jueves, diciembre 12, 2013

Latch: Cómo proteger las identidades digitales (I de IV)

En mis últimas charlas me ha dado por hacer una pregunta capciosa a la audiencia que sé de buena tinta que no van a saber cómo contestar ninguna de los presentes - o mucho me equivoco -. Es tan sencilla como "¿Cuántos de vosotros sabeis exactamente el número de identidades digitales que tenéis en servicios de Internet?". Intenta responder tú esta pregunta, a ver si eres capaz de recordar todas las identidades que abriste desde tu primera conexión a Internet en las que dejaste más o menos algún dato personal.

Además sucederá que si el número es alto, puede que hayas optado por la idea de repetir alguna contraseña - sobre todo en esos servicios que parecen más insignificantes - o tener un método de generación de contraseñas tal y como el que tenía Dan Kaminsky cuando le quitaron todas sus cuentas de Internet.

La segunda pregunta que suelo hacer a los asistentes a una de mis diatribas con el gorro es: "¿Cuántos de vosotros tenéis protegidas más de el 10% de vuestras identidades digitales con un segundo factor de autenticación?" En entornos tecnológicos mi estadística a vuela-brazo es que aproximadamente el 1 % de la audiencia levanta la mano ante esta pregunta. 

La conclusión es sencilla: Seguimos dependiendo de las contraseñas

Al final, si derivamos hacia una reflexión más avanzada de los problemas, nos encontramos que pocos o ningún usuario es capaz de recordar todas las identidades digitales que se ha creado, que en la mayoría de ellas la protección es solo basada en una contraseña y que existe una alta probabilidad de que se repita alguna contraseña, que no sea lo suficientemente robusta o se construya un método de generación de passwords inferible tras conocerse la primera password.

Las cuentas se hackean sí o sí

Al final, estamos ya acostumbrados a ver noticias en Internet en las que se han hackeado todas las cuentas de un sitio en Internet y han caído las identidades en vaya usted a saber dónde. Casos como el de Sony PlayStation Network, el escándalo de Adobe, las passwords de Linkedin o hasta los ficheros publicados en Dropbox con identidades de Yahoo! están por todas partes en Internet.

No solo caen las contraseñas cuando se hackea un sitio por una intrusión seria, también se puede producir simplemente porque el usuario haya tenido la mala suerte de introducirla dentro de un equipo infectado por una botnet que ha robado su identidad, ya sea desde un equipo propio o un equipo en un cibercafé mal gestionado.

Eso mismo además puede producirse en los smartphones, donde ya el malware es lo suficientemente avanzado como para poder llevarse todas las passwords que se introduzcan en él, o simplemente una app maliciosa puede querer llevarse tus credenciales - algo para lo que se crearon las passwords de servicios en entornos de Single Sign-ON -. De hecho, como ya vimos en la serie de artículos dedicados a buscar las guaridas de los ladrones de identidad, basta con hacer un poco de hacking con buscadores para localizar indexados dumps de identidades robadas con todo tipo de malware.

También puede sucede que el sitio web no tenga una buena política contra los ataques de fuerza bruta basados en valores de login, en lugar de password. Es decir, ataques de fuerza bruta que fijan la contraseña y van cambiando el nombre del usuario hasta que se puede entrar dentro. O puede ser que esa contraseña que parecía tan complicada y difícil de averiguar no lo sea tanto, como demuestra el servicio online que ha puesto Microsoft que predice la siguiente letra de la contraseña según las vas introduciendo.

Si ya vamos a casos en los que los ataques son dirigidos la cosa es aún peor. Periodicamente salen incidentes con cuentas de famosos o periodistas en Twitter que han sido hackeados - muchos de ellos con esquemas de phishing para los terminales móviles -, y yo recibo peticiones diariamente para robar identidades, como el de la delincuente de Tuenti que se llevó un escarmiento maligno. Esas peticiones que van por la vereda oscura de Internet acabarán topándose con una estafador o con alguien que realmente les haga el trabajo y alguien lo sufra.

Estos ataques dirigidos, si se realizan a la cuenta de correo electrónico que hace de piedra clave, la cosa puede ser infinitamente peor. Claro ejemplo de esto fue el hackeo que sufrió Mat Honan, el periodista de Wired, donde un atacante consiguió engañar a un Apple Genius por teléfono, dándole los últimos números de su tarjeta de crédito, dato que era público en Amazon.  El Genius le reseteó la password de la cuenta de Apple ID, y después de que le robaran todos los datos, le formateron hasta sus terminales iPhone, iPad y el MacBook. He sido Hardly Hacked, dijo él.

Factores de riesgo para sufrir un robo de identidad

Dentro del impacto que puede tener una mala gestión de las identidades digitales incide directamente cuántos factores de riesgo has aplicado a tu vida digital. No hablo de evitar las descargas de software procedente de fuentes de dudosa confianza en tu equipo o de tener un antivirus en tu smpartphone que no se un rogue AV, sino de cosas que la gente suele hacer y que afectan a la globalidad de su identidad en Internet - que no es más que la suma de todas sus identidades -.

La creación incontrolada de identidades en Internet es uno de los factores de riesgo a tener en cuenta. Hoy en día se puede evitar la creación descontrolada de cuentas usando cosas como OpenID o OAuth para autenticarse en muchos sistemas. Por supuesto hay que controlar a qué partes de tu cuenta se da acceso con la autorización de apps o servicios pero evitaría en gran medida el descontrol de identidad.

Reutilizar contraseñas y lo que es peor aún, reutilizar la identidad completa dándose de alta con el mismo usuario y contraseña en diferentes servicios de Internet, es quizá uno de los mayores pecados capitales a evitar.

El usar los gestores de contraseñas - protegidos con una master key como debe de ser - es una buena idea para dejar de utilizar contraseñas sencillas, memorizables o calculables, y pasar a usar contraseñas complejas, además de para saber exactamente todas las identidades que te has creado a lo largo de tu vida. Estas apps están también disponibles para los terminales móviles y pueden hacer que vaya siempre contigo.

No quiero olvidarme tampoco de las famosas preguntas de recuperación de contraseñas o las pistas para recordar qué contraseña se introdujo en un determinado sistema. Si no ha habido una precaución adecuada, esos pueden ser los puntos más fáciles para perder una identidad online... en cualquier sitio donde se haya creado una cuenta.

Aunque uses un buen gestor de contraseñas, nunca estás a salvo de que alguien sea capaz de llegar a la base de datos de un sitio en Internet o encontrar un bug en el sistema de autenticación y al final sacar una identidad digital que te pertenezca, así que hay que evitar siempre usar tu piedra clave - esa a la que tienes enlazadas todas tus identidades digitales "la de recuperar contraseña vía e-mail" - en más sitios de los que sea estrictamente necesario - recordad el caso de Mat Honan -.

Y la última opción, no tener un Second Factor que te ayude a que pase lo pase haya algo que aún no tengan y sea necesario para lograr el acceso a tu identidad digital, pero... ¿son cómodos o útiles para los usuarios los sistemas de second factor?

Alternativas Second Factor para protección de identidades digitales

Si miramos la cantidad de soluciones para hacer un second factor, existen muchas alternativas que pueden ser utilizadas, pero casi todas se basan en el concepto de OTP (One-Time Password). Estas contraseñas de un solo uso se deben añadir junto a la password habitual al servicio que se quiera proteger utilizando un canal alternativo. Este canal puede ser el sistema de mensajes SMS del teléfono móvil, una app en un smartphone que se conecta desde otro dispositivo o un token hardware que va mostrando cuáles son los valores que se deben introducir en cada instante.

Las soluciones basadas en envío de SMS tienen el problema de que para la compañía supone un coste en cuanto al envío de los mensajes, además de que no siempre es fácil desplegarlo en todos los países del mundo. Sin ir más lejos, el 2FA de Apple ID se ha desplegado vía SMS hace ya varios meses en muchos países del mundo, pero en España y en más de medio mundo aún no está disponible, por lo que las identidades están sin second factor en esos países.

Algo similar a lo que el sucede a Apple le pasa a Microsoft. Hace ya tiempo que desplegó el sistema de OTP vía mensajes SMS en Estados Unidos y otros países, pero no ha sido capaz de desplegarlo aún en muchos lugares del mundo, lo que deja la medida sin la eficacia que necesitamos los usuarios de Internet.

En el caso del mundo de la banca online, donde los SMS OTP se usan para validar operaciones, muchos esquemas de cibercrimen se basan en conseguir instalar un troyano en el terminal móvil. No hay que olvidar que al final, si se consigue robar la información de la cuenta de usuario tal vez se consiga saber cuál es el número de teléfono asociado a la cuenta, y ya los esquemas de Fraude Online cuentan con infraestructura para enviar el troyano adecuado en cada caso. Ejemplo de estos son el ya famoso y antiguo Zeus MitMo (Man in the Mobile).

Como vuelta de tuerca al uso de mensajes OTP enviados por SMS, algunas compañías como Swivel Secure proponen con PINSafe enviar no solo el OTP al SMS, sino hacerlo ofuscado y que el usuario conozca una secuencia como (1342) que sea el orden en que hay que coger los números del mensaje SMS para componer el OTP correcto. Si el MitMo intercepta el mensaje SMS con el OTP no puede conseguir el valor correcto si no se sabe la secuencia que el usuario tienen en su cabeza - cuando no la olvida -.

Una alternativa a los mensajes SMS es la de utilizar los tokens de sincronismo, como los famosos tokens RSA. La idea es que el token hardware tiene un algoritmo de generación de números que está también disponible en el servidor. Sin necesidad de que haya conexión a Internet. Es decir, totalmente off-line, el token va mostrando el valor que el usuario debería introducir para conseguir superar el desafío del segundo factor que le ponga el servidor.

Esto funciona razonablemente bien, pero tiene varios factores que se deben tener en cuenta. En primer lugar el coste de los dispositivos es caro y exige mantenimiento. En segundo lugar, muchos de ellos se pierden o se roban, o aún peor, simplemente se olvidan en casa. Hay que tener en cuenta que es un gadget extra que hay que llevar más encima, y cada vez se hace más complicada la checklist de cosas a portar cada vez que se sale de casa. No podía terminar de citar que la propia RSA sufrió una intrusión en su empresa para robar, según se especula, los algoritmos de generación de los números que aparecen en los tokens, algo que ellos explicaron muy "someramente".

Para solventar este problema de costes, algunas compañías proponen sustituir los tokens hardware por una app para el smarphone que hace la misma función. El riesgo de seguridad en estos casos es que alguien sea capaz de reversear la app y acceder al algoritmo de generación de los valores OTP, por lo que otros prefieren utilizar un esquema basado en un servicio en Internet que envía los valores tanto a la app como al servidor vía conexión a Internet.

Un ejemplo de esto último es Google Authenticator, donde un usuario puede integrar una app con este servicio asociado a su cuenta y antes de entrar a su, por ejemplo, Gmail mirar en la app de Google Authenticator el valor que tiene que introducir.

Como última variación a todos estos sistemas que pretenden completar la seguridad de una contraseña con un segundo factor, no puedo olvidarme de la famosa matriz de coordenadas, donde el usuario tiene una lista de valores que le serán solicitados en algún instante como forma de verificación extra o desafío de confirmación ante una determinada operación. Por desgracia, hemos visto muchos casos en los que los usuarios le introducen toda la matriz de coordenadas al troyano - así, sin desayunar ni nada - e incluso que la envían fotocopiada por fax.

Soluciones enfocadas en el usuario

Pensando en el porqué de que casi nadie utilice estos servicios de manera voluntaria, y que casi sea una imposición por parte de la empresa u organización que gestiona la identidad, hay que citar que la mayoría de estos sistemas son solo para geeks o son un poco incómodos. No han pensado en Penny a la hora de diseñar la funcionalidad de seguridad de second factor. Esto tiene que ser mucho más sencillo para que todos lo utilicen.

La realidad nos ha enseñado que no importa tanto si una medida es super segura si esta no es usada por casi ningún usuario o por muy pocos. Una medida de seguridad de second factor que incremente un 30% la seguridad de una cuenta de usuario en un servicio donde hay 1.000 usuarios y que sea adoptada por el 90% de los usuarios será mucho más efectiva que una medida de seguridad que aumente la seguridad un 60% pero solo sea adoptada por el 10%.  La eterna diatriba de seguridad versus usabilidad llevada a las soluciones opt-in de second factor.

Figura 1: Usuario preocupado por sus identidades digitales a la hora de la siesta

Tenemos que pensar en los usuarios, y buscar algo que les sea fácil de manejar, porque al final, lo que la gente quiere es disfrutar de su tiempo libre y disfrutar de una siesta. "¿Cuántos de vosotros estáis como locos para que llegue el fin de semana y dormir la siesta en el sofá con el mando a distancia de la tele en el regazo?" Los usuarios no quieren saber de seguridad, quieren sentirse relajados y a salvo para descansar a gusto. Mañana más.

Saludos Malignos!

************************************************************************************
************************************************************************************

9 comentarios:

  1. Personalmente siempre me ha preocupado el tema de robo de contraseñas, es por ello que uso la verificación en dos pasos en todos los servicios que tienen esa opción y teniendo una pass diferente para cada servicio la intento cambiar cada semana. Aunque no había caído en la cuenta de la pregunta de recuperación, la tengo muy débil. También me he dado cuenta de que los email de recuperación al ser antiguos no los tenía protegidos
    Pd.El mejor gestor de contraseñas es una libreta de 40 centimos.

    ResponderEliminar
  2. Chema, muy interesante el tema!! por mi experiencia, de estos métodos de hackeo de contraseñas, gana el phishing por email... la amabilidad de los usuarios es absoluta, si alguien les pide educadamente su password.. que van a hacer? no les queda mas remedio que entregarla :DD
    Un abrazo, Inma

    ResponderEliminar
  3. Hola maligno,

    El seguir con usuario y contraseñas a día de hoy en el siglo 21 es de risa, las grandes compañías deberían ya cambiar su forma de identificar A los usuarios Y usar biométricas por huella dactilar Y reconocimiento facial ejemplo el iris del ojo.
    Mientras que sigamos con usuario Y contraseña seguiremos con problemas de hacking.

    Un saludo.

    ResponderEliminar
  4. Mientras que sigamos usando un usuario y una contraseña para identificarse seguiremos con estos problemas de seguridad , a ver si las grandes corporaciones informáticas diseñan el software biometrico para identificarse con nuevos sistemas de criptofrafia y así reduciremos todos estos problemas , solo google y dropbox cifran las comunicaciones y los datos almacenados, las demás TI dan miedo, hay que ver lo que se ha convertido la red de redes, no me extraña que grupos como anonymous sigan proclamando , "Libertad, Anonimato y Seguridad".

    ResponderEliminar
  5. Me gusta la idea, pero tengo una duda. Si la intención no es robo de identidad sino hacer daño bloqueando servicios...
    Si esta aplicación se extiende y tumban vuestros servidores los miles de clientes que tengáis perderán toda posibilidad de operar ya que no abría respuesta del estado del pestillo, afectando a millones de clientes.
    Cada servicio debería tener su propio servidor de latch para aislar los daños del ataque. Esto os puentearía. Como lo resolvéis? Gracias.

    ResponderEliminar
  6. @Anónimo, le partner es el dueño de la identidad y puede borrar un latch o cambiar su estado a gusto, además de desactivar latch en caso de "emergencia". Está todo pensado }:)

    Saludos!

    ResponderEliminar
  7. a mi tambien me preocupan estos temas , pero como a la vista esta de que por mucho que busques para reforzar tu cuentas e identidades digitales, siempre las descubren,y ni siquiera por tenerlas en papel, ya que aun hay muchos que miran en algunos sitios frecuentados por las victimas e incluso en papeleras contenedores de basura en la que pueden hallar algo con lo que poder fisgonear por internet. recordando lo del control por el iris acordaos la prueba que hicieron en el aeropuerto de londres que fue un fracaso por que muchas personas no podian acceder a sus objetos por el fallo del software y los iris de la gente.

    ResponderEliminar
  8. ¡¿Reversear?! Madre mía, te habrás quedado a gusto.

    ResponderEliminar
  9. ¿Habeis pensado en un cliente Latch web?

    No todos tienen una conexión de datos perpetua en sus móbiles.

    ResponderEliminar