Archivo de la categoría: Uncategorized

Ransomware: de infecciones aleatorias a epidemia, un nuevo negocio.

Introducción.

Ya hemos definido Ransomware en otros artículos en este blog, pero hoy vamos a cambiarla por “Delito Cibernético“, ya que se está convirtiendo en una industria, un modelo de negocio para aquellos que no tienen escrúpulos y ponen en jaque pequeñas y grandes empresas.

Análisis

El año 2017 empezó con todo en cuanto respecta a Ransomware. En los últimos meses ya han surgido más casos que en todo el 2016, y con cierto nivel de complejidad que supera técnicamente las versiones de Ransomware del año pasado.

La pregunta que nos hacen las organizaciones o pequeñas en cuanto a este tipo de epidemia, (ya dejaron ser casos aislados de infección, ya hay una ocurrencia con cierta referencia y programada), “¿Qué pueden hacer las organizaciones y que pueden esperar en el futuro de estas amenazas?“.

Analizando desde hace un año las diferentes versiones de estos malware, el comportamiento de los mismos, las acciones de prevencion de detección, el ascenso del valor del bitcoin (pensar que en agosto del año pasado rondaba los U$S 590)  y los intentos de intrusión deliverados, podemos decir que esta epidemia recién empieza y el que no esté preparado va a terminar siendo una víctima de infección.

La pregunta que nos hacemos los Analistas de Seguridad, ¿Que ha causado que programadores con tanto conocimiento o talento se dediquen a esta actividad delictiva?.  Ante el desconocimiento de las organizaciones de como actuar ante esta amenaza y la manera rápida, anónima y fácil de ganar dinero, observamos que esto hoy se ha convertido en un modelo de negocio, una nueva plataforma ha surgido, “Crimen-As-Services.

Haciendo seguimiento de una billetera virtual la semana pasada,  un intruso en un día recolectó por pagos de extorsiones 719 bitcoins. Un negocio redondo en donde no se paga impuestos, el anonimato está asegurado y se aseguran un gran porcentaje de pago de las extorsiones por que las organizaciones siguen administrando aún las plataformas de tecnología como lo venían haciendo hace 10 años.

Extorsión digital

El Ransomware se ha convertido en un cambio de paradigma dentro de los delitos, siendo un secuestro virtual, en donde la víctima es la información de las organizaciones.

Al principio era por medio de envío de mails “phishing” con el fin de engañar e infectar a usuarios de una red, pero eso provocaba que el intruso debiera esperar que el atacado mordiera el anzuelo. La ansiedad y la voracidad de los atacantes por tener cada vez más bitcoins, ha provocado ya ataques direcionados, en busqueda de servidores publicados a Internet con vulnerabilidades expuestas y que sean aprovechadas con el fin de introducir de alguna manera un Ransomware en el servidor. Hemos detectado muchos ataques de fuerza bruta a puertos publicados de RDP (Terminal Server de Microsoft) y ataques a IIS (Internet Information Services) , en donde explotando una vulnerabilidad lograron inyectar un keylogger para hacerse de cuentas válidas y luego ingresar el malware.

Información en jaque?

Una de las cosas que observamos es que la mayoría de las compañias no saben que activos informáticos pertenecen a los procesos críticos de negocio, por ende si un activo es comprometido, lo será tambien la organización. ¿Cuánto va a invertir en seguridad si no saben que proteger? ¿La Organización no sabe que proteger, es bueno o malo? Hoy las organizaciones no saben o no tienen cuantificado cuanto vale la información, solo se darán cuenta cuando la información este cifrada y el usuario no tenga acceso.

Entonces, surge la pregunta del rigor :¿Por que la empresa debería pagar un rescate por su propia información?. Si hacen bien la tarea, NO se debería pagar a los extorsionadores de la información digital.

Ser una víctima: si o no

En estos dos años de análisis de casos de Ransomware, observamos que las empresas invierten lo justo en Seguridad Informática. La balanza está entre la prevención e invertir tiempo y alguna solución de protección de seguridad versus el pago del rescate. Hoy cualquiera puede ser una víctima de Ransomware, el tema radica en donde queremos estar, si viendo como estamos protegidos o bien, analizando de donde vamos a sacar 2,5 bitcoins para pagar un rescate (valor promedio de una infección tipica de Ransomware).

Las Organizaciones deben trabajar en prevención, he aquí algunas recomendaciones:

1) Capacitar al personal: generar campañas de concientización en las personas que trabajan en la compañia, pensando en como pueden protegerse en sus cuentas personales para que generen un hábito para todo lo que apliquen luego. No fuerce y baje directivas que impongan una forma de trabajo, esto no siempre resulta.

2) Antimalware: contar con una plataforma antimalware con análisis de comportamiento es una buena ayuda a la prevención.

3) Contraseñas fuertes: utilizar contraseñas complejas.

4) Servicios a Internet: restringir los servicios que se publican a Internet. Utilizar accesos seguros mediante el uso de VPN utilizando SSL.

5) Monitorear: un intruso persevera y triunfa por que nadie lo bloquea o deniega el acceso. Monitore los accesos a la plataforma, sobre todos los externos.

6) Oculte la información del negocio: no deje de fácil acceso la información que es fundamental para los procesos de negocio.

7) Resguardos / backups: Pregunte al negocio cuanto tiempo puede estar sin acceso a la información. Esto le va a indicar cada cuanto debe hacer backups. Un backup a la semana o una vez al día ya no es negociable, piense en resguardos con más periodicidad, piense en lo que necesita su Organización.

8) Actualizaciones: mantenga las plataformas actualizadas, una vulnerabilidad que ha sido publicada por algún boletín, permite que algun intruso en algún momento la explote.

9) NO pague Rescate.

Si no posee un listado de sus Procesos de Negocio y de los Activos que forman parte de ella, no sabrá el valor de los activos y esto puede dar lugar a que termine en una situación en donde deba pagar rescate de una información que a lo mejor no lo vale.

Ser precavido es la mejor defensa.

Hasta la proxima….

Nota: mientras terminabamos esta redacción, Telefónica de España y algunos Hospitales de Reino Unido, están siendo atacado de manera masiva con un Ransomware.

Alertas:


RANSOMWARE – RECOMENDACIONES A EMPRESAS

Introducción

De manera resumida, el atacante les hace llegar un correo o Uds visitan un sitio web engañados, y bajan este software malicioso, que cifra la información y la única manera de recuperar la misma, si no han sido cuidadosos, es con un backup o pagando los bitcoins.

En esta entrega vamos a hacer foco en redes corporativas y vamos a tomar acciones para que los equipos que usan la red, sin importar lo que haga el usuario, no se infecte de ransomware.

Análisis de Infraestructura Clásica

Analizando los esquemas de red de las empresas u organizaciones, encontramos situaciones similares a la siguiente (el nivel de madurez depende de la organización, pero en gran medida, esta es la configuración general):

1) Red con servicios de Microsoft Active Directory (se convertirá en nuestro mejor aliado).

2) Los equipos (PC y Servidores) con un anti-malware instalado. (sin ajustar correctamente).

3) Acceso a Internet sin filtros especiales o con configuraciones básicas.

4) Un servidor de correo, y eventualmente un antispam.

5) PCs unidas al dominio, en gran parte sin actualizar y donde los usuarios son administradores locales. A su vez, los usuarios poseen unidades mapeadas en el File Server u otro server requerido.

6) Un File Server con carpetas compartidas para los usuarios  de la red (los permisos en gran parte configurados en el recursos compartido) y algunas restricciones a nivel NTFS.

7) Backup que se ejecutan únicamente a la noche.

Manos a la obra…

Vamos analizar cada uno de los puntos mencionados anteriormente y vamos a hacer ajustes para mitigar los problemas de seguridad para evitar una infección de ransomware.

1) Servicios de Microsoft  Active Directory

La mayoría de las organizaciones utilizan este servicio de directorio con el fin de administrar de manera centralizada USUARIOS y EQUIPOS. Pues bien, hagásmolo!.  Si no queremos ser víctima de software maliciosos en nuestros equipos, el servicio de Active Directory es nuestro principal aliado. Ajustes que podemos realizar desde este servicio que impactará en las PCs (Personal Computer, notebook, ultrabook, All-in-one, etc) y evitará problemas de seguridad.

1.1) Usuarios sin permiso de administrador local: Si bien es un cambio que el administrador de la plataforma se rehusa hacer por los ajustes y pruebas que deberá someter ha ciertos perfiles de PCs y Usuarios, (existen aún aplicaciones propias o de terceros que requieren permisos elevados para funcionar), es una manera de evitar que el usuario con/sin conocimiento instale aplicaciones en la PCs. Desde el Servicio de Directorio podemos crear diferentes GPO (Group Policy Object), una de ellas es configurando algunas acciones de restricción en la PCs local, por ejemplo

a) El usuario no pertenece al grupo de administrador local de la PC, solo a los grupos globales y de seguridad del dominio.

b) La contraseña de la cuenta administrador local (puede renombrarse esta cuenta también por GPO) es definida desde políticas de dominio y el usuario la desconoce.

