Seguridad bancaria desde el punto de vista de los hackers

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Hace unos días, The Next Web publicó un artículo titulado: Cómo pensar como un hacker, que describe varias estrategias de seguridad empleadas por ABN AMRO, un banco con sede en los Países Bajos. En el artículo se explican cuatro estrategias propuestas por el departamento de seguridad de ABN AMRO, algunas con las cuales estoy de acuerdo y algunas otras con las que no.

seguridad-bancaria

La primera estrategia proporcionada en el artículo establece que es una buena inversión: el entrenamiento del usuario en seguridad, que en última instancia ofrece una delgada capa de protección. Aunque estoy de acuerdo en que la formación de los usuarios no es perfecta, no creo que deba ser menospreciada con tanta fuerza. El artículo menciona especificamente al phishing, destacando en el informe que el 23 por ciento de los receptores abren correos electrónicos de phishing. Un estudio realizado por la Universidad Carnegie Mellon (pdf) hace unos años atrás, encontró que el entrenamiento de concientización de los usuarios ayuda a limitar los ataques de phishing exitosos. El objetivo de la formación de los usuarios no es martillar el mensaje “no haga clic en eso”. Una parte igualmente importante de la formación es simplemente difundir la conciencia. Los controles técnicos puestos en marcha por TI no son perfectos y los usuarios necesitan entender que ellos mismos son también una pieza igualmente importante del rompecabezas de prevención de ataques. Remover el mantra:”la seguridad es el problema del departamento de TI, no el mío”, que está presente en muchas organizaciones, es crítico,  y la capacitación del usuario es el mejor enfoque para hacerlo.

Estoy de acuerdo con la segunda estrategia “No es necesario construir Fort Knox”, en principio, pero no relacionada a los ejemplos proporcionados. El autor reconoce correctamente, que es imposible construir una aplicación funcional sin tener vulnerabilidades de seguridad potenciales. Sin embargo, ABN AMRO resalta como  ha eliminado la autenticación de múltiple factor para mejorar la usabilidad de su web, algo que creo es un movimiento equivocado. La mayoría de las personas no tienen un buen historial cuando se trata de generar una contraseña única y fuerte para cada servicio individual al que se autentican. Debido a esto, las contraseñas fáciles de adivinar  y  la reutilización de claves, son todavía increíblemente comunes. La autenticación de múltiple factor tiene como principal beneficio eliminar la dependencia de contraseñas fuertes y hacer que sea mucho más difícil para un atacante comprometer una cuenta incluso cuando tienen un nombre de usuario y una contraseña válidos. La autenticación de múltiple factor no tiene porque ser engorrosa. La mayoría de los proveedores de seguridad de autenticación, como Duo Security, tienen aplicaciones móviles que pueden enviar una simple solicitud de autorización al dispositivo móvil cuando alguien intenta iniciar sesión en una cuenta. Usando otros bancos como ejemplo, la mayoría de los principales bancos estadounidenses están avanzando hacia la autenticación de doble factor en forma de un código de desafío enviado a través de texto o correo electrónico cuando un usuario se autentica desde un equipo no reconocido. Si sabemos que los seres humanos son el mayor riesgo de seguridad para cualquier aplicación, eliminar una de las protecciones más fáciles para mitigar este riesgo parece un innecesario paso hacia atrás.

La tercera estrategia mencionada en el artículo es una con la que estoy totalmente de acuerdo. ABN AMRO recomienda contratar consultores de seguridad externos para probar su empresa y sus aplicaciones. Contratar a alguien para encontrar los agujeros en su aplicación antes que los chicos malos, le pueden ahorrar pérdidas financieras y problemas de relaciones públicas resultantes de un ataque criminal exitoso. Una auditoría de seguridad trimestral o anual es también una gran alternativa para las organizaciones que no pueden pagar su propio equipo de seguridad interno. Como mínimo, las organizaciones deben ser receptivas a los investigadores externos que informan responsablemente sobre vulnerabilidades en sus aplicaciones.

La última sección del artículo describe la importancia de mantenerse a la vanguardia de los hackers a través de la Investigación y Desarrollo, observando específicamente, que el futuro se está moviendo hacia las herramientas seguridad cibernética basadas en inteligencia artificial. Muchas organizaciones simplemente no tienen el presupuesto o incluso el deseo de participar directamente en la investigación y el desarrollo relacionadas a la seguridad cibernética, lo cual es comprensible. Yo recomendaría al menos, tomarse el tiempo para estar al día con las últimas tendencias de seguridad y cómo ellas podrían afectar a su organización. Estar al tanto de las amenazas y de las protecciones disponibles para su empresa es un importante primer paso hacia el mantenimiento de su seguridad.

(Créditos Marc Laliberte)