Por: Roberto Opazo
“Frecuentemente los periodistas me preguntan por consejos para que un “ciudadano de a pie” se proteja contra atacantes electrónicos y la verdad, es que es como darle consejos a un ciclista para trasladarse en una ciudad sin ciclo vías: Hay que mejorar el sistema, no es posible construir una burbuja segura sólo para uno”.
Durante años, la imagen del gerente o director, que atiende temas estratégicos de la empresa y deja “lo técnico para los técnicos” ha sido muy respetada, pero es urgente terminar con eso.
En la cuenta anual de la Fiscalía Nacional, el tipo de delito que más aumentó en denuncias fue el uso fraudulento de tarjetas de crédito y débito. Aumentó en un 94%, llegando a 34.359 denuncias en el año.
Es el tipo de denuncia que más creció, más que robos callejeros, hurtos, violencia intrafamiliar, delitos sexuales, etc. Se hace necesaria la reacción de directores, gerentes y de la autoridad, porque este no es un tema que se resuelva diciéndole a los usuarios que elijan claves difíciles o que no pinchen enlaces en correos electrónicos, menos con dibujos de candados en la folletería o página web de la empresa. Se requiere compromiso social, porque los individuos pueden hacer muy poco para protegerse.
Frecuentemente los periodistas me preguntan por consejos para que un “ciudadano de a pie” se proteja contra atacantes electrónicos y la verdad, es que es como darle consejos a un ciclista para trasladarse en una ciudad sin ciclo vías: Hay que mejorar el sistema, no es posible construir una burbuja segura sólo para uno.
Partamos por lo siguiente, esta es una prueba que puede hacer un cliente, gerente o director de cualquier empresa que trabaje con datos sensibles de los usuarios. Los invito a conectarse a https://www.ssllabs.com/ y elegir la opción “Test your server”. Todo lo que tendrán que hacer es ingresar la dirección web de su sitio y obtendrán una clasificación de riesgo de los protocolos de seguridad. La nota es muy fácil de entender: A+, A, B, C, D o F. El informe se acompaña de detalles técnicos, pero la nota inicial es comprensible por cualquiera: A o A+ son aceptables, todas las otras implican que el sitio tiene presentes vulnerabilidades, que pueden ser aprovechadas para capturar las claves de los usuarios. Lamentablemente, resulta un tremendo desafío encontrar empresas que obtengan una buena clasificación de riesgo en esta simple prueba.
La prueba anterior no es completa, ni suficiente, para evaluar la seguridad de un sitio, pero tiene la virtud de estar al alcance de cualquiera y de no poner en riesgo el sitio que se está evaluando, eso la hace muy interesante.
Se descubre una realidad tremenda, porque los errores que aparecen se relacionan con certificados no apropiados, protocolos vulnerables y en general, con un grupo amplio de falencias que no son muy difíciles de corregir. Si su gerente de sistemas, le dice que corregir algunas de esas falencias, implica que los usuarios tendrán problemas de compatibilidad con sus navegadores web o que subirán mucho los costos por estar cifrando todas las comunicaciones… Despídalo y contrate alguien que pueda hacer su trabajo. Pero si le dice que tiene que comprar un acelerador criptográfico o un certificado más caro, entonces asígnele presupuesto, aunque usted no sepa lo que es eso. Usted no negaría presupuesto para bototos de seguridad, cámaras perimetrales o sensores infrarrojos, esto es al menos igual de importante. Es duro, pero este es un problema que afecta a muchos y requiere de gente seria, comprometida con su trabajo. En SSL Labs sólo se revisan vulnerabilidades que está absolutamente consensuado que no se pueden tolerar.
Para bajar la efectividad de los ataques de phishing y pharming que se están popularizando, es necesario que las empresas usen HSTS (Strict Transport Security) para que su sitio web sólo se pueda visitar usando una sesión segura. El sitio debe contar con un certificado de validación extendida, para que los usuarios vean en verde el nombre de la empresa al lado de su dirección web y resulta muy recomendable, contar con Certificate Pinning para proteger a los clientes de un atacante que intente usar un certificado falso. Las medidas necesarias son más, pero lo interesante de estos ejemplos es que pueden ser verificados por cualquier usuario, no se requieren privilegios de administrador o acceso especial a los servidores de la empresa.
Hecho eso, tiene sentido gastar presupuesto de marketing para ensañar cosas útiles, como reconocer un certificado de validación extendida, en vez de sugerir imposibles, como dejar de pinchar enlaces en correos electrónicos.
En el caso particular de la banca, hemos observado cómo durante décadas, los bancos llegan tarde a todos estos temas. A veces lo hacen en forma vergonzosa, como los bancos que hoy usan certificado de validación extendida, pero después de que el usuario ingresó sus claves. Es como usar el bloqueador solar de noche.
Después de la crisis del 82, la autoridad definió controles muy estrictos para evitar que la banca corra riesgos altos con sus fondos, pero en seguridad informática se le ha dado libertad extrema. Una excepción a lo anterior ocurrió el año 2006, cuando la SBIF dio un golpe a la cátedra exigiendo a los bancos usar una clave distinta para autorizar cada transferencia. Gracias a eso, Chile tuvo las estadísticas de fraude por transferencias más bajas de la región durante un buen tiempo. Pero se hace necesaria una nueva intervención, no hay razones para pensar que la banca esté en condiciones de auto regularse y el sistema no está pensado para que lo haga. Y mientras la sociedad encuentra la forma correcta de controlar las medidas de seguridad electrónica de la banca y otras empresas, me parece que usar SSL Labs por parte de clientes, gerentes y directores, puede ayudar a dar prioridad a temas que se han postergado sin justificación.