1.2) Restricción de ejecución de aplicaciones: Una de las características que más me gustó en el lanzamiento de MS Windows 7 / 2008 R2, fue la aparición del APPLOCKER. Esta funcionalidad, que puede administrarse perfectamente por GPO, permite al administrador de la plataforma definir que aplicaciones pueden usarse en cada equipo, más allá de todo lo que tenga instalado en la misma. Suponiendo que el usuario de contabilidad requiere aplicaciones contables de 16 bits, MS Office, Aplicativos Web y otras herramientas (ZIP, Trustee, etc) se pueden definir en la GPO que puede ejecutar dicho usuario, teniendo en cuenta los siguientes puntos:

a) Hacer un relevamiento por perfiles, de que aplicaciones requieren ejecutar los diferentes usuarios.

b) Homologar el software de la compañía (Se recomienda armar un catálogo de softwares validados por la empresa). El personal de la Mesa de Ayuda se pondrá feliz, porque ya no tendrá que dar soporte a softwares que no estén catalogados y el Area Legal por que estarán seguros que solo usarán el software correctamente licenciado/adquirido por la compañia.

c) Hacer una GPO en donde se defina que aplicaciones podrán utilizar los usuarios, dependiendo de un perfil ejemplo o definido para pruebas.

d) Implementar la GPO en un ambiente de prueba previamente. El usuario no debe ser administrador local de la PC pero si tener los permisos necesarios para ejecutar las aplicaciones que se le desea dar acceso. La GPO en la configuración del APPLOCKER puede ajustarse por

  • Ubicación de los archivos válidos que deberán ser ejecutados por el usuario (Path del disco). Ideal para aplicaciones que no se instalan o son de terceros.
  • Hash del archivo, el sistema calcula un hash criptográfico del archivo identificado.
  • Publicador del archivo, quien es el fabricante, versiones del software, etc.

En los escenarios de prueba en donde estuvimos evaluando el APPLOCKER, donde el usuario no es administrador local, observamos en el log del antivirus y del S.O, como el Ransomware quería ejecutarse e intentar crear directorios para cifrar la aplicación, pero el S.O. le daba acceso denegado.

El administrador puede generar una GPO para auditar el comportamiento del usuario en la PCs y si observa el intento de ejecución de una aplicación maliciosa saldrá a la luz para que el mismo tome acciones correspondientes.

1.3) Unidades mapeadas: este clásico que viene repitiéndose desde Microsoft NT 4.0 SP6a, permite que el Ransomware observe la unidad mapeada en la PCs a infectar como unidad local y termine cifrando toda la unidad (mas allá que sea una unidad compartida de un servidor o file server). Si los usuarios no poseen unidades mapeadas y de alguna manera las carpetas compartidas de la red están ofuscadas y con los permisos ajustados, el Ransomware podría llegar solo afectar a la PCs pero no al File Server.

Uds mientras lee estas lineas, se preguntan cómo podrían eliminar las unidades mapeadas, bueno, he aquí dos opciones

  • Microsoft DFS (Sistema de Archivos Distribuidos): en vez de compartir y dar acceso a los usuarios con el clásico Share Folder o Carpeta Compartida y mapear la unidad, se configura en el servidor que posee el rol de File Server (no requiere licencias adicionales para esto) el servicio de DFS. Esto permitirá que los usuarios en vez de acceder al recurso \\nombredelserver\carpetacompartida y esté mapeada de esa manera con una letra del abecedario, los usuarios accederían a \\nombredeldominio\carpetafileserver, por ejemplo para el dominio ACME.LOCAL, sería \\acme.local\carpetafileserver. Además, como valor agregado que posee este servicio, puede incorporar un servidor adicional con el rol de File Server y todos los archivos que se generen en el servidor principal, serían replicados como contingencia y backup al servidor secundario gracias al DFS.
  • Microsoft SharePoint Foundations(*): Uds pueden bajar desde Microsoft el Ms SharePoint Foundations 2013 y generando una base de SQL Express (o uniendo la plataforma a un servidor de SQL Server existente en la red) una base de datos en donde se alojarían todos los archivos que se suban a la Biblioteca de SharePoint. Dentro del valor agregado que hoy NO tiene con el File Server tenemos (son los más fáciles de implementar y de manera rápida) :
    • Subir archivos a un repositorio con permisos definidos y seguros.
    • Configurar versionado de archivos, permitiendo al usuario recuperar hasta cierta cantidad de archivos modificados (esto es configurable por al administrador de la plataforma).
    • Crear workflows para notificar a los usuarios cuando se suben nuevas actualizaciones de archivos o nuevos.
    • No mandar mas archivos por e-mails, se envía la URL de la ubicacion de los mismos en el SharePoint.
    • Simplifica el backup (backup de la base de datos MS SQL SERVER).
    • Configurar réplica de archivos en otro servidor de SharePoint configurado dentro de la Farm o granja.
    • Proteger los archivos del ransomware.
    • Crear Workflows para alojar cierto tipos de archivos en bibliotecas según como sea etiquetado.
    • Obtener portabilidad del File Server (podrá accederlo desde la mayoría de los navegadores y desde la mayoría de los dispositivos de red)

            Aquí debe ser dimensionado correctamente el crecimiento de la base, según el volumen de archivos que se van a subir al SharePoint. Por otro lado, los ransomware no matan el proceso de SQL Server como servicio, por lo cual, la base de SQL no deja de estar tomada por el servicio y por ello el malware no puede cifrar la misma.  Por otro lado SharePoint le permitirá ir capacitando a los usuarios para que el próximo paso de uso de los archivos sea la nube, con aplicaciones como Office 365.

2) Anti-Malware

Todos los equipos de la red deben tener algún tipo de protección. Se recomienda verificar que extensiones poseen los ransomwares y desde la consola centralizada denegar la generación de esos archivos. Si bien hay extensiones que son similares de archivos que puedan utilizar un usuario, verificar el perfil del usuario/ordenador y aplicar las restricciones posibles.

Mantener el “antivirus” actualizado es fundamental y si el mismo posee la funcionalidad de denegar ciertos comportamientos, se recomienda aplicarlos (Ej: crear directorios en ciertas ubicaciones, ziperar archivos, etc). Si desea verificar la lista de extensiones, les recomendamos acceder a este archivo excel. INGRESE AQUI.

3) Acceso a Internet

En menor medida, los ransomware pueden ser bajados desde Internet por los usuarios si acceden a sitios de dudosa reputación. Lo que se recomienda para estos casos es:

  • Implementar una solución de proxy que tenga definidos grupos con niveles de permisos.
  • Dependiendo los grupos a los cuales pertenece el usuario, será el nivel de acceso a Internet. Debe ir de mas restrictivo a menos restrictivo.
  • Verificar y monitorear los accesos a Internet.
  • Preferiblemente (y para no estar como el caballo detrás de la zanahoria bloqueando sitios en la consola del proxy) contar con una solución que tenga un URL Filtering (filtrado por categorías) y Antivirus.  El filtrado provisto por la mayoría de los fabricantes es eficiente y puede en un solo tilde de selección en una consola prohibir todos los sitios que hacen referencia a una categoria (Ej: pornografía, o streamming como radios y peliculas). De esta manera protege el acceso a Internet como también lo optimiza mejorando el consumo del ancho de banda.

Ciertos Ransomwares, al abrir el correo de phishing que reciben los usuarios, si el usuario quiere visitar el sitio Web, bajan a cuenta gotas el malware. Si posee un proxy con URL Filtering esto puede ser evitado.

4) Antispam / Antivirus de correo

Hoy lo más cómodo es llevar el correo a la nube, pero hay organizaciones que aún usan el servicio de correo on-premise. La mayoría de los ransomware se distribuyen por correo electrónico en modalidad phishing y haciendo uso de Ingeniería Social (es decir, Uds recibe un correo de alguien que se hace pasar por un conocido que le manda un archivo o link adjunto para que lo acceda).

Pues bien, en el caso de tener un servicio on-premise de correo, es recomendado contar con una solución de antispam que filtre los correos de dudosa reputación. Algo que es simple de aplicar y la mayoría de los servidores de correo permiten configurar, es el rechazo de correos cuando no corresponde el PTR o DNS inverso (es decir validan el dominio para verificar si es correcto y la IP no se corresponde al dominio original).

Capacitar a los usuarios es una opción a tener en cuenta para que no abran cualquier tipo de correo.

5) Plataformas Actualizada

Todas las plataformas son susceptibles a infección de ransomware si no están correctamente ajustadas. Los fabricantes están todo el tiempo lanzando actualizaciones, es por ello que deben contar con procedimientos de actualización regulares para las diferentes plataformas.

En el caso de Microsoft, Uds cuenta con una solución como el WSUS que permite a los administradores de tecnología implementar las actualizaciones de manera centralizada de los productos Microsoft. Si bien se recomienda actualizar todos las soluciones que se utilicen en la plataforma, aquellas actualizaciones que no puedan realizarse por el WSUS, pueden hacerse utilizando el servicio de Ms Active Directory, creando paquetes msi.

En la plataforma Uds deberá contar con un servidor que tenga el servicio de WSUS implementado y eventualmente un empaquetador de actualizaciones que genere archivos msi para desplegar por GPO.

6) Backup

Un concepto que observo que se evalúa poco, es la importancia que tiene la información del negocio para la compañía y esto sale a flote cuando un ransomware ha cifrado la información y el backup que poseen no sirve y eventualmente pierden archivos. En el análisis resulta mas barato pagar lo que piden por la captura del ransomware que perder el archivo.

Recomendamos para estos casos:

  • Hacer un relevamiento de la información sensible e importante para los procesos de negocio.
  • Verificar los niveles de actualización de la información distribuida.
  • Consultar a los dueños de los procesos de negocio que tiempo de ausencia o el no acceso a la información es el permitido por el proceso, en el caso de una contingencia.
  • Ajustar la solución de backup para que se alinea a las necesidades del proceso de negocio.
  • Mantener versionado, no un solo backup.
  • Hacer pruebas de restauración.
  • Controlar, controlar, controlar……

Por otro lado, no hay que hacer solo backup a la información, si no pensar en los resguardos de los servicios o servidores que forman parte en los procesos de negocio de la compañía. Si se infecta una plataforma, ¿Cuánto es lo máximo que puede llegar a perder? ¿Cómo impacta en la imagen de la compañía? ¿Cómo queda parado ante la competencia? ¿Hay regulaciones legales que cumplir?

El análisis debe ser realizado y cualquier ajuste que se requiera hacer, va ser siempre mas barato que la pérdida de información o ausencia del proceso de negocio. Por ejemplo, en EEUU, las entidades de salud que ha sido víctima de ransomware, deben denunciarlo ante la entidad de salud. Esto está regulado por HIPAA. Si desean acceder a la guía, ingrese AQUI.

Capacitación

Dentro de nuestro plan de concientización generamos estos contenidos para que Uds los difundan. Ahora bien, estos contenidos también tienen que llegar a miles de usuarios que usan tecnología y desconocen las amenazas que están en la puerta de acceso a Internet.

Obviamente este artículo es demasiado técnico, pero si Uds repara en las versiones desde la Parte I a la Parte IV de esta saga, son contenidos preparados para que puedan ser difundidos a los usuarios de tecnología.

Es importante concientizar!!. En los diferentes eventos, cuando se pregunta al público sobre las acciones antes las barreras de protección que poseen los diferentes S.O, todos responden lo mismo “… lo desactivan por que es más fácil el uso…”. El engaño y fraude van de la mano en la tecnología y no es la primera vez, ya hay otras amenazas mas antiguas que lo han utilizado. (Vea PARTE II).

Estos contenidos pueden ser divulgados siempre y cuando mencionen la fuente.

Resumiendo

Si ha llegado hasta aquí leyendo este artículo, podrá observar que protegernos del ransomware no requiere una inversión en aplicaciones de seguridad, si no mas bien aplicar buenas practicas y aprovechar todos los servicios que los S.O. hoy ofrecen. En el caso de Microsoft, las soluciones mencionadas no requieren una erogación de dinero extra y permite madurar/ordenar su plataforma.

Hoy el ransomware está provocando pérdidas importantes en organizaciones que no cuentan con cierto tipo de ajustes y pensar que solo el antimalware (antivirus) va a protegernos es un grave error.

Este artículo es un resumen de las conferencias que venimos ofreciendo para concientizar a las compañías con el fin de dejen de ser víctimas de esta estafa.

Pueden agregarse otras configuraciones adicionales, seguramente, pero con esta configuración la plataforma pasa a un esquema de ambiente seguro o con un riesgo bajo o aceptable. Va a depender hasta donde quieran madurar en la organización, ya que lo ideal hoy es subir la información de los procesos de negocio a Cloud y eso requiere también de madurez del negocio.

En el Sitio de Microsoft, van a encontrar diferentes asistentes o ayudas muy detalladas para configurar las opciones mencionadas anteriormente. Pueden buscar en Channel 9 videos e instructivos desarrollados por MVP, con paso a paso para que no fallen en la configuración.

Importante

Generar conciencia del uso de la tecnología….

Cambiar la forma de hacer la cosas…

Hasta la próxima.


Problemas de Seguridad en la PC – Como evitar que me roben mi foto!!

No soy de la farándula, no me va a pasar…
En los últimos tiempos, viene ocurriendo casos en donde los personajes de la farándula son víctimas de robo de información (sobre todo videos y fotos) que luego son usados para extorsionar o exponer a la víctima.
Si bien, se habla mucho de que esto ocurre por que la persona a lo mejor lo hace por una cuestión de publicidad y quiere estar en los medios, en muchos casos esto no es así. Pensemos un momento que su vida privada es alterada por la publicación de citas, reuniones, fotos comprometedoras, etc. No todo vuelve a ser como antes.

Basándonos en el último caso, ocurrido esta semana, en donde una cantante denuncia que le fueron tomadas fotos desde su PC cuando ella circulaba en su casa en ropa del día a día, vamos a realizar algunas recomendaciones.

Aquí vamos a escuchar el caso de la cantante Coki Ramírez:
Reportaje a Coki Ramirez – VICTIMA

No es ninguna novedad…
Ahora bien, desde al año 2001, esta metodología era posible de utilizar, recuerdo haber usado y aprovechado de algunas víctimas con el Subseven. Esto era muy simple, con algún engaño, le hacías llegar una parte del troyano a la víctima (podría ser un correo electrónico indicando que le pasabas una foto comprometedora o bien de alguna modelo del momento sin ropa) o bien copiarle el archivo en su PC (en aquella época los S.O carecían de antivirus y firewall, podías ver el disco de la PC).
Una vez que estaba en línea, el Subseven te avisaba y vos podías tomar el control absoluto de la misma. Hasta tal punto que podías leer los chat que tenía con otras personas. (Info del Subseven, presionar aquí).

Por que ocurre..
Han pasado 13 años, los equipos son mucho más potentes, los S.O tienen más funcionalidades, las conectividades son mas estables y de mayor velocidad, pero hay algo que no cambio : LA INOCENCIA o DESCONOCIMIENTO DE LA GENTE. Los usuarios de PC desconocen las amenazas hasta que ocurren, no se informan y piensan que prendiendo el ordenador y conectarse a Internet es una magia que ocurre frente a ellos.
Lo que si ha cambiado es el INTRUSO. No podemos llamarle Hacker, por que es insultar la definición en sí misma. En realidad son INTRUSOS con fines lucrativos, ya que entran a equipos sin autorización, roban información (fotos, videos, datos, etc) y utilizando aquello que dé más rédito, tratan de venderlo a programas que hablan de la farándula o extorsionar al dueño de la información. El motor de hacer esto es la plata… Nadie ha llamado a un famoso diciéndole que su PC está mal protegida, que ha entrado para ver su seguridad y recomienda que ajuste la misma para que otra persona haga lo mismo!! Eso no existe en este mundo, y menos gratis.

Cómo protegernos?
Uno al adquirir un equipo, debe asegurarse que al momento de retirarlo de la casa que les provee el mismo, tenga activado:

1) Antivirus: una solución de antivirus que se actualice al estar conectado a Internet. Esta es una de las principales defensas. Si en algún momento recibimos un archivo que es dañino para el equipo o tiene funciones maliciosas, lo detectará y lo eliminará.
2) Firewall: esta protección permite que no existan “diferentes puertas abiertas” para que un intruso pueda ingresar a la PC. Esto cierra todas esas puertas.
3) S.O original: El mismo pueda actualizarse al conectarse a Internet, ya que hay fallas en los S.O que pueden ser aprovechadas por un intruso. Como el usuario no debe ser experto en estas cuestiones, el equipo debe estar preparado para actualizarse al momento de encontrar Internet en línea.

Luego, velar que esto funcione bien y ya tenemos un 70 % de la seguridad con nosotros…

Somos usuarios de malas costumbres…
Por ultimo, para asegurarnos que no vamos a tener problemas, debemos tener ciertos recaudos, como:

1) Contraseñas:  todos usan password o contraseñas muy, pero muy simples. Deben hacer exactamente lo contrario. Si ponemos aplicaciones para cerrar las puertas, la llave para abrirlas se llama PASSWORD. Por eso nunca utilicen contraseñas que puedan ser asociados a cuestiones personales (nro de patente, DNI, fechas de cumpleaños, nacimientos, direcciones, teléfonos, etc). Utilicen contraseñas al menos con 8 dígitos (no se vale poner 12345678) y que tenga letras, números, alguna letra en mayúscula y algún carácter especial. Si se les complica pensar en algo, pueden optar por armar una oración en donde la letra inicial es la password. Por ejemplo

“Yo nací en Córdoba el agosto de 1970” = la contraseña sería YneCead1970

Al recordar la frase, obtienen la contraseña. Además recuerden cambiarla periódicamente. Ocurre de mucho de Uds que hace más de un año que no la cambian.

2) Contactos: en las redes sociales, software de comunicación y aplicaciones similares (Skype, Facebook, Twitter, etc) poseen una configuración en donde pueden dar de alta personas de confianza. Por lo tanto:

a) No den de alta a desconocidos. Si dan de alta a personas que no conocen, cuando prendan la PC en su casa, es como dejar entrar a un desconocido a su hogar.
b) No reciban invitaciones u archivos de personas que no conocen.
c) Verifiquen antes de dar de alta a un conocido, que sea la persona que dice ser.  Conocen muy bien a sus amigos, contactos y pueden preguntar cosas que permiten validar si la persona que está del otro lado dice ser quien es.
d) No faciliten su contactos de las redes sociales a cualquiera.
e) Ajusten la configuración de las redes, para que solo las personas conocidas o del círculo de confianza puedan ver lo que comparten.
f) Ajuste los software de chat para que si requiere audio o video, requiera una aprobación por parte de Uds.
g) No pongan en su PC información que los comprometa.
h) Roberto Carlos (el de 1.000.000 de amigos) solo hay uno.

Se me rompió la PC!! y ahora que hago?
Muchos de ustedes cargan fotos o videos comprometedores en la PC. Si la misma se rompe, lo que va a ocurrir, es que llevan el equipo como está a un servicio técnico para que la repare, y olvidan que tienen eso en el equipo (o bien no pueden accederla para eliminarla). Por lo que recomendamos

1) No poner imágenes, videos o información que los comprometa.
2) Si de todas maneras quiere hacerlo, almacene esa información en un pendrive y guarde eso en una caja de seguridad en su casa. (si alguien se lo roba, va a tener el mismo problema que si le acceden a la PC).
3) Si tiene que llevar la PC a reparación, borre la información que lo compromete y copie información en un volumen similar para sobrescribir los espacios eliminados. Si solo borra la información, y no sobrescribe los espacios del disco, hay software que en minutos recuperan lo que  han borrado con anterioridad. (tampoco es seguro que esto proteja la información, lo ideal es que en la PC o teléfono no haya nada).
4) Apoyarse en gente de suma confianza.

Mi teléfono móvil tiene de todo…
Casi nos olvidamos, pero hoy los smartphones son muy potentes y desde allí acceden al correo, a sus redes sociales, chat y demás. Si alguien les usa unos instantes el celular o se los roba, han dejado que el Intruso entre completamente a sus vidas. Al menos coloquen una contraseñan en el equipo, y pidan que se los configure, para que si se equivocan cierta cantidad de veces el equipo se bloquee o quede como de fábrica. Los Smartphone son dispositivos que facilitan la conectividad, pero no significa que por eso debamos utilizar los mismos sin seguridad. La mayoría de ellos permiten hasta cifrar el contenido, por lo cual, un Intruso sin la contraseña no podrá acceder a su contenido!!.
No tener el Bluetooth habilitado a menos que realmente haga falta y solo asocien equipos seguros. Hoy la mayoría de los Intrusos están desarrollando códigos maliciosos para estos equipos por que son más fácil de vulnerar. Además es lo que se viene!!

Bueno, esperamos que estas líneas le sirvan, recuerden que la seguridad total no existe y que todos los recaudos que ustedes tomen, siempre van a ser pocos!! cuide su información! y desconfíen de todo…

Hasta la próxima!

PD: les dejo un video donde se explica algo de lo que comentamos más arriba. Reportaje emitido en Canal 12 de Córdoba. Ver aquí.
Próximo artículo vamos a indicar como cifrar un pendrive, por si lo pierdes, nadie pueda accederlo!!


Crisis de Identidad (Gestión) (Parte 5): El Futuro de la Gestión de la Identidad – La identidad en la nube

Introducción
De la  1ra a la 4ta parte de esta serie, echamos un vistazo a la evolución del concepto de “identidad”, conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de identidad actuales, con un enfoque sobre la firma digital. También nos fijamos en los criterios para la elección de una solución integral de gestión de la identidad de una organización o una solución de gestión de identidad federada. En este sentido, en esta 5 parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.

Identificadores ID en linea
Allá en la pimera parte, se discutió el problema de credibilidad a la hora de credenciales de identificación. A menos que la parte que emite las credenciales sea digno de confianza, esas credenciales no tienen sentido. Hoy en día la identidad en línea se verifica principalmente por certificados emitidos por las organizaciones del sector privado comercial, tales como VeriSign, Comodo, y muchos otros. Pero, ¿quién vigila a los vigilantes? Los nuevos proveedores de certificados SSL para sitios web deben someterse a auditorías de seguridad anual, como las que se realizan de acuerdo con el programa WebTrust para Autoridades de Certificación. El mercado de los certificados digitales personales es mucho más fragmentado.

La mera existencia de un certificado digital no garantiza que las credenciales de identidad sean válidos. Algunos certificados son auto-firmado o auto-gestionados, lo que significa que la persona que emitió el certificado también garantiza su legitimidad – obviamente allí no hay controles y equilibrios en el sistema. Por otro lado, la auto-firma de certificados no disminuye la superficie de ataque, ya que no confían en su clave privada a un tercero (autoridad de certificación). Los certificados autofirmados se pueden crear con las herramientas de software, incluidas makecert.exe de Microsoft, Adobe Reader, Llavero de Apple y otros.
En el mundo real, la mayor parte del crédito se da generalmente a los identificadores que son emitidos por el gobierno. Así, algunos ven un documento oficial de identidad en línea, como los medios más confiables de verificación de la identidad en línea, y el año pasado la Casa Blanca emitió un informe en su estrategia para lograr un sistema de identidades de confianza en el ciberespacio. Hay muchas cuestiones prácticas y políticas relativas a la creación de lo que efectivamente sería un documento nacional de identidad digital. Sin embargo, parece que el gobierno se mueve inexorablemente en esa dirección.

Es probable que tal sistema sería voluntario – en un primer momento. La historia indica que esto eventualmente iba a cambiar. En la década de 1800, los conductores no estaban obligados a tener licencia. En la década de 1970, los niños no estaban obligados a tener número de seguro social. Hoy ambos están dispuestos por el gobierno.

Pero hay algunas dudas en cuanto a exactamente  un sistema de identificación del gobierno en línea iba a funcionar. ¿Estaría vinculada a su licencia de conducir o tarjeta de identificación del estado? Sin embargo, el gobierno federal no emitirá esos documentos (aunque con la Ley de Identificación Real, que ha tomado más autoridad sobre los estándares de procesos, con el fin de establecer que los estados lo requieran para su cumplimiento en el 2013). ¿Estaría ligado a su pasaporte, entonces? Pero ¿qué pasa con esas personas que no tienen pasaporte? Según las estadísticas a partir de enero del año pasado, menos del 40% de los estadounidenses tienen pasaporte. ¿Sería estar atado a su número de seguro social? Este es probablemente el número de identificación de mayor número de estadounidenses.

Aunque el número de seguro social fue originalmente diseñado sólo para el propósito de seguir las cuentas de los individuos dentro del programa de Seguridad Social las cartas estaban marcadas, incluso “Por motivos de seguridad social – no para la identificación,” las fuerzas armadas lo han utilizado en el lugar de números de servicio desde los años 60 (del Ejército y Fuerza Aérea) y 70 (Armada y los Marines). El número ahora es utilizado por algunos estados en lugar de número de la licencia de conducir. Los bancos, acreedores y empresas de servicios (tales como compañías de cable, teléfono y electricidad) requieren que los clientes proporcionen sus números de seguro social. El número de seguro social es utilizado por las agencias de crédito, compañías de seguros, agencias de aplicación de la ley y casi cualquier otra entidad que requiera la identidad de la persona.

Estas preguntas son importantes porque, si el identificador de línea es un “independiente” forma de identificación, será mucho más difícil asegurar que un individuo no obtienga múltiples identificaciones en línea, o una identificación fraudulenta en línea que se asocia con otra persona o con un seudónimo. Eso sería negar el propósito para el cual están diseñados las identificaciones oficiales.

Si y cuando la multitud de cuestiones relacionadas con la forma de emitir identificaciones oficiales en línea se han resuelto, la siguiente pregunta es cómo, tecnológicamente, se llevará a cabo. ¿Una entidad de certificación administrado por el gobierno para validar la identidad de cada persona y emitir certificados digitales basados en claves de pares público / privados? ¿Sería ilegal utilizar cualquier certificado, si no es el emitido oficialmente por el gobierno-para firmar los documentos, enviar correo electrónico o hacer negocios en línea? ¿Se convierten en ilegales para enviar mensajes, acceder a sitios web o de ejercer el comercio en línea sin un certificado? La naturaleza del gobierno es mantener la expansión de su autoridad, por lo que a pesar de que estos escenarios, podría parecer descabellada ahora, no es razonable suponer que un día todos puedan reflejar la realidad.

La batalla por el espacio de la identidad
A pesar de inclinación del gobierno por el poder, debido a los engranajes de una enorme y lenta burocracia, probablemente no veremos un omnipresente obligatoria identificación oficial en línea (o tal vez cualquier tipo de documento oficial de identidad en línea),  por un largo tiempo. Mientras tanto, las empresas de tecnología que han luchando durante años para convertirse en los principales proveedores de identidad, y están aumentando constantemente el alcance de sus sistemas de identidad propios mediante la aplicación de inicio de sesión único a través de diversos sitios y servicios.z

Microsoft reinventa periódicamente su servicio, que originalmente fue llamado Microsoft Wallet, luego se convirtió en pasaporte y ahora va por el nombre de Windows Live ID. La compañía prevé Passport como un servicio que con el tiempo abarcaría todos los sitios de comercio electrónico, así como lugares propios Web de Microsoft, pero fue criticado por quienes temían su acceso a la información del cliente, y crearía problemas de privacidad. Hubo un tiempo una serie de sitios No-Microsoft, tales como eBay, utilizaba el servicio de Microsoft Passport para iniciar la sesión, pero ahora se utiliza para iniciar sesión en sitios de servicios de Microsoft como MSDN / TechNet, Hotmail, Xbox Live, Zune Marketplace, Messenger y otros servicios de Windows Live.

Mientras tanto, Google se ha metido en el juego de la identidad hasta cierto punto, la vinculación de inicio de sesión a través de sus muchos servicios web. Su cuenta de Google se utiliza para conectarse a Gmail, Google Voice, YouTube, Picasa, Google Docs, Google Wallet sistema de pago móvil, la red social de Google + y otros. La compañía ha estado bajo fuego por sus recientes cambios de política que ahora le permiten rastrear a los usuarios a través de sus múltiples productos y servicios y combinar la información del usuario de los diferentes servicios. La Comisión Europea ha propuesto nuevas normas destinadas a dar a los usuarios la posibilidad de optar por este tipo de rastreo.

Facebook, con su característica “Conectar”, también se ha convertido en un proveedor de identidad. Esta característica permite a los usuarios iniciar sesión en otros sitios web fuera de Facebook, usando sus cuentas de Facebook.

Un problema con todo esto está, que muchas personas mantienen más de una cuenta de Windows Live o Gmail porque necesitan varias direcciones correo electrónico para fines diferentes (tales como el hogar, el trabajo y “usar y tirar” – una dirección para entrar en los sitios web que requieren una pero que puede vender las direcciones a los spammers). En el caso de Windows Live, puedo configurar varias cuentas porque quería dos blogs independientes en el sitio del blog de Windows Live (aunque Microsoft ha abandonado el esfuerzo y los usuarios se han trasladado a nuestros blogs de WordPress). Incluso con Facebook, cuyos términos de servicio requieren que los usuarios sólo tengan una cuenta y para usar sus nombres reales, muchas personas violan esta norma y tienen cuentas separadas para trabajar y jugar.

El otro problema es que cada empresa de alta tecnología tiene un servicio de identidad separado propio (y algunos otros selectos sitios y servicios), y nadie tiene “una identidad en línea para gobernarlos a todos.” Si bien esto puede ser bueno desde un punto de vista de la privacidad punto, esto resulta en un tiempo más fácil para los terroristas, run-of-the-mill delincuentes cibernéticos, los spammers o estafadores, acechadores y otros que quieran ocultar su identidades y/o hacerse pasar por otra persona en línea.
 
La revolución móvil y la identidad
El uso de dispositivos móviles en teléfonos inteligentes generales y, en particular, se ha disparado en los últimos años. De acuerdo con la firma de investigación Canalys, 488 millones de smartphones se han vendidos en 2011, más de la cantidad de computadoras y las tablets (alrededor de 415 millones). Sus cifras muestran como esto aumentó del 62,7 por ciento respecto al año anterior. Las ventas de teléfonos inteligentes en base a las ventas del 2011, se espera que crezca otro 32% en 2012, según los analistas. Incluso Intel se está metiendo en el acto, haciendo equipos con Lenovo y Motorola para crear un teléfono basado en el procesador Atom.

Según un estudio de Kantar Worldpanel ComTech, casi la mitad de la población del Reino Unido ahora es dueño de los teléfonos inteligentes. El verano pasado, investigadores de Pew estima que el 35 por ciento de los adultos estadounidenses tenían smartphones propios. Esto es cerca de 42 por ciento de todos los propietarios de teléfonos celulares.

Con los teléfonos inteligentes en las manos de tanta gente, y ese número creciendo tan rápido, es lógico considerar la posibilidad de vincular las identidades de los usuarios de sus dispositivos móviles. Considerando que los números de línea fija fueron compartidos generalmente por familias enteras, los teléfonos móviles tienden a ser más personales, con cada miembro de la familia que tiene a su propio número de teléfono. Y con la portabilidad de números entre los transportistas, los usuarios de teléfonos móviles tienden a mantener el mismo número aunque cambien los equipos y los proveedores.

Además, el teléfono móvil se ha convertido en un elemento que la mayoría de los propietarios llevan con ellos dondequiera que vayan, al igual que sus llaves o billeteras. De hecho, se predice que con el tiempo el teléfono móvil sustituirá a las dos cosas. Con Near Field Communications (NFC), que ya está siendo incorporado en los nuevos teléfonos inteligentes, se puede hacer un pago simplemente sosteniendo el teléfono cerca de un dispositivo de terminal para realizar la transacción de tarjeta de crédito. No hay tarjeta física, no es necesaria. NFC también podría ser utilizado como documento de identidad electrónico (en lugar de licencias de conducir o tarjetas de identificación) y se puede utilizar como tarjetas magnéticas electrónicas para abrir puertas o incluso, con la tecnología adecuada incorporado en vehículos, para iniciar los coches.

El uso de los teléfonos inteligentes para proporcionar pruebas de identidad  presentan algunos problemas que tendrían que ser resueltos. Obviamente, debe haber mecanismos de seguridad en el lugar para evitar que los delincuentes utilizan teléfonos robados para robar identidades y hacerse pasar por dueños de los teléfonos. Credenciales de necesitarían una fuerte encriptación y de inicio de sesión de teléfono, que tendrían que ser protegidos por contraseñas o números PIN o (preferiblemente) autenticación de dos factores (tales como escáneres de huellas dactilares).

La identidad en la nube
El movimiento “en la nube” – para todos, desde los usuarios domésticos a las empresas – traen nuevos desafíos para la gestión de identidades. También trae una nueva necesidad y se centran en las mejores soluciones de identificación en línea. En el pasado, la seguridad de red se basaba en los límites de la seguridad, con todo lo que está dentro del perímetro de la red local se define como de confianza y todo lo que está fuera del perímetro considerado sin confianza. Los cortafuegos (firewall) en la red de “borde”, fueron designados los centinelas que protegían a los usuarios y los recursos en el interior de aquellos que estaban en el exterior. Con el Cloud Computing, el borde está desapareciendo – o por lo menos se está haciendo extensible y elástico. Los problemas asociados con la identidad en la nube son complejos, tanto es así que hay grupos de trabajo y conferencias dedicados sólo a este tema.

Las dos tecnologías que se establecen para dar forma al futuro de la informática son la nube y la computación móvil, y estos dos confluyen naturalmente ya que los usuarios cada vez tienen más acceso a servicios en la nube a través de dispositivos móviles. Las compañías que utilizan servicios en la nube tendrán que establecer las credenciales de raíz de confianza con el servicio de nube. Las organizaciones todavía quieren tener el control sobre sus políticas de seguridad, y deben ser capaces de asociarlos a los procesos de la nube habilitado para que las identidades y las autenticaciones se conservan cuando se correlacionan las transacciones de las nubes a través de límites de infraestructura. Exigen seguridad de punto final para la autenticación de usuario, así como seguridad en las transacciones de punto final de los servicios móviles.

Soluciones en la nube de identidad se está trabajando por el hardware y las compañías de software, un ejemplo es la autopista de Intel Nube de acceso 360. Cualquier solución de este tipo tiene que ser compatible con las normas existentes Federados (SAML, OAuth, Open ID) y permitir que el cliente-a-nube de inicio de sesión único de los dispositivos móviles y ordenadores conectados a dos redes domésticas y corporativas. Supervisión, auditoría y aplicación de políticas son consideraciones importantes.

Microsoft Windows Identity Foundation (WIF) es un SDK que los desarrolladores pueden utilizar en la construcción de la identidad de las aplicaciones conscientes de que se despliegue en la nube (así como las aplicaciones on-premise). Está construida sobre Active Directory Federation Services y Windows Azure servicios de acceso de control, que apoya OAuth 2.0. No es una extensión de WIF para SAML 2.0, también. WIF se basa en reclamos basados en la identidad – es decir, los tokens de seguridad emitidos por un servicio de token de seguridad (STS), que contiene un conjunto de información sobre el usuario, junto con una firma digital. Basado en notificaciones de identidad se basa en el STS para autenticar al usuario, en lugar de tener que hacerlo la aplicación.

Independientemente de la aplicación particular, autenticación de múltiples factores hacen que el manejo de la identidad en la nube mucho más segura, si la nube se accede desde los teléfonos inteligentes (como se mencionó anteriormente), de los ordenadores portátiles, tabletas, kioscos y computadoras públicas, televisores inteligentes, consolas de entretenimiento, o medios más exóticos (ordenadores portátiles, Internet habilitados para aparatos de cocina, etc). Es probable que conduzca finalmente a la biometría como una forma común de identificación.
 
Resumiendo
En esta serie de cinco partes, hemos examinado las cuestiones relacionadas con el concepto de identidad, tanto históricamente como en su aplicación a la tecnología moderna y un mundo conectado a Internet. La identidad es un tema complejo, y las soluciones tecnológicas para la gestión de identidades pueden ser aún más. El propósito de este trabajo es señalar las complejidades de tratar con la identidad y para darle al lector una visión general de las soluciones disponibles en la actualidad, y lo que puede venir pronto al mercado en el futuro.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aquí.

No dejen de leer toda la serie:
Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad
Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal
Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.
Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.


Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.

Introducción
En la Parte 1 de esta serie, se revisó la evolución del concepto de “identidad” y lo que significa, tanto dentro como fuera de ella. En la Parte 2, hemos hablado de todo lo que usted piensa que sabe acerca de la identidad – y, en particular la idea de que la igualdad de credenciales de identidad – está mal. En este sentido, la Parte 3, vamos a comenzar la discusión acerca de algunas de las soluciones actuales de Gestión de Identidad, así como nuevas formas de aplicar los viejos métodos de verificación de la identidad.

Firma como prueba de identidad
En los pre-electrónicos a veces, el nombre escrito a mano es la representación legal de la identidad de una persona y la intención de un contrato u otro documento. Debido a que la escritura tiende a ser más o menos exclusivo de un individuo a otro, una firma presenta pruebas de que la persona nombrada que había creado y/o leído y aceptado el contenido del documento es la misma.Sin embargo, las firmas pueden ser falsificadas (falso). La falsificación es un delito penal, pero contrariamente a la creencia popular, más que la firma de nombre de otra persona por lo general no constituyen la falsificación de la ley. Por ejemplo, una persona legalmente puede dar a otra persona permiso para firmar en su nombre, ya sea manualmente o utilizando un sello de firma o con una máquina, lo que es práctica común en las oficinas de negocios y agencias gubernamentales cuando la persona cuya firma es necesaria en un gran número de documentos y no pueden pasar todo el tiempo necesario para firmar personalmente. Para ser falsificación, la firma de otro nombre por lo general debe hacerse con fines fraudulentos – es decir, para engañar a alguien y/o a expensas de otro (los elementos específicos del delito se establece en los estatutos legales que hacen que sea un delito , y pueden diferir de una jurisdicción a otra).Para verificar que una firma es de hecho realizada por la persona cuyo nombre que representa, la firma puede ser notariada. Un notario público es un funcionario público que esté habilitado por el gobierno para presenciar la firma de los documentos (entre otras cosas) y autenticar la identidad de la persona que firma, por lo general mediante el examen de documentos de identificación como una licencia de conducir, DNI o pasaporte. El notario estampará la firma propia y el sello para verificar que el firmante es quien él/ella dice ser.

Las firmas digitales
En el mundo de TI, tenemos las firmas digitales para servir con un propósito similar, en calidad de evidencia de que un mensaje electrónico o documento ha sido creado o enviado por la persona o entidad a la que parece haber venido o creado. Las firmas digitales pueden ir un paso más adelante y comprobar que el mensaje o documento no se han modificado en modo alguno desde que se firmó.Las firmas digitales han estado con nosotros, al menos en concepto, desde los años 1970 (Diffie y Hellman) y está disponible en el software comercial desde finales de 1980 (Lotus Notes). Ahora las firmas digitales son cada vez más comunes, con muchas agencias gubernamentales que los utilizan para publicar los documentos oficiales, y en muchas jurisdicciones las firmas digitales son jurídicamente vinculantes, al igual que la firma manuscrita. Las firmas digitales utilizan el esquema de un par de claves pública/privada y por lo tanto se basan en una infraestructura de clave pública (PKI) para emitir los certificados digitales que contienen estas claves para la firma de documentos electrónicos. El papel de la entidad emisora de certificados es algo así como la del notario público – que es un tercero de confianza que le da su “sello de aprobación” para el firmante. La clave privada vinculada solamente a esa persona en particular y su uso para firmar el documento indica que la persona, y nadie más, lo hizo con la firma. Los certificados digitales no se utilizan sólo para la identidad de las personas , sino también las máquinas, tales como servidores web.
La clave para confiar en una firma – ya sea manuscrita o electrónica – como una verificación de identidad en su confianza de que el tercero – un notario público o CA – da fe de ello. Si un notario es laxo en exigir documentos de identidad o no sabe cómo determinar si la identificación es válida, la autenticidad de la firma puede ser dudosa. Si los certificados de la CA tienen problemas a quien lo solicite, bajo cualquier nombre, sin ningún tipo de verificación de que el solicitante está utilizando su verdadera identidad, la firma digital no es buena. Los certificados tipo Extended Validation (EV) son mucho más caros que los otros certificados digitales, ya que implican un trasfondo más profundo para comprobar la identidad legal de una entidad. Estos han existido desde 2007, cuando las directrices para la emisión de ellos fueron ratificados, y se utilizan para identificar sitios web seguros.Como la firma manuscrita, la firma de cada individuo debe ser presenciado por el notario. Con la firma electrónica, la autoridad competente emite el certificado y puede ser utilizado para muchas firmas diferentes. Por lo tanto, es imperativo que la clave privada se mantenga en secreto. La clave privada se guarda en un archivo que se puede guardar en el disco duro de una computadora, en una unidad extraíble, como una llave USB o en una tarjeta inteligente.

Más allá de la firma
Debido a que las firmas pueden ser copiadas o falsificadas, algo más a menudo, es necesario probar su identidad al firmar los documentos, siendo esto de especial importancia. Las agencias que emiten las licencias de conducir, algunos bancos y otras entidades puedan tomar una foto de una persona y/o requerir que él o ella proporcionen una huella digital junto con la firma. En el mundo de TI, la autenticación biométrica va más allá de una firma digital, lo que podría ser robado por un pirata informático inteligente. Como ya comentamos en la Parte 1, aunque la biometría no es un método infalible para verificar la identidad, se puede agregar otra capa al proceso de verificación. Si usted posee la clave privada correcta, su huella dactilar coincide con la almacenada para usted en la base de datos, usted conoce la contraseña, y usted es capaz de responder a algún desafío pregunta/respuesta de las preguntas con la información correcta, es muy probable que usted realmente es la persona que dice ser. De este modo, tal y como vemos en una “defensa en profundidad“, la solución para la protección de nuestros sistemas de los ataque, la mejor apuesta para la verificación de la identidad es una “autenticación en profundidad” como estrategia. ¿Cuál es el problema con eso? No hay, desde el punto de vista del administrador de seguridad. Pero a los usuarios no les agradará. E incluso nosotros, los profesionales de la seguridad, si somos honestos, puede ser un poco molesto cuando los sitios de banca nos pide que cambiemos nuestras contraseñas, volvamos a introducir el número de teléfono asociado a nuestras cuentas, y el nombre del perro de la tía de nuestro primer novio de antes que nos permiten la entrada para ver nuestros saldos.Un sistema de identidad de una buena gestión debe ser transparente para el usuario, al igual que un buen plan de seguridad global no puede sacrificar la facilidad de uso, o en última instancia, se producirá un error, como Bruce Schneier, dio a entender cuando dijo: “Mientras más seguro lo quiera hacer, se convierte en menos seguro.

Hacia una solución integral de gestión de identidad
Gestión de la identidad es algo más que sólo la autenticación de identidad, aunque la autenticación es un componente importante. El sistema de gestión de la identidad debe primero establecer la identidad de las personas o entidades (como computadoras) y luego usar esa información para controlar el acceso a los recursos del sistema. Suena simple, pero su aplicación efectiva puede ser muy complejo.En mundo de las TI de hoy en día, es todo acerca de EaaS – todo como un Servicio. El sistema de gestión de identidad debe estar integrado para ofrecer los servicios a los usuarios a la perfección, en la demanda, mientras se determina quién tiene acceso a los servicios y en qué grado. Y va en ambos sentidos, los usuarios deben ser capaces de verificar la identidad de los proveedores de servicios.Incluso las redes domésticas de hoy requieren de algún sistema de gestión de identidades. Los controles para padres se basan en la autenticación de identidad para dar a los padres la posibilidad de restringir los juegos que los niños puedan jugar, qué sitios web puedan visitar, cuánto tiempo podrían permanecer en línea, y así sucesivamente.En la Parte 4 de esta serie, vamos a mirar más de cerca los criterios para elegir una solución de gestión de identidad integral de una organización, la gestión de identidad federada, y el efecto de la nube de problemas de identidad en TI. Entonces, brevemente discutir el futuro de la identidad.

Continuará….

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.La cuarta parte se entregará proximamente.


Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal

Introducción
En la Parte 1 de esta serie, hemos profundizado en el significado de la “identidad” – tanto en el esquema general de las interacciones humanas, en el mundo de las redes de computadoras – cómo en los significados que han evolucionado a lo largo de los años. Desafortunadamente, mucho de lo que creemos saber sobre la identidad, prueba, luego de un examen más detenido, que sólo una parte es parcialmente verdadero o falso en su totalidad. Tal vez el mayor obstáculo para el personal de TI a superar es la idea de que la identidad es sólo acerca de los nombres y contraseñas de cuentas (o las credenciales de autenticación de terceros).

Nombres no es lo mismo que Identidad
Los nombres son el principal medio por el cual la mayoría de nosotros identifican a las personas (como a los objetos también). En el idioma Inglés (en Español se definen de la misma manera)(1), los nombres que identifican a determinados individuos o entidades se llaman “nombres propios”. La investigación ha demostrado que incluso algunas especies no humanas (como los delfines) aparece el uso de nombres, de una especie, para diferenciarse entre uno y otros. En algunas sociedades, los nombres están muy bien guardados y solo se confían a personas cuando las mismas son de confianza.
(1) Referencia del traductor.

En IT, los nombres se requieren a menudo para obtener acceso a un recurso. Los nombres de cuenta de los usuario son una parte del conjunto de la información necesaria para iniciar sesión en una computadora o tener acceso a un recurso protegido en el sistema o a través de la red. Los nombres de los servidores pueden ser necesarios para localizar un recurso de red. La combinación de nombre de servidor, nombre de dominio y el nombre del archivo está obligando a acceder a una página web – aunque a veces no están obligados a proporcionar toda la información, por ejemplo, si apuntamos un navegador web para http://www.mydomain.com, que han proporcionado el nombre del servidor Web (WWW) y los nombres de dominio (mydomain y com.) pero no tiene que escribir el nombre del archivo (por ejemplo, default.htm o index.html), ya que se supone que si no lo hacemos, puede entrar en otro nombre de archivo.

En el “mundo real”, muchas personas diferentes pueden tener exactamente el mismo nombre, escrito de la misma manera. Todos los John Smiths por ahí puede ser fácilmente confundido con otras personas. En un sistema de TI, los nombres de las cuentas de usuario se requieren generalmente para ser único dentro de ese sistema. Vemos, pues, los nombres de usuario, tales como jsmith392.

Tan importante como son los nombres, es importante recordar que un nombre en realidad es sólo un descriptor. Ya sea que se refieren a mí como “Debra Shinder”, como “el autor de Crisis de Identidad (Gestión)” o como “el 5’4 “mujer pelirroja de suéter verde”, que estamos hablando de la misma persona. Sin embargo, sólo dos de las tres descripciones son específicos (no es probable que sean muchas las mujeres que usan 5’4 “suéteres verdes en el mundo en un día determinado”). Sólo uno de ellos es permanente – que podría teñirme el pelo, o incluso cambiar legalmente mi nombre, pero una vez que he escrito este artículo, siempre voy a ser el autor. Sólo uno es “oficial”, en el que está en mis documentos emitidos por el gobierno. Los nombres se pueden cambiar – a través de una orden judicial, a través del matrimonio, o en algunas jurisdicciones en común, sólo mediante la adopción y el uso de uno nuevo. El punto es que su nombre no es usted.

En TI, los nombres de usuario también se puede cambiar. En la mayoría de los sistemas, esto se puede hacer con bastante facilidad, precisamente porque, aunque el nombre es la información que usan los humanos para identificar la cuenta, no es lo que utiliza el sistema. El sistema utiliza generalmente una cadena alfanumérica de caracteres subyacente, que en los sistemas Windows se llama el SID o el identificador de seguridad. El nombre asociado con el SID es sólo una de sus propiedades y se puede cambiar.

Las credenciales de autenticación no es igual a Identidad
Lo que comúnmente se denomina como “robo de identidad” en general es realmente el robo de credenciales que se asocian con una identidad particular. Robar tu contraseña no constituye realmente el robo de tu identidad – pero permite al ladrón hacerse pasar por Usted. Esto sólo funciona con un sistema sofisticado / sin saber que se basa únicamente en esas credenciales para identificarse y hacer la suposición de que Usted es el único que podría saber la contraseña.

Volviendo a la comparación del mundo real, si alguien utiliza su nombre y tal vez tiene una de sus tarjetas de crédito en su posesión, un comerciante no sabe por que razón puede tener la tarjeta o si la misma ha sido robada y la considera válida. Un comerciante más consciente de los riesgos, puede pedir una identificación con una foto, junto con la tarjeta de crédito, para verificar que realmente es Usted. Un comerciante que en realidad sabe que no es Usted, sabrá de inmediato que no es usted, incluso si el ladrón de la apariencia física en general es similar a la suya o no.

Incluso si una persona tuvo una cirugía plástica para él/ella se mira igual que Usted, sus amigos cercanos y miembros de la familia sabrán que no es la persona que dice ser, al menos después de un poco de interacción, porque esa persona podría tener todos sus recuerdos, o recordar todas las experiencias compartidas, y demás que componen una relación.

Un sistema de autenticación de TI sofisticado debe exigir algo más que el nombre y la contraseña correcta. Usted probablemente ha notado que recientemente, ciertos sitios web protegidos han empezado a utilizar otros métodos, adicionales para verificar su identidad junto con las credenciales habituales. Le puede solicitar la respuesta a una pregunta personal, como el monto de su pago hipotecario mensual. Puede ser que hayan seleccionado una foto que usted tendrá que escoger de un grupo de imágenes cada vez que se inicie la sesión. Hay muchas maneras diferentes de hacer el proceso de verificación de identidad más difícil para un impostor se pueda hacer pasar como Usted. El truco es hacer que sea muy difícil para un impostor, pero muy fácil para el “verdadero yo”. En la Parte 3, vamos a estar mirando a los diferentes métodos y la forma de determinar cuál funciona mejor en una situación determinada.

El dilema de la Identidad múltiple
Una cosa que complica la gestión de identidad es el gran número de identidades que cada uno de nosotros puede asumir en el curso legítimo al momento de vivir nuestras vidas. En la vida real, aunque la mayoría de nosotros usamos el mismo nombre para la mayoría de nuestras interacciones, jugamos muchos roles diferentes en función de dónde estamos y con quien estamos interactuando.

A veces estas diferencias son tan extremas que las descripciones de la misma persona en diferentes situaciones nos llevaría a creer que usted puede ser tímido y reservado en casa, pero extrovertido y bullicioso en público “No debemos estar hablando de la misma Mary Smith.” – O viceversa. Usted puede ser formal y correcto delante de sus padres, pero provocativo u ofensivo, incluso después de unas copas en un bar.

Algunas personas incluso viven de verdad una “doble vida”, no sólo actúan de manera diferente, pero usan oficialmente distintas identidades. Todos lo hemos visto en las películas – por lo general la participación de un espía del gobierno o agente de espionaje corporativo. Hemos leído los artículos periodísticos sobre el vendedor afable que tiene esposas y familias en diferentes ciudades. Y, por supuesto, no es la condición psiquiátrica, lo que se llamó una vez “doble personalidad” o “trastorno de personalidad múltiple” y que ahora se denomina “trastorno de identidad disociativo”, en el que una persona muestra “alterna” – distintas personalidades separadas, cada una con su propias percepciones del mundo.

La mayoría de nosotros tenemos muchas identidades diferentes – que generalmente se traduce en muchos conjuntos de nombres de usuario y contraseñas (y / u otras credenciales de autenticación). Tenemos un nombre y una contraseña para iniciar sesión en nuestros ordenadores, otro para el registro en los equipos de trabajo, otro para la línea de sitios Web bancarios, otro para el pago de nuestra factura de electricidad, uno para comprar cosas de Amazon, uno para compartir con los amigos en las redes sociales, y sigue y sigue y sigue. No es nada raro tener veinte o más cuentas diferentes en línea para la gestión de los diferentes aspectos de nuestras vidas digitales.

Sólo la gestión de todas sus identidades personales puede ser un desafío. Los departamentos de TI tienen más de un desafío, con la necesidad de gestionar cientos o miles de identidades de los usuarios. Algunas personas toman el camino más fácil, y usar el mismo nombre y la contraseña para todas sus cuentas. Simplifican las cosas, pero plantea una gran amenaza a la seguridad: Si el conjunto de las credenciales se ve comprometida, todas sus cuentas están en riesgo.

Otros utilizan un método improvisado de “niveles” de credenciales. Es posible que tenga un nombre de usuario/contraseña que utiliza para las cuentas no muy importantes, como el inicio de sesión en un sitio de noticias para leer sus historias o de TI en el foro para hacer/responder a las preguntas de alta tecnología. Entonces usted tiene otra cuenta que se utiliza para los sitios de alta seguridad, tales como Facebook o Google (en el que compartir información personal). Esa contraseña puede ser mayor y más compleja. Usted podría tener otro conjunto de credenciales, más difícil como contraseña/frase, para los sitios de banca o en los que debe introducir la información de tarjetas de crédito u otros datos financieros.

Una identidad para gobernarlos a todas
Single Sign-on es considerado por algunos como el Santo Grial de la gestión de la identidad. Esto se refiere a la capacidad de iniciar sesión una vez y acceder a múltiples sistemas. Esto difiere de utilizar las mismas credenciales para varias cuentas en que hay:

1.Credenciales idénticas, usted todavía tiene que iniciar sesión en cada sistema por separado, simplemente no tiene que recordar múltiples nombres y contraseñas.
2.Inicio de sesión único, usted todavía tiene unas credenciales distintas para cada uno de los sistemas, pero todos estos son almacenados por el sistema de SSO y entró automáticamente en el sistema adecuado después de haber iniciado sesión con su cuenta “maestra” de SSO.
Vamos a mirar más de cerca soluciones de sesión única en la parte 3.

A veces, tener una sola identidad, incluso dentro de un único sistema, puede ser problemático. Algunas redes sociales populares, como Facebook y Google+, han recogido quejas de los usuarios acerca de sus políticas que prohíben que los usuarios tengan varias cuentas y/o requiere a los usuarios utilizar sus “reales” (legal) nombres de cuenta. Muchas personas, por ejemplo, desean tener una cuenta de compañeros de trabajo y otro para los amigos personales. Algunos quieren usar un seudónimo, como un nombre de cuenta, porque ese es el nombre con el que el público los conoce (los autores que utilizan seudónimos, los actores que tienen nombres artísticos, etc.) En algunos casos, incluso puede ser peligroso para una persona a usar su nombre real debido a las leyes dictatoriales o por las cuestiones políticas en países en los que cualquier atisbo de disidencia puede ser castigada con la muerte.

ResumiendoSu identidad es mucho más que un conjunto de credenciales, pero la protección de sus credenciales es una parte importante para operar de forma segura en línea. En la Parte 3, vamos a ver algunas de las soluciones de gestión de identidad, y en la parte 4, vamos a terminar esta serie con algunas especulaciones sobre el futuro de la identidad en un mundo cada vez más interconectado.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La tercera y cuarta parte se entregarán proximamente.


Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad

Introducción
El robo de identidad, gestión de identidad, protección de la identidad son términos que observamos o escuchamos últimamente, y vemos que la identidad es un elemento crucial en la mayoría de los mecanismos de seguridad informática. Los controles de acceso dependerán de la identificación de los usuarios o dispositivos que se les permita ver o utilizar los recursos. Se nos pide “probar” nuestra identidad cada vez que vamos a bordo de un avión, en un hotel,al hacer una compra a través de un cheque o una tarjeta de crédito, o ingrese a una computadora o un sitio web seguro. Sin embargo, la valoración de la prueba suele ser muy baja, y en el mundo de las TI, parece que tenemos una idea equivocada acerca de lo que la identidad es en realidad y cual es el caso de que no lo es.
En este artículo, serie de tres partes, en primer lugar vamos a observar cómo el concepto de identidad se ha convertido – particularmente en los ámbitos legales y tecnológicos. En la segunda parte , vamos a demostrar por qué todo lo que usted piensa que usted sabe acerca de identidad está mal. Luego en la tercera parte, vamos a ver las soluciones de TI comunes de gestión de identidades, donde no logran cubrir las expectativas o necesidades, y cómo se podría mejorarlo.

Identidad: ¿Qué significa eso realmente?
Identidad” tiene diferentes significados, dependiendo del contexto en el que se lo utiliza. Se trata de un concepto filosófico, un concepto psicológico, un concepto jurídico, incluso un concepto religioso – y luego está ovbiamente, la forma en que se lo utiliza en TI. En términos filosóficos, simplemente se refiere a lo que hace que una entidad reconocible y distinguible de otras entidades. En psicología, se trata de la propia imagen de una persona, los roles sociales y las características de la personalidad, y hay una gran cantidad de teorías y modelos que van desde la ruptura freudiana de la psique en ello, el yo y el super yo, con el marco Eriksoniana para separar la identidad personal y social o cultural. En la teología, se trata del alma.

Eso es todo muy interesante, pero voy a dejar esos debates a la gente que está especializada en estas disciplinas. Más pertinente para aquellos que tiene que ver con el crimen cibernético es lo que significa la identidad en un sentido legal, y cómo ve el mundo de TI y de los intentos de “manejar” la identidad. Sin embargo, una breve mirada a la historia y la evolución de la sociedad de definiciones de la identidad es útil en la comprensión de la ley y su correspondiente práctica.

Historia y evolución de la identidad

Cuando usted entra en una relación con alguien – de negocios o personales – siempre es importante saber con quién estás tratando. Los seres humanos se diferencian de muchas maneras. Antes de desarrollar el lenguaje, podemos asumir que la gente se identificaban con otras personas por el aspecto que tenían, como se comportaban; sonaban (bajos gruñidos agudos frente a altos tonos?), incluso por su olor. Sabemos que muchos animales hoy en día, como los perros, se basan en la nariz para interpretar el mundo y esto incluye el reconocimiento de personas y otros animales por la forma en que huelen.

Con la palabra hablada y escrita fue la práctica de dar nombres a objetos y personas. En una población pequeña, los nombres podrían ser únicos para que cuando se habla de “John Smith”, todos sabían de quien se estaba hablando. Las poblaciones tempranas también fueron en general menos móviles (la gente no se iba de la ciudad), por lo que todos en el pueblo no sólo sabía quién era John – que lo habían conocido desde su nacimiento y estaban familiarizados con todas las características que definieron a “Juan”, como su voz, su modo de andar, los gestos divertidos que hizo con sus manos y sus comportamientos generales. Las personas fueron identificadas a menudo no sólo por sus nombres y características, sino también por su ascendencia: por ejemplo, John Smith, hijo de Robert y Mary Smith.

A medida que la población se hizo más grande y más móvil, los nombres se duplicaron y la gente entraba y salía de la ciudad. Ellos fueron identificados a veces por sus lugares de origen: es decir, Joe Jones, de Riverside. Pero a medida que más y más extranjeros llegaron a la ciudad, no teníamos la historia con ellos y no había manera de identificarlos, excepto por los nombres y otra información que proporcionaban, lo que podría o no podría ser su “verdadero” nombre. Por lo tanto hemos desarrollado la necesidad de credenciales de identidad.

Alguna vez, las credenciales podían ser cualquier cosa, desde una carta de presentación de alguien que había conocido durante un tiempo sustancial a una anotación en una Biblia de la familia. Pero los gobiernos se convirtieron en las burocracias y los burócratas les gusta llevar un registro, por lo que los documentos de identidad se convirtieron en algo común y obligatorio. Los certificados de nacimiento proporcionaban un registro escrito de un nombre, lugar / fecha / hora de nacimiento, hasta un linaje. Cuando la mayoría de los bebés nacían en su casas, muchas personas no tenían certificados de nacimiento, pero a medida que el proceso de parto se trasladó a las instituciones (hospitales), se hizo más fácil para los gobiernos para vigilar los nacimientos.

El advenimiento del automóvil tuvo la consecuencia imprevista de la creación de un modelo de documento, documento oficial de identidad, licencia de conducir. Ese documento se transformó en un pedazo de papel con su nombre, fecha de nacimiento, dirección y firma en él hasta llegar a una tarjeta de plástico con una foto, y ahora en muchas jurisdicciones se incluye una huella digital, banda magnética con información codificada, impresiones holográficas y / o transmisores de RFID.

Hoy tenemos una gran cantidad de credenciales de identidad. Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la obra social, para nuestros hijos mucho antes de ser apto para obtener un trabajo, y a pesar de que originalmente la ley prohíbe expresamente su uso como identificación, se ha convertido en una credencial de identidad de facto que no podemos usar para obtener beneficios del gobierno y pagar nuestros impuestos, pero al tomar una clase, podemos solicitar un crédito o incluso (en algunos casos) firmar un servicio como el de televisión por cable o para el servicio teléfonico. Los que trabajan para las grandes empresas tienen tarjetas de identificación de empleados. Si pertenecemos a una organización, tenemos también tarjetas de membresía. Para viajar fuera del país, es necesario el pasaporte.

Nos estamos ahogando en un mar de credenciales de identidad.

La credibilidad de las credenciales
No todas las credenciales de identidad han sido creadas iguales. ID emitidos por el gobierno son generalmente considerados como la mejor prueba de su identidad, pero ¿lo son realmente?.Los Estados han reforzado sus procedimientos, pero tan sólo unos pocos años atrás (antes de 11 de septiembre), en muchas jurisdicciones no era tan difícil conseguir una licencia de conducir con en el nombre que uno quisiera. Recuerdo que cuando me casé en la década de 1990 y me fui a DMV para cambiar mi nombre. La persona que me atendió no me pidió mi licencia de matrimonio o cualquier otra documentación del cambio de nombre que justificara mi cambio, yo simplemente les dije cual era el nuevo nombre y diligentemente se introdujo en el sistema y emitió una nueva licencia como le solicité. Por supuesto, en aquel entonces era perfectamente legal para cambiar el nombre en Texas a través de la ley común – es decir, sólo mediante la adopción y el uso del nuevo nombre. No se requiere orden judicial (a menos que usted fuera un menor de edad).

Hoy en día tienes que saltar a través de algunos aros más para obtener una licencia o cambiar su nombre, pero no es como se lo hacen en un cheque de fondo. La adición de una huella digital a la base de datos de la licencia de conducir lo hace un poco más difícil para que Usted pueda falsificar su identidad en el DMV – si alguna vez te han tomado las huellas digitales de impresión y que estás permanezcan aún en el archivo. Sin embargo, muchas personas no tienen, a menos que hayan estado en el ejército, fue arrestado alguna vez, trabajó como oficial de cumplimiento de la ley o en una posición con la autorización de seguridad, en la que se obtiene una licencia para portar un arma oculta, etc. Un día es probable que todo el mundo tomará las huellas digitales de niños, en el momento en que aún es opcional, pero esto es alentado por muchos programas de seguridad escolar del niño.

Pensamos en los métodos de alta tecnología de hoy de identificar a las personas como superiores a las de años pasados, pero ¿son realmente?. Como ya hemos mencionado, la base de la verificación de la identidad antes de que todas estas tarjetas de fantasía y los métodos científicos fuera certificado. Es interesante, vamos a regresar en torno a ver el valor de un mundo donde las credenciales de papel, plástico y electrónicos pueden ser fácilmente falsificadas.

El enfoque de TI a la identidad
Si tenías la mayoría de edad en la época de cuando la PC de IBM era el rey, es probable que recuerden arrancar el sistema operativo y empezar a trabajar. Usted no tenía que identificarse con el sistema (a menos que un software especial se hubiera cargado y te lo exigiera). Los primeros ordenadores domésticos eran compartidos por lo general por todos los miembros de la familia, y nadie tenía cuentas de usuario.

Pero en un entorno empresarial, es importante identificar quién está usando una computadora, aunque sólo sea para saber quién era responsable si el sistema estaba mal. Configuración de cuentas de usuario separadas, bien se logró esto, pero los usuarios no tenían manera de probar su identidad cuando se lo despidió y sus cuentas quedaron huérfanas, en donde cualquier persona podría utilizar cuenta de otra persona (y a menudo lo hicieron). Por lo tanto la obligación de proporcionar las credenciales para demostrar que eras realmente el usuario propietario de esa cuenta era subjetivo.

El uso de contraseñas (o “códigos secretos”) para verificar la identidad ha estado por mucho más tiempo que las computadoras. Por lo tanto, era lógico (y fácil) para utilizar el sistema de contraseñas para la autenticación de los usuarios de computadoras. Los PIN son sólo el equivalente numérico de las contraseñas alfabéticas. Sin embargo, los problemas con las contraseñas y números de identificación como un mecanismo de autenticación son leyenda. Si las contraseñas son breves y sencillas, son fáciles de romper con un ataque de fuerza bruta. Si son largos y complejos, los usuarios las olvidan y/o las escriben en algún lugar simple para recordarlas. Las frases proveen más complejidad al mismo tiempo dejan de ser relativamente fácil de recordar, pero no resolvemos del todo el problema.

La necesidad de un mecanismo de autenticación mejorado es llevado al concepto de autenticación de múltiples factores. Además de “algo que usted sabe” (PIN, contraseña o frase de contraseña), los usuarios pueden ser obligados a proporcionar algo de lo que tiene: una tarjeta inteligente o token, o un teléfono celular que se identifica por un número de serie único o una señal generada por el software . El sistema de tarjeta / token tiene sus propios inconvenientes, sin embargo, la credencial de física se puede dejar en el hogar, perdidos o robados.

Información biométrica se ha considerado el Santo Grial de la autenticación, porque se dice que se basa en “algo que se” – características fisiológicas o de comportamiento que se cree que son exclusivos de una persona en particular y que no cambian. Sin embargo, incluso los datos biométricos no ofrecen un método infalible para verificar la identidad. Las huellas dactilares se pueden reproducir a través de los moldes (o siendo más dramático, al estilo Hollywood, un tipo malo solo podría cortar el dedo y utilizarla para tener acceso). La enfermedad y las lesiones pueden causar cambios en las características fisiológicas – huellas dactilares, patrones de la retina, voz, modo de andar, etc. Existe la posibilidad en minutos, pero real, de la duplicación, por lo menos en la medida utilizada para declarar un partido en la base de datos. Por ejemplo, un sensor de huellas digitales, como cualquier pieza de equipo electrónico, pueden fallar. El software utilizado para procesar la impresión y la comparamos con otros en la base de datos podría tener errores. Los falsos positivos son posibles. Lo mismo es cierto para otros métodos biométricos.

Resumen
No hay ningún medio perfecto e infalible de la autenticación de la identidad de un usuario. Y esto es complicado por factores que vamos a discutir en la segunda parte.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La segunda parte se entregará proximamente.