El blog de Carlos Díaz-Pache » Seguridad

Category: Seguridad

El problema de la autenticación

Acceso

Acceso

Hace poco más de 10 años la gente sólo debía recordar el usuario y la contraseña que le permitían el acceso a su correo electrónico. La aparición de tantos servicios nuevos como los que conforman lo que llamamos la web 2.0 han modificado las necesidades de autenticación de un modo radical. Actualmente un usuario puede tener un par de direcciones de correo electrónico, una cuenta de facebook y otra de twitter o tuenti. Un usuario gestiona por internet sus cuentas bancarias (probablemente en varios bancos), dispone de un blog, compra a través de ebay, amazon y Carrefour (o El Corte Inglés). La música puede descargarla en su iPod a través de iTunes o escucharla en spotify y hasta puede pagar sus impuestos o solicitar ayudas para desempleados por internet. En cada uno de esos lugares le pedirán que se identifique. ¿Quién puede recordar tantos usuarios y tantas contraseñas?

En principio el usuario lo soluciona fácilmente: mismo usuario, misma contraseña para todos los servicios. Esto supone un importante problema: no ofrece las mismas garantías de confidencialidad un gran banco que la última página de vídeos creada por unos amiguetes para enviar contenido simpático. Y cuantos más sitios conocen nuestras credenciales, menos seguro está nuestro dinero. El usuario establece entonces dos claves: la de los sitios tontos y la de los sitios importantes, pero no parece suficiente.

Conscientes del problema, quienes ofrecen los servicios empiezan a poner a su disposición otros medios de autenticarse. Ahora mismo, podríamos decir que los más populares son:

  • Usuario/password: Es el modelo tradicional. Se necesita un nombre de usuario específico para el sitio, con su correspondiente contraseña. A veces hay condiciones específicas para las contraseñas (número mínimo y máximo de caracteres, obligatoriedad de mayúsculas y minúsculas, obligatoriedad de incorporar algún número, etc.)
  • Email/password: Se soluciona el problema de olvidar el usuario. El email, por definición, debe ser único, así que solamente debe recordarse la contraseña.
  • Verificación en dos pasos: Además de validarse mediante usuario y contraseña, una vez accedido al sitio, el sistema envía un SMS al teléfono móvil del usuario con un código que debe informar para certificar su identidad. Es muy popular en entidades financieras y Google está introduciéndolo en algunos de sus servicios. El envío de SMS sustituye a la antigua tarjeta de coordenadas de los bancos.
  • Single Sign-on: Autenticación única para varias aplicaciones. Hay varios modelos, pero resumiendo, o bien se extiende la autenticación en un sitio («Acceder con la cuenta de Facebook» o «Acceder mediante Twitter»), o bien se produce una autenticación independiente como con OpenID.
  • DNI-e / Certificado electrónico: Muy utilizados en la administración pública, garantizan la identidad, permiten la firma digital (jurídicamente equivalente a la manuscrita) y ya empiezan a emplearse en la empresa privada.

Desde luego que no todos los modelos sirven para lo mismo ni son jurídicamente equivalentes, pero los usuarios deben tomar conciencia de la importancia que tiene mantener su identidad salvaguardada. Yo, humildemente, aconsejaría lo siguiente:

  • No duplicar usuario/contraseña: Replica el mismo usuario/contraseña sólo en sitios muy poco importantes: foros de uso esporádico, páginas de publicidad, etc.
  • Cambia la password hoy: Si utilizas muchos productos de Google (gmail, blogger, feedburner, reader, calendar, documents, etc.), como no lo has hecho nunca, cambia la contraseña hoy mismo. Utiliza una password con letras minúsculas, mayúsculas, números y caracteres especiales. Solo es una, y como no la vas a cambiar en mucho tiempo (desoyendo los consejos), dedícale  solamente hoy unos minutos.
  • El número del móvil sólo para quien confíes: No des el número de móvil a páginas en las que no confíes plenamente. La administración pública o los bancos hacen buen uso de él, pero otros pueden empezar a enviarte publicidad (¡y cobrarte por ello!), así que fíjate bien antes de entregar esa información.
  • Cuidado con los gadgets: Utilizamos teléfonos móviles, iPods, iPads, netbooks, portátiles y otros gadgets para conectarnos a internet, y en todos ellos metemos nuestras credenciales para acceder a nuestras páginas favoritas: redes sociales, correos o incluso bancos. Esa información la queremos grabada para mayor comodidad. Llega un momento en el que no sabemos qué información tenemos dónde. Hay que tener controladas las credenciales que residen de forma permanente. En caso de duda, hay que cambiar las contraseñas.
  • Cuidado con las aplicaciones a las que damos acceso: Hay aplicaciones de terceros a los que damos acceso a nuestras cuentas de facebook, twitter o correo. Sucede en los gadgets, pero también en aplicaciones de escritorio (lectores RSS) o en aplicaciones sobre plataformas web (como la granja de facebook). Nuevamente hay que saber a quién le estamos dando permiso y para qué, y sobre todo, informarnos de cómo revocar el permiso.
  • El certificado digital o DNI-e es intransferible: Los trámites firmados digitalmente con tu certificado digital o DNI electrónico son trámites firmados por tí. Sin excusas. Tienes el derecho a utilizarlo y el deber de custodiar tanto la tarjeta física como la clave de acceso. Si permites a otros su utilización eres responsable de las consecuencias.

En definitiva, nuestro mundo cada vez es más digital, y la información de acceso a él cada vez más importante. Usemos el sentido común.

La DGT permite acceder a los datos del pago de las multas de otras personas

Dirección General de Tráfico

Dirección General de Tráfico

Otra vez es Samuel Parra el que nos avisa de un nuevo error en la web de la DGT. En este caso, el sistema permite conocer los sancionados por multas de tráfico y los datos del pago de las multas.

La Dirección General de Tráfico está acumulando una serie de errores en su sede electrónica que amenazan con estigmatizar sus sistemas y minar su reputación. Hace poco conocíamos que la Agencia Española de Protección de Datos había la sancionado por incumplir la ley con su aplicación de consulta de los puntos del carnet, y que a pesar de ello no tenían intención de modificar la aplicación.

Lo que conocemos ahora es un modo sencillo de acceder a los datos de los justificantes de pago de las multas de tráfico. Para ello solo tenemos que conectarnos a la siguiente dirección:

https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf

A continuación, sin solicitar ningún tipo de identificación mediante usuario/password, certificado digital o DNI electrónico, se solicita el número de registro del recibo de pago. Ese número de registro tiene un formato similar a «2010005000113***». Los cuatro primeros dígitos corresponden al año, y los últimos seis son números secuenciales. Solamente introduciendo este dato, se nos ofrecerá un documento en formato PDF con la siguiente información:

  • Nombre y apellidos (o razón social)
  • DNI/NIE
  • Número de expediente sancionador
  • Fecha de pago
  • Importe de la sanción
  • Número de autorización de la tarjeta
  • Número de operación

Deduciendo el formato de este número, y probando con los números anteriores o posteriores al de nuestra sanción, nos encontramos con los resguardos de otras personas, con sus datos abiertos y sin ningún tipo de protección.

Esto supone, a todas luces, una nueva vulneración de la LOPD, que en sus artículos 9 y 10 establecen que el responsable del fichero debe establecer las medidas técnicas necesarias para garantizar la seguridad de los datos y tiene el deber de guardarlos y mantener su secreto.

Habiendo leyes que regulan desde hace tiempo este tipo de cuestiones (LOPD, LAECSP, Ley 59/2003 de firma electrónica, Esquema Nacional de Seguridad, etc.), habiendo especialistas en informática, en administración electrónica, en legislación de protección de datos, existiendo el Consejo Superior de Administración Electrónica, habiéndose implementado sistemas seguros en otras administraciones (tanto de la AGE como de las administraciones regional y local), llama poderosamente la atención que aparezcan todavía sistemas sin ningún tipo de seguridad y que incumplen de manera tan clara estas normas.

Quizás sea por el hecho de que la Administración pueda decir que no va a modificar un sistema que la AEPD ha declarado ilegal, y aquí no pase nada.

Enmascaramiento de datos en la Administración

Leo en Microsiervos sobre la «anonimización» de los datos, algo en lo que también se ha fijado Enrique Dans en su blog, en el que habla de «reidentificación». Ambos se refieren a un artículo de Ars Technica denominado «‘Anonymized’ data really isn’t -and here’s why not», algo así como «Datos anónimos que realmente no lo son -y aquí está el por qué».

En ese artículo se habla de un estudio que revela que un 87% de los estadounidenses pueden ser identificados en una base de datos utilizando únicamente su código postal, sexo y fecha de nacimiento, o como dicen en Microsiervos, «¿cuántas personas en tu distrito postal puede haber nacido exactamente en la misma fecha que tú y ser también hombre o mujer como tú?». El estudio añade que más de la mitad de los norteamericanos pueden ser también identificados de forma unívoca disponiendo simplemente de su fecha de nacimiento, localidad y sexo, haciendo poco eficaces los sistemas que tratan de evitar que se relacionen unos datos estadísticos con una identidad concreta.

Que se esté dudando de la efectividad de ciertos modos de hacer anónimos unos datos me sirve de introducción para hablar de su enmascaramiento en el ámbito de la Administración. En un momento en el que nuestros datos personales se replican cada vez en más lugares, unos de ellos controlados y otros totalmente fuera de control (pese a los esfuerzos de la AEPD), la Administración Pública, responsable de custodiar datos muy sensibles sobre todos nosotros, no solo no puede quedarse al margen de su protección, sino que debería liderarla.

A pesar de que casi siempre los entornos de producción tienen unos niveles de seguridad razonables, existen entornos de formación, desarrollo o pre-producción que no siempre cuentan con las mismas garantías. En muchas ocasiones, las bases de datos con información personal están expuestas a la mirada (¿y a la copia?) de un conjunto muy importante de personas que participan en los distintos proyectos, cuyo acceso a datos reales no es en absoluto necesario, haciendo posible una fuga de datos y vulnerando la confidencialidad.

Para evitar estos problemas existen diversos métodos de enmascaramiento de datos (data masking) que indican a las bases de datos el modo de mezclar la información sin perder la integridad referencial pero evitando que pueda vincularse a una persona real concreta. De este modo, las aplicaciones que utilizan estas bases de datos pueden seguir trabajando con ellas sin problemas aunque los desarrolladores visualizan datos aparentemente reales pero que no lo son.

El enmascaramiento de datos es una solución infrautilizada, y no sólo en la Administración. Noel Yuhanna, analista de Forrester, cree que estas soluciones terminarán siendo una característica estándar de cualquier entorno de gestión de bases de datos o aplicaciones empresariales. Yo también lo creo, y además creo que estos sistemas deben ser determinantes en el nuevo capítulo de la guerra por la privacidad de los datos personales.

Se ha avanzado mucho en la legislación que trata de impedir su recopilación, copia, distribución o utilización fraudulenta, pero deben articularse también los mecanismos técnicos a nuestro alcance para proteger la privacidad de los ciudadanos.

WPA/TKIP ha sido crackeado

Red wireless

Red wireless

Las redes inalámbricas de transmisión de datos Wi-Fi necesitan cifrar la información que por ellas se transmite para evitar que un sniffer pueda capturar las tramas de la red y acceder a todos los datos de la comunicación.

En principio, el estándar IEEE_802.11 se proveyó del método WEP (Wired Equivalent Privacy), que fue sustituído por WPA (Wi-Fi Protected Access) vistas las debilidades criptográficas que presentaba su predecesor y que hiceron que fuese desaconsejado.

No parece que WPA tenga tampoco el nivel de seguridad apropiado. En octubre de 2008 se publicó que la compañía rusa ElcomSoft había conseguido recuperar una clave WPA en un tiempo mucho menor que lo que habían conseguido anteriormente, gracias a la utilización de tarjetas gráficas NVIDIA. En noviembre de ese año, los investigadores alemanes Erik Tews y Martin Beck dijeron que habían conseguido saltarse parcialmente la seguridad, consiguiendo leer los datos enviados desde un router a un portátil. Sin embargo, no consiguieron las claves de encriptación.

Hoy hemos sabido que unos investigadores japoneses, Toshihiro Ohigashi y Masakatu Morii, de las universidades de Hiroshima y Kobe respectivamente han llevado a la práctica el ataque que no pudieron realizar los anteriores. En el paper: A Practical Message Falsification Attack on WPA (PDF) explican cómo consiguen recuperar la clave maestra en un tiempo que oscila entre uno y quince minutos.

Panorama Theme by Themocracy