Español | English
rss facebook linkedin Twitter

Hola, quería darme de baja del ADSL...

Mucho se ha hablado estos últimos días del pirata informático que se dedicaba a comprometer cuentas de correo de personajes famosos, entre otros.

No voy a darle vueltas a la noticia en sí, ya que el tema es tan común que a menudo nos encontramos con este tipo de noticias. Pero quiero hacer una reflexión sobre el tema y dar una opinión. ¿Hasta qué punto estamos protegidos de los ataques de ingeniería social?

No todo el mundo es experto en seguridad informática, ni tiene por qué saber si alguien está intentando "estafarle", con lo que sería conveniente que las empresas, bancos, proveedores de correo, etc., dispusieran de más métodos de autenticación.

Llama la atención la facilidad que existe para darse de alta en compañías de telecomunicaciones mediante una llamada telefónica o impersonar a otro para hacer una portabilidad del ADSL (en el que la operadora antigua escucha de tu "voz" que te quieres cambiar).

También llama la atención cómo se puede dar de baja la luz, el gas, ... mediante un burofax o incluso por teléfono. Suena gracioso, pero estoy seguro de que le cuesta menos a la persona que intenta hacer el mal que al afectado si quisiera darse de baja.

¿Y qué se puede hacer? En primer lugar las empresas deberían usar tecnologías como la biometría para la voz para permitir este tipo de operaciones. Existe una tecnología emergente dedicada al comercio mediante la voz con el fin de que las empresas comprueben la identidad real del interlocutor. Este servicio lo ofrecen diversas empresas, entre ellas Semarket y Agnitio.

Desde S21sec también se investiga en estas tecnologías para la mejora de seguridad de nuestros clientes, participando en proyectos de investigación como el Proyecto IDENTICA.




Con el envío de faxes, burofaxes, etc., deberían adoptarse medidas similares, ya que a veces no se hace necesaria la fotocopia del DNI, sino simplemente el número de DNI (en cualquier caso, ¿en ese burofax alguien comprueba algo más que nombre, apellidos y número del DNI en una fotocopia?).

Otras soluciones, más acordes a la era tecnológica en la que nos encontramos, serían igualmente adecuadas. Códigos de un solo uso para ciertas acciones -como ofrecer un OTP a cada cliente y que marque en el teléfono el código que le aparece-, extender el uso de certificados para realizar ciertas acciones por Internet, evitar el uso de correos sin certificado para que no se pueda impersonar a cualquiera,...

Se debería concienciar a la sociedad de cómo protegerse de realizar acciones indebidas, usando métodos de autenticación seguros, y a los administradores de las empresas, para usar dichos métodos con sus empleados a la hora de acceder a recursos internos, y de este modo evitar o disminuir la fuga de datos confidenciales, accidentales o intencionados, como se menciona en este post.

De acuerdo, esto es otro paso más que realizar y mucha gente pensará: ¡vaya rollo tener que instalar un certificado o que me graben la voz!... pero allá cada uno con la responsabilidad que asume. ¡Que sea el usuario el culpable y no la empresa que ofrece el servicio!

Una pequeña reflexión final (pfff, ¿otra?). Visto que el gobierno va a tomar medidas contra el spam telefónico, y esperemos que siga en esa línea de proteger al usuario/cliente, se hace necesario crear una normativa que obligue a las empresas a evitar problemas de ingeniería social. Sobre todo para las personas mayores o aquellos que por desconocimiento sufren este tipo de ataques. De este modo se migrarán estos servicio a tecnologías cada vez más seguras. ¿Tecnologías seguras como Internet?

Miguel López-Negrete
S21sec labs

3 comentarios:

Txalin dijo...

Y no solo eso, servidor lleva como un par de años intentando cambiar la direccion postal para que las facturas de Endesa lleguen a mi casa en lugar de a la de mis padres, pues bien, en ese tiempo he tenido:

a) Facturas a nombre del anterior propietario en mi domicilio.

b) Facturas a nombre de Endesa Energia en mi domicilio!!

c) Facturas mi nombre en el domicilio de mis suegros!!

Para mi que hicieron combinaciones de tres elementos tomadas de dos en dos...

Otra cosa buena que les