Español | English
rss facebook linkedin Twitter

Configuraciones por defecto o como no tener una sensación falsa de seguridad

No, en esta entrada no se va a comentar las típicas y míticas configuraciones por defecto que todos conocemos (contraseñas, ficheros de ejemplos, usuarios por defecto, ficheros de instalaciones, y un sinfín de anécdotas), sino de configuraciones por defecto en otros escenarios en los que muchas veces no somos conscientes.

Un ejemplo claro es RFID. Hoy en día es muy común utilizar tarjetas con tecnología RFID para la autenticación en la entrada de las oficinas, pero muchas veces por desconocimiento de la tecnología o de sus buenas prácticas, se utilizan tarjetas de bajo coste que no tienen ninguna capa de seguridad y donde ataques como la clonación permite saltarse la autenticación con garantías de éxito. O puede que el fabricante elegido sí que tenga medidas de seguridad, pero otra vez, por desconocimiento, no se activan esas medidas. 

Cambio de escenario, saltemos a la biometría. De nuevo, muchas veces por desconocimiento, sentimos una falsa sensación de seguridad al utilizar dispositivos biométricos para la autenticación. El problema es, que como todo en la vida, hay dispositivos malos, regulares, buenos y muy buenos (generalmente relacionados con el precio que se pague por ellos, aunque al relación contraria no es cierta). Podemos pensar que estamos suficientemente protegidos al utilizar un dispositivo de huella dactilar en la entrada de nuestro CPD, pero la realidad es que si el dispositivo no tiene suficientes capas de seguridad (comprobación de constantes vitales, temperatura, rugosidad, etc), puede ser una tarea casi trivial el duplicar la huella de uno de nuestros empleados (y sin necesidad de haber vistos muchos capítulos de CSI)

En varios proyectos que hemos realizado desde S21sec labs hemos podido realizar muchas de las acciones comentadas hasta hora, y lo que más asusta de todo es la falsa sensación de seguridad. ¿Qué cara se nos puede quedar cuando pensamos que hemos invertido en un sistema de autenticación robusto y nos sentimos fuertemente protegidos, y vemos que realmente era una aparencia, y la realidad es que es uno de nuestros puntos más débiles?

Ejemplos como los dos anteriores podemos seguir enumerando: configuraciones wireless (sí, todavía se usa WEP o en claro), copias de seguridad sin cifrar ni proteger (pero sí que tenemos nuestro portátil cifrado), información sensible en nuestro móvil o PDA (y fácil de perder en un taxi), conexión de todo disco USB que nos ofrecen (un claro ejemplo es esta noticia), conexión en entornos wireless públicos y de no confianza (hoteles, aeropuertos, ...) sin utilizar otra capa de seguridad (un PoC es Hamster, la verdad es que el 3G viene de perlas, porque, ¿hasta dónde es seguro "pinchar" tu máquina en una red hostil y no confiable?), ...

Es cierto que si mezclamos cualquiera de nuestras ideas con nuestra amiga la paranoia podemos empezar en una espiral de desconfianza que por supuesto en vez de solucionar problemas no harán más que crear nuevos. Pero también es cierto que muchas veces no nos paramos a pensar en los detalles de las acciones o decisiones que tomamos, y puede que la falsa sensación de seguridad nos tenga tan obcecados, que en vez de garantizar la seguridad lo único que hacemos es entorpecer el trabajo de los demás.


David Barroso
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login