CIBERSEGURIDAD

Cuando el costo de la comodidad es un compromiso

Vivimos en un mundo en el que todo el mundo espera un acceso instantáneo y permanente a la información, en el que, si aún no tiene ‘una aplicación para eso’, puede descargar una en cuestión de minutos. Junto a cada equipo de desarrollo hay diseñadores gráficos y de interfaz de usuario, así como expertos en experiencia de usuario. La gestión de productos y el marketing de productos piensan tanto en la facilidad de uso como en las funciones.
La conveniencia vende. Pero, desafortunadamente, cuando se trata de seguridad, la conveniencia también puede tener un precio.
Tomemos, por ejemplo, Apple Touch ID. Es muy probable que desbloquear su dispositivo iOS con solo colocar el dedo en el botón de inicio le haga sonreír ante la pura simplicidad de la función las primeras veces que lo hace. Pero la realidad de usar Touch ID como el único medio de autenticación en aplicaciones sensibles, como las aplicaciones bancarias de RBS y NatWest, es un ejemplo perfecto de conveniencia llevada demasiado lejos.
El sensor de identidad de huellas dactilares Touch ID de Apple no puede proporcionar un nivel suficientemente alto de garantía de que la persona que usa el dispositivo sea la misma persona autorizada para usar una aplicación. Apple no tiene el concepto de una huella dactilar que pertenezca a un usuario individual.
Si se comparte un dispositivo, cualquier usuario puede agregar una huella digital a Touch ID. Si se obtiene acceso no autorizado al dispositivo (adivinando u obteniendo el código de acceso en lugar de que un oportunista acceda a un iPhone o iPad ya desbloqueado), el usuario no autorizado también puede agregar su huella digital para su uso posterior.
Cualquier aplicación que se integre con la API de Apple Touch ID simplemente recibirá una respuesta de que se ha utilizado una huella digital confiable; no hay información sobre qué huella digital era y a quién pertenecía. El acceso a una aplicación se otorgará a cualquier persona que haya guardado una huella digital durante la vida útil del dispositivo.
En el hogar, el peor de los casos puede ser que su pareja o sus hijos puedan usar la huella digital que han almacenado para acceder rápida y fácilmente a su aplicación bancaria, o cualquier otra aplicación que acepte Touch ID como reemplazo de contraseñas mucho menos convenientes. Mientras esto mayo ser aceptable para algunos (no me malinterpreten, confío en mis hijos, principalmente), es un enfoque potencialmente peligroso para cualquier dispositivo que utilicen varias personas en un entorno empresarial.
Si un dispositivo ya no se va a compartir, cambiar el código de acceso por sí solo ya no es suficiente para que ese dispositivo sea suyo. También debe eliminar todas las huellas digitales almacenadas.
Hasta que Apple agregue el concepto de usuarios, y las huellas dactilares que pertenecen a usuarios individuales, las aplicaciones sensibles como las aplicaciones bancarias no deben usar Touch ID como el único medio de autenticación.
Esta no es la primera vez que tenemos el equilibrio entre seguridad y conveniencia (solíamos llamarlo usabilidad) completamente incorrecto.
Wi-Fi llegó a las tiendas, como una opción en el iBook de Apple bajo la marca AirPort, en julio de 1999.1. Poco después, cualquiera podía conectar un punto de acceso en cualquier lugar donde hubiera energía y una toma Ethernet libre. Siguió la matanza: los atacantes comenzaron a atacar e incluso a luchar en busca de redes inseguras. Los hotspots de las cafeterías se convirtieron en un lugar popular para tomar un café con leche delgado junto con una gran cantidad de datos inalámbricos.
Los puntos de acceso se podían proteger, pero la seguridad no estaba habilitada de forma predeterminada. Todo un segmento de seguridad inalámbrica surgió rápidamente con productos para ayudar a las empresas a responder al nuevo espectro de amenazas inalámbricas.
Más de una década después, en septiembre de 2011, tres hombres en Seattle fueron acusados ​​de conducir un Mercedes de 1988 lleno de un kit de red y varias antenas, apuntando a redes protegidas con el anticuado estándar Wired Equivalent Privacy (WEP). Obtuvieron acceso a las redes inalámbricas de 13 empresas que robaron números de tarjetas de crédito que se usaban para comprar bienes, así como información de nómina que les permitía redirigir los fondos de nómina a cuentas bajo su control.
El próximo cambio de paradigma de TI, ahora que todos disfrutamos de la vida en la nube, accedemos de forma inalámbrica a las aplicaciones desde nuestros propios dispositivos personales e interactuamos con los clientes a través de las redes sociales, es Internet de las cosas (IoT). O el Internet de las cosas, dependiendo de cuánto de IoT resulte ser pura exageración. Miles de millones de dispositivos conectados que llevan al mundo a una nueva era de automatización y, sin duda, a nuevos niveles de comodidad.
A diferencia de WiFi, IoT potencialmente involucra una variedad de dispositivos diferentes de tantos proveedores diferentes que existe una mayor posibilidad de que se necesiten estándares para ofrecer valor al consumidor. Es poco probable que tener 20 ‘cosas’ diferentes debajo de las escaleras y en la casa que hablen diferentes idiomas y requieran 20 aplicaciones diferentes en su teléfono iPad o Android brinde el nivel de simplicidad y experiencia de usuario que el éxito y la adopción masiva requerirán. Con los estándares, llega la oportunidad de lograr el equilibrio entre seguridad, incorporando la Identidad de las Cosas y conveniencia.
En realidad, la historia nos dice que pasaremos por un período de tiempo posiblemente prolongado en el que los atacantes se divertirán, como mínimo, en gran medida a nuestra costa: encender la calefacción al máximo en el apogeo del verano, arrancar el estéreo y encender y apagar las luces al compás de la música, o activar todas las alarmas de los coches de la calle a la vez.
Yo personalmente caminaré por la habitación para ajustar la temperatura hasta que lleguemos a la versión 3 de IoT. Y tampoco confiaré en mi Apple iPhone 6 todavía.

Richard Walters, director general y vicepresidente de gestión de identidades y accesos (IAM), Intermedia

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar