Consejos de Seguridad: Rechazados Racionalmente


imagen: Micke-Fi

por Fausto Cepeda

Netmedia - ¿Por qué los usuarios no siguen los consejos de seguridad? La red está plagada de cientos de sitios dedicados a dar todo tipo de recomendaciones para que los usuarios estén protegidos y aún así persiste la inseguridad. ¿Son flojos? ¿No les interesa? Tal vez sólo estén rechazando los consejos que yo y otros profesionales de la seguridad emitimos, pero de una manera racional; tal vez tengan razón en ignorarnos.

“El Rechazo Racional de los Usuarios a los Consejos de Seguridad” es un ensayo donde su autor, Cormac Herley (Microsoft Research), argumenta que el rechazo a los consejos de seguridad que son “aventados” a los usuarios es perfectamente racional y que les genera mucho más esfuerzo seguirlos que simplemente ignorarlos. A continuación, algunos de los argumentos de Cormac:

Exceso de consejos: listas de distribución, tweets, sitios y manuales orientados a dar consejos de seguridad viven en la red. Los diversos CERT, compañías de antivirus, Microsoft, varias ONG y profesionales de la seguridad –incluyéndome- cuelgan de la red sus consejos, las 10 recomendaciones básicas y lo que ningún usuario debe de dejar de hacer. ¿Por dónde empezar? ¿Quién tiene realmente sugerencias útiles y eficientes?

Por ejemplo, el US-CERT en su página ofrece: Información General (3 ligas con información), Seguridad General (9 ligas), Ataques y Amenazas (10 ligas), Correo y Comunicación (8 ligas), Móviles (6 ligas), Privacidad (5 ligas), Navegación Segura (8 ligas), Software y Aplicaciones (6 ligas). En un solo sitio se ofrecen 51 consejos y horas de lectura que se pretende hagan los usuarios de la red. ¿¿51 consejos?? Y eso es sólo el US-CERT. Me mantengo en la espera de ver quién es el que levanta la mano para decir que esto no es un bombardeo de “consejos” ofrecidos por los cientos de sitios distribuidos por la red, sin mencionar que los hay en N idiomas.

Consejos anticuados respecto a las contraseñas: varios de los consejos que giran alrededor de los “passwords” son anticuados y carecen de validez ante las amenazas actuales, analicemos algunos de estos consejos:

a) Contraseñas robustas: la tendencia actualmente es que los atacantes instalen troyanos en los equipos para –entre otros objetivos- robar todo tipo de contraseñas de los usuarios (de sitios bancarios principalmente). ¿De qué sirve una contraseña robusta y de 30 caracteres si con un keylogger o troyano se puede robar fácilmente? Sólo tiene cierta utilidad contra los ataques de aficionados anticuados que roban contraseñas con un ataque de diccionario. Cormac argumenta que hay una escasez de datos sobre la frecuencia y severidad de los ataques por lo que la reducción del riesgo es especulativo.

b) No escribir las contraseñas en papel: de hecho lo que no se debe de hacer es escribirlas y dejarlas a la vista. ¿Qué pasa si la escribo y la pongo en mi billetera? Mejor: ¿Qué pasa si divido mi contraseña y una parte la memorizo y otra parte la escribo y la guardo en la billetera? Con la cantidad de contraseñas que hay que memorizar es ridículo impedir que se escriban los passwords, pero eso sí, de manera inteligente.

c) Cambiar seguido las contraseñas: tal vez el consejo más inútil relacionado a las contraseñas. Honestamente, de qué sirve cambiarlo cada mes o cada tres meses? Si un troyano lo captura, se usará en horas y exageradamente en un par de días. Si alguien ve cómo tecleo la contraseña, no creo que se espere un mes para usarlo. Si en un Café Internet capturan mi contraseña de GMail, de qué sirve que la cambie cada tres meses? De NADA sirve cambiar la contraseña cada semana o mes, porque una vez que el atacante la obtiene, la usará en las próximas horas.

d) No usar la misma contraseña para todos los sitios: Twitter, GMail, Yahoo, Hotmail, Digg, ISC2, ISACA, banca en línea, Amazon, Delicious, Evernote, Tarabu, WordPress y Zoho son algunas de las cuentas que un servidor –léase yo- tiene; en promedio un usuario actual tiene 25 cuentas de sitios. ¿Deberíamos tener 25 contraseñas diferentes para cada uno de ellos? ¿Y sin escribirlos? Existen programas que administran contraseñas, pero la movilidad impide que me lleve mi programita (o el add-on de Firefox) a todos lados donde navego. ¿Cuántas personas tienen una contraseña 100% distinta para cada sitio? A lo más, algunos las tenemos híbridas: una parte nunca cambia y otra parte es la que varía. Recomendar usar contraseñas distintas y memorizarlas atenta contra el buen juicio: es el rechazo racional del consejo de seguridad.

Leer artículo completo...

Comentarios

Entradas más populares de este blog

Franklin EVDO USB Modem Review - CDU 680

Blog Action Day