viernes, 23 de enero de 2015

La partida de ajedrez por la identidad digital

La identidad es uno de los temas recurrentes de nuestra sociedad. En un mundo globalizado, la identidad da sentido al individuo, definiendo y diferenciándonos del resto. Un recurso que adquiere un nuevo nivel en el mundo digital, donde cualquiera puede manejar distintas identidades, asociadas o no a la realidad.


Precisamente sobre identidad gira la píldora informativa del día de hoy, y es que el B2B International y los laboratorios de Kaspersky elaboraban recientemente un estudio sobre las implicaciones en materia de riesgo y seguridad de dejar desprotegidos dispositivos compartidos. Una práctica habitual incluso en el mundo corporativo (32%), que conlleva un aumento exponencial de los riesgos ya no solo para la integridad del propio dispositivo, sino para las distintas identidades asociadas al mismo.

¿Porque todos tenemos un buen sistema de gestión de identidades en nuestros dispositivos, verdad? Existen varias metodologías de implantación de sistemas de identificación digital, y en INCIBE nos explican algunas de ellas. Desde la básica (desafío-respuesta) hasta otras más elaboradas (y seguras) como el Secure Remote Password (SRP), en el que el servidor nunca llega a tener acceso directo a la contraseña.

Si hay un servicio asociado fuertemente al concepto de la identidad ese es el email. Un email cuya autenticación está a día de hoy gestionada según el proveedor de servicio que estemos usando, lo que conlleva de por sí un problema de privacidad. DMARC es la especificación desarrollada por el IETF que promete estandarizar el servicio, y que por ahora, cuenta con el beneplácito de la mayoría de compañías.

La identidad es pilar básico de las comunicaciones. De hecho, la mayoría de crisis de seguridad vienen asociadas a fallos humanos o técnicos que permiten a una identidad falsa obtener la confianza suficiente para pasar los controles y realizar sus fechorías. Y el mejor ejemplo lo tenemos en los vectores habituales de propagación del ransomware. Correos supuestamente legales que engañan a la víctima, como ocurría recientemente con la compañía española de envío de paquetes a domicilio Correos, o el supuesto fax que nos envía ahora alguna empresa con el ransomware CTB-Locker como adjunto.

Unos buscamos una identificación que nos permita disfrutar de un mundo enriquecido por el tercer entorno, y otros ocultar su identidad bajo capas de software. Realizando una investigación rutinaria sobre la evolución del troyano Njw0rm, Michael Marcos descubrió en un foro escrito en árabe las primeras pinceladas de lo que podría ser un nuevo RAT, que usaba como base el anterior troyano, al que le estaban agregando nuevas funcionalidades, con el fin de volver su control de acceso menos identificable.

Pero incluso para estos hay malas noticias. En el mundo digital todo es rastreable. Algunos analistas señalan la posibilidad de identificar nodos de la red TOR realizando llamadas por SSH y compulsándolas con Shodan (un conocido buscador de dispositivos conectados a internet). Si el servidor que funciona como nodo cuenta con IP pública(algo normal), podríamos en teoría identificarlo (y por tanto, comprometerlo con el objetivo de comprometer los paquetes enviados por esta red).

Identidades que entran en juego una y otra vez. A veces para bien, y otras en nuestro detrimento. En cualquier caso, implantar las medidas oportunas para protegerlas y estar bien informado de los avances realizados en materia de identidad digital nos permitirán disfrutar de este medio con un mayor control y una mayor seguridad. 

¡Buenas tardes!

0 comentarios:

Publicar un comentario