lunes, 23 de junio de 2008

Mejoras para "Recomendaciones para prevenir fraudes"

Un periódico publica hoy varias recomendaciones para prevenir fraudes. Creo que algunos puntos podrían mejorar:

a).- "Mantener el equipo de cómputo actualizado con los elementos de seguridad básicos": aquí yo listaría los elementos de seguridad básicos porque a un usuario no le puede quedar claro a qué se refiere esto. Es decir, basta con mencionar que se requiere de un antivirus, un firewall personal y de actualizaciones del sistema operativo (y aplicaciones). Así, pienso yo, queda más claro.

b).- "Crear contraseñas difíciles": siempre le pedimos a los usuarios que seleccionen contraseñas difíciles, largas, y una por cada servicio que se accede. ¿No estamos pidiendo demasiado? Hoy en día estamos hablando de recordar alrededor de 10 contraseñas como mínimo para un usuario promedio de Internet: varias cuentas de correo, FaceBook, Hi5, Linkedin, Amazon, Twitter, etc. ¿Qué usuario va a memorizar alrededor de 10 contraseñas complejas? Los que estamos interesados en la seguridad tal vez lo hagamos; los usuarios promedio simplemente no lo harán. Lo más que harán (con suerte) es tener una sola contraseña compleja y usarla en todos lados. Aquí no se trata de seleccionar contraseñas difíciles (porque serían difíciles hasta para uno mismo) sino más bien contraseñas que no las pueda adivinar alguien más (fácil para uno mismo, difícil para el resto). Existen algunos tips para crear contraseñas o "passphrase" y no se mencionan claramente en el artículo.

c).- "No hacer clic en links de correos electrónicos sospechosos": ha llegado el día en que dejar al usuario decidir lo que es sospechoso de lo que no puede resultar peligroso. ¿Qué tal: no hagas click en ningún link relacionado con sitios financieros? (aún esta recomendación puede resultar insuficiente). Mi punto es que "sospechoso" puede significar algo para un profesional de seguridad, otra cosa para un adolescente y otra para la mamá que hace compras en línea.

d).- "Si algún desconocido llega a su casa pidiendo revisar su token, no lo haga": no estaba al tanto de que había personas que llegan a nuestra casa tocando el timbre para que le permitamos revisar nuestro token de banca en línea. No sé cuanta gente lo proporcione para que lo "revisen", pero esta recomendación me resulta muy razonable en caso de que haya ataques generalizados de este tipo.

e).- "Si al querer acceder a la dirección de su institución bancaria aparece el mensaje de página en remodelación, sospeche": los ataques modernos de phising rara vez usan la técnica de "páginas en remoledación" al menos en la primera fase del ataque; la idea es presentar al usuario una página idéntica a la del banco o institución financiera y no algo que parezca raro o inusual. Tal vez una vez que el usuario ingresa sus claves y el atacante las recibe (segunda fase del ataque), la víctima recibe una página web de "remodelación" y un "inténtelo más tarde". Si a esto se refiere la sugerencia estoy de acuerdo.