18 jul 2012

Feliz cumpleaños = ¿Contraseña en peligro?

Los pilares básicos de la seguridad informática a la hora de acceder a los sistemas, han cambiado mucho a lo largo de la historia. Cuando las máquinas no estaban conectadas con el exterior, la seguridad estaba centrada casi exclusivamente en el ámbito del acceso físico a la consola. Posteriormente, al hacerse multiusuario, hubo que poner una barrera más al acceso a los datos que permitiera tanto la identificación como la autenticación por parte de los usuarios hacia el sistema. Con el paso de los años y las necesidades tecnológicas, el acceso remoto ha ido añadiendo métodos y diferentes protocolos, pero que se resumen en 3 formas básicas, siendo habitual la posibilidad del uso combinado de las mismas:

Lo que sabes: Quizás el método mas básico y utilizado de todos, que se trata en el conocimiento por parte del usuario del sistema de un dato supuestamente personal e intransferible, que habitualmente se traduce en un password o PIN combinado con un nombre de usuario para identificar el origen. Normalmente está presente en el resto de los métodos de identificación y autenticación.

Lo que tienes: Asociado a algún elemento físico, puede ser un token del estilo a un reloj/calculadora, una hojita de One Time Password, un serial o identificador en el móvil, una tarjeta de coordenadas, etc. Muchas aplicaciones móviles, asocian el ID del dispositivo con el/los número/s de teléfono evitando que el usuario deba autenticarse.

Lo que eres: Con la llegada de dispositivos biométricos, es posible autenticarse con una parte de nosotros mismos que se supone única. La huella, es el método más tradicional, aunque el iris del ojo, las venas de las manos o incluso el código ADN, pueden y podrán utilizarse como método de identificación y autenticación.

A la hora de decidir en nivel de seguridad necesario que nos haga utilizar uno de los anteriormente citados o, muy recomendable, la combinación de varios de estos métodos, además del económico, se plantean otros problemas conocidos como “los puntos del que pasaría si…“. Dentro de estos puntos, lo más habitual y donde más se baja la guardia es en el hecho de la pérdida de una contraseña, el terminal, el tocken o la mano (o cualquier otro miembro) en caso de la biometría. La pérdida de esta capacidad de autenticarse e identificarse, hace necesaria la activación de un método alternativo que no haga perder el espíritu con el cual se adopto este método de identificación principal.

Por ejemplo, dar la posibilidad del uso de un usuario/password es un mal “plan b” para un sistema biométrico o un tocken, a no ser que se contemplen medidas de seguridad extraordinarias (por ejemplo el uso de un tocken maestro adicional a la intervención del usuario, o la activación tras la identificación presencial)

Después de todo este rollo para ponerte en antecedentes, iré al asunto del cumpleaños (por fin!! viva vivaaa). La historia arranca hace un tiempo cuando un amigo de un amigo que no tenía mail (si, queda gente 1.0 total) necesitaba subir su CV a un website para una preselección a la hora de optar a un puesto de trabajo y puse el mío con un password temporal. El problema es que desde ese website, me empezaron a venir información de suscripciones, publicidad, ofertas de trabajo relacionadas, etc. Intenté resetear la contraseña que había puesto (nunca pongáis una contraseña un viernes por la noche) pero para mandarme el enlace a través del cual me daba la posibilidad de hacer dicho reseteo, me pedía conjuntamente con mi email, la fecha de nacimiento de este usuario. Como no tenía contacto con el, no me quedó mas remedio que poner el remitente en el spam después de que en el CAU de esta empresa hicieran caso omiso a mi petición (esto último lo entiendo).

Pues bien, cuando ya ni me acordaba, me llegó un mail felicitándome el cumpleaños de parte de esta empresa de búsqueda de trabajo. Esto me dio el día y el mes y  tras probar un par de años, conseguí acceder al sistema, resetear la contraseña y así poder librarme de estos molestos mails.

Por supuesto, me di cuenta al momento de un error tan grave como apuntar el PIN de una tarjeta de crédito en la misma. Si usas “lo que tienes” por un lado (la cuenta de correo) y “lo que sabes” por otro (la fecha de tu nacimiento), al hacer accesible esto último a través del mismo medio, lo pones en peligro evidente. Es decir (ojo, necesarias habilidad x4 en trabalenguas), si “lo que sabes” además lo pueden saber otros a través de “lo que tienes”, cualquiera que pueda tener lo que tu tienes, sabrá lo que tu sabes.

Un Saludo!!

PD: La empresa ha sido avisada y han sido muy amables con las indicaciones que les di en el mail. A pesar de que no se nombra en ningún momento, decidí postergar la publicación a la resolución del fallo de seguridad. Actualmente han cambiado la fecha de nacimiento por un dato privado que no se envía en ningún momento por mail.

1 comentario:

  1. Me encanta la observación que has realizado, para completar la "intrusión". Y genial entrar en antecedentes con la explicación de "Algo que tienes"; "Algo que sabes"; "Algo que eres".Saludos ;)

    ResponderEliminar