No es extraño para los usuarios de sistemas informáticos, especialmente los que manejan información que puede llegar a considerarse como privada o confidencial, cuenten con sistemas de autenticación más complejos, temas como doble validación (algo que se sabe y algo que se tiene) e incluso autenticación de tres factores (algo que se sabe, algo que se tiene y algo que se es).
Haciendo una retrospectiva a las razones de implementación de estos controles es necesario hablar de uno de los primeros controles y que a pesar del tiempo se niega a desaparecer, y que bueno que no lo haga. Con esto me refiero a los famosos sistemas “Captcha” o de validación de “humanidad”, por denominarlo de una forma más nemónica.
A través de sistemas de reconocimiento de símbolos, operaciones matemáticas e incluso, respuesta a preguntas, se busca determinar que quien llena un formulario o un sistema de registro de datos, sea un humano y no un robot o aplicación diseñada para generar spam. Sin embargo, el sistema de captcha ha tenido que evolucionar dado que las técnicas de sobrepaso de sus controles es fácilmente vulnerada por atacantes que a través de técnicas de análisis de imágenes, detección de bordes, e incluso bases de datos de captchas, traspasan estos controles. A pesar de ello, aún el clásico captcha de operaciones aritméticas escritas en letras resulta muy compleja de superar.
Pasamos ahora a otros controles más rigurosos, tales como los implementados a nivel de portales de banca o sistemas financieros. Debido a los constantes intentos de fraudes y de robo de información perpetrados contra estos sistemas de información, se habla de múltiples controles tales como teclados virtuales (para evadir posibles keyloggers), preguntas de seguridad (algo que se sabe), uso de tokens (algo que se tiene), además de bloqueos de sesión por tiempos cortos de inactividad, ofuscación d entre otros controles.
Desde estas perspectivas, los controles implementados harían en teoría este tipo de sistemas muy difíciles de vulnerar para posibles atacantes. Desafortunadamente, en la medida que se implementan más controles para dificultar las actividades delictivas a atacantes, se aumenta la dificultad de acceso para los usuarios.
La situación antes mencionada se traduce para el usuario en traumatismos para el manejo de cuentas de acceso a plataformas, exigencia de información que no resulta de fácil recordación, requerimientos técnicos a nivel de navegadores u otros componentes de software. Esto crea apatía hacia el uso de la tecnología que se traduce en difusión de comentarios que pueden afectar la imagen o reputación de una organización.
No es un mito o mentira el hablar de que a mayores controles de seguridad la usabilidad y accesibilidad se ve afectada a nivel de aplicaciones y sistemas de información. Tampoco es una mentira que actualmente nos encontramos en un estado de explotación tecnológica en el cual la clásica frase de “policías y ladrones” se traslada al mundo virtual, donde es más fácil delinquir al igual que esconderse.
Entonces ante lo anterior,
¿Qué se puede hacer por parte de quienes trabajamos en seguridad para hacer que los usuarios de estas tecnologías, entre los que nos incluimos también, encuentren en estos controles seguridad en vez de trabas o molestias en su acceso a la información?
A partir de la experiencia en temas de soporte, tratamiento y asesoramiento de usuarios y otros aspectos relacionados he encontrado y creo que más de una persona estará de acuerdo, la solución es crear conciencia, explicar los peligros existentes, si, es necesario primero crear una sensación de peligro por que existe y es real, los robos de datos de tarjetas de crédito no es un mito, el robo de cuentas de usuario de correo electrónico o redes sociales es una realidad que crece día a día por más que se implementen controles.
Es por ello que la labor de educar en la seguridad de la información permitirá a nuestros usuarios y a nosotros mismos, entender que estas medidas de seguridad buscan protegernos y al mismo tiempo, proteger nuestra información y activos, además de ofrecer una sensación de tranquilidad de saber que existen controles y mecanismos que hacen la tarea de delinquir más difícil a posibles atacantes o ladrones.
En conclusión, ante todo lo anterior, hacer de la educación en seguridad de la información una herramienta poderosa para hacer nuestro trabajo más sencillo pero más allá de eso, hacer la vida de las personas que emplean los sistemas, portales y aplicativos en general, más segura.
Fuente | Hacking-MX
