuarios y clientes de un sitio web donde pueden hacer transacciones financieras. Pueden entrar a ese sitio a revisar sus movimientos financieros (envíos y recepción de dinero), ver sus saldos y realizar pagos de bienes y servicios. Para entrar a este sitio, nos piden no solo nuestro nombre de usuario y contraseña, sino un token tipo “challenge-response” (el sitio nos muestra un número que nosotros debemos introducir al token, y este a su vez nos devuelve otro número que debemos ingresar en el sitio). Obviamente, todo esto sucede una vez que el tráfico ya es seguro con https.

Estas medidas sustentadas en el token de challenge-response son bastante efectivas contra los cada vez más sofisticados ataques de phishing. Porque no solo nuestra información financiera (saldos y movimientos) está razonablemente protegida contra ojos de terceros, sino porque, específicamente, al enviar dinero para pagar servicios o efectuar una transferencia financiera a alguien más, también nos solicitarán usar este tipo de token. Aunque puede haber algunos trucos complejos para evadir controles con tokens, son difíciles de llevar a cabo y, claro, se necesita la participación de un usuario poco enterado de las cuestiones básicas de seguridad para concretar el ataque.

Pero imaginen ahora que por decisiones "de negocio", el sitio financiero decide eliminar el uso de este token para entrar en la sesión. El argumento es que el token solo se usará cuando se requiera enviar dinero o pagar servicios. Por lo tanto, si nos roban el nombre de usuario y la contraseña por medio de los cada vez más comunes ataques de phishing, el atacante podrá, al menos, ver nuestros saldos y revisar las transacciones financieras que hemos efectuado con lujo de detalles.

¿Si los clientes ya estaban usando el token para ingresar en la sesión para ver saldos y transacciones, por qué eliminar este control de seguridad? ¿Muchos clientes se estaban quejando? ¿Varios clientes se equivocaban al manejar el token y esto resultaba en incontables llamadas para recibir soporte técnico? ¿O fue una decisión "de negocio”, donde el representante de seguridad simplemente perdió la discusión contra otras áreas dentro de la empresa que velan por la operación, pero no por la seguridad?

Tal vez nunca lo sepa. Lo que sí sé es que, en este caso, la seguridad fue degradada. No hubo –que se sepa– controles compensatorios. Simplemente se eliminó el token de la ecuación para poder iniciar sesión en el sitio. Y el razonamiento es que "si un atacante consigue las credenciales del cliente, solamente podrá ver saldos y transacciones financieras, pero no podrá robar dinero". A mí me parece que mi información de saldo disponible y mis movimientos financieros son privados, y no me gustaría que alguien pudiera publicarlos por ahí. Pero, como no me van a robar dinero, supongo que la lógica es que me quede tranquilo. Ni reclamar resulta productivo. Seguramente muchos clientes estarán felices con la medida, porque ahorran 45 segundos de su tiempo evitando el uso del token al inicio de su sesión.

En mi opinión, eliminar un control de seguridad que ya estaba implementado, en uso y que sí tiene sentido, es una mala decisión porque estamos degradando el nivel de protección. En fin, solo nos queda pensar que hubo una buena razón para quitarlo y que no fue una decisión tomada a la ligera por personas sin mucho dominio de las cuestiones básicas de seguridad informática.

Próximos pasos

Revise otros textos de Fausto Cepeda:

¿Quién es responsable por las debilidades en el software?

Listas blancas, imprescindibles en su arsenal de seguridad

Más privilegios, menos seguridad

Este artículo se actualizó por última vez en septiembre 2015

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close