domingo, 24 de enero de 2010

Consejos Rechazados Racionalmente.


¿Por qué los usuarios no siguen los consejos de seguridad? La red está plagada de cientos de sitios dedicados a dar todo tipo de recomendaciones para que los usuarios estén protegidos y aún así persiste la inseguridad. ¿Son flojos? ¿No les interesa? Tal vez sólo estén rechazando los consejos que yo y otros profesionales de la seguridad emitimos, pero de una manera racional; tal vez tengan razón en ignorarnos.

“El Rechazo Racional de los Usuarios a los Consejos de Seguridad” es un ensayo donde su autor, Cormac Herley (Microsoft Research), argumenta que el rechazo a los consejos de seguridad que son “aventados” a los usuarios es perfectamente racional y que les genera mucho más esfuerzo seguirlos que simplemente ignorarlos. A continuación, algunos de los argumentos de Cormac:

Exceso de consejos: listas de distribución, tweets, sitios y manuales orientados a dar consejos de seguridad viven en la red. Los diversos CERT, compañías de antivirus, Microsoft, varias ONG y profesionales de la seguridad –incluyéndome- cuelgan de la red sus consejos, las 10 recomendaciones básicas y lo que ningún usuario debe de dejar de hacer. ¿Por dónde empezar? ¿Quién tiene realmente sugerencias útiles y eficientes?

Por ejemplo, el US-CERT en su página ofrece: Información General (3 ligas con información), Seguridad General (9 ligas), Ataques y Amenazas (10 ligas), Correo y Comunicación (8 ligas), Móviles (6 ligas), Privacidad (5 ligas), Navegación Segura (8 ligas), Software y Aplicaciones (6 ligas). En un solo sitio se ofrecen 51 consejos y horas de lectura que se pretende hagan los usuarios de la red. ¿¿51 consejos?? Y eso es sólo el US-CERT. Me mantengo en la espera de ver quién es el que levanta la mano para decir que esto no es un bombardeo de “consejos” ofrecidos por los cientos de sitios distribuidos por la red, sin mencionar que los hay en N idiomas.

Consejos anticuados respecto a las contraseñas: varios de los consejos que giran alrededor de los “passwords” son anticuados y carecen de validez ante las amenazas actuales, analicemos algunos de estos consejos:

a) Contraseñas robustas: la tendencia actualmente es que los atacantes instalen troyanos en los equipos para –entre otros objetivos- robar todo tipo de contraseñas de los usuarios (de sitios bancarios principalmente). ¿De qué sirve una contraseña robusta y de 30 caracteres si con un keylogger o troyano se puede robar fácilmente? Sólo tiene cierta utilidad contra los ataques de aficionados anticuados que roban contraseñas con un ataque de diccionario. Cormac argumenta que hay una escasez de datos sobre la frecuencia y severidad de los ataques por lo que la reducción del riesgo es especulativo.

b) No escribir las contraseñas en papel: de hecho lo que no se debe de hacer es escribirlas y dejarlas a la vista. ¿Qué pasa si la escribo y la pongo en mi billetera? Mejor: ¿Qué pasa si divido mi contraseña y una parte la memorizo y otra parte la escribo y la guardo en la billetera? Con la cantidad de contraseñas que hay que memorizar es ridículo impedir que se escriban los passwords, pero eso sí, de manera inteligente.

c) Cambiar seguido las contraseñas: tal vez el consejo más inútil relacionado a las contraseñas. Honestamente, de qué sirve cambiarlo cada mes o cada tres meses? Si un troyano lo captura, se usará en horas y exageradamente en un par de días. Si alguien ve cómo tecleo la contraseña, no creo que se espere un mes para usarlo. Si en un Café Internet capturan mi contraseña de GMail, de qué sirve que la cambie cada tres meses? De NADA sirve cambiar la contraseña cada semana o mes, porque una vez que el atacante la obtiene, la usará en las próximas horas.

d) No usar la misma contraseña para todos los sitios: Twitter, GMail, Yahoo, Hotmail, Digg, ISC2, ISACA, banca en línea, Amazon, Delicious, Evernote, Tarabu, WordPress y Zoho son algunas de las cuentas que un servidor –léase yo- tiene; en promedio un usuario actual tiene 25 cuentas de sitios. ¿Deberíamos tener 25 contraseñas diferentes para cada uno de ellos? ¿Y sin escribirlos? Existen programas que administran contraseñas, pero la movilidad impide que me lleve mi programita (o el add-on de Firefox) a todos lados donde navego. ¿Cuántas personas tienen una contraseña 100% distinta para cada sitio? A lo más, algunos las tenemos híbridas: una parte nunca cambia y otra parte es la que varía. Recomendar usar contraseñas distintas y memorizarlas atenta contra el buen juicio: es el rechazo racional del consejo de seguridad.

Certificados digitales: ningún sitio de phishing (o que contiene malware) se molesta en tramitar certificados, simplemente carecen de ellos: ningún sitio fraudulento tiene certificados digitales válidos o inválidos. Por otro lado, los atacantes no andan sniffeando/husmeando la red en busca de números de tarjetas de crédito porque van directo a las bases de datos de la tienda en línea que almacena cientos de tarjetas (cuestión de costo-beneficio). Todos los errores de certificados que nos encontramos al navegar son relacionados a la caducidad de los mismos. En base a lo anterior, es racional ignorar los mensajes de error de certificados y simplemente darle “continuar”. Honestamente, cuántos de los usuarios (tal vez no los lectores de este blog sino “el resto”) se fijan en la S de https? Cormac nos dice: “there is no evidence of a single user being saved from harm by a certicate error, anywhere, ever.

Reconocer sitios Phishing al leer los URL: los largos y a veces ilógicos URL que componen un sitio válido son ya de por sí complejos para un usuario; realmente esperamos que un usuario distinga un URL válido de uno tipo phishing? http://www.paypal.store.com; http://www.amazon.validationcheck.com/credit.asp o http://www.libreriaelsotano.com/elsotano/es/cont?ref=5&cat=1, son URL válidos? Sinceramente, a primera vista puede que sí. ¿O no? Los informáticos nos encargamos de poner todos estos “http”, “www”, “/es/ref=5&cat=1” y demás caracteres ilógicos en los URL para asegurarnos de que fuera algo misterioso reservado para “los que entendemos de esto”. Eso sí, exigimos que los usuarios de Internet “pongan atención” y “sigan las buenas prácticas” para reconocer sitios fraudulentos. ¡Un momento! Ahí está un buen consejo –¿al fin?- de no dar click sobre links que lleguen por correo; pues no, otra falla, porque por otra parte tenemos a cientos de sitios válidos que mandan ligas por correo para que el usuario les de click…argghhhh!!

Conclusiones.

“Si tan sólo entendieran los peligros”, “Es que siguen ignorando los consejos”, “Todo pasa por no seguir las buenas prácticas”. Son comentarios de los de seguridad informática. Los invito a leer el ensayo de Cormac. Creo que tiene buenas ideas, nunca nos detenemos a pensar desde el punto de vista de los usuarios; no los avanzados, sino de todos aquellos que lo que quieren es hacer algo útil con el equipo. No son informáticos ni de sistemas, son contadores, médicos, arquitectos, mamás, papás y adolescentes que quieren escribir un documento de tarea, hacer banca en línea para ahorrarse la fila, quieren bajar música o leer un buen blog de finanzas personales. ¿Las buenas prácticas? ¿Los 51 consejos del CERT? ¿Las decenas de productos de seguridad que se anuncian como “imprescindibles”? En fin. Cormac nos dice: “Se supone que nosotros entendemos los riesgos mejor que los usuarios. ¿Lo hacemos? ¿Tenemos la evidencia que demuestre que los usuarios que sí siguen los consejos lo hacen mejor que los que los ignoran? ¿Y que esa diferencia vale la pena por el esfuerzo extra de seguir los consejos? Dada la opción entre cerdos bailando y la seguridad, los usuarios siempre seleccionarán a los divertidos cerdos bailando”. Recuerden que este blog trata de abrir sus mentes a otras ideas, espero haberlos invitado a meditar. Y no se olviden de seguir las buenas prácticas: no sé cuáles sean ni quién las establezca y bajo qué criterio se definan, pero síganlas. Twitter: @FaustoCepeda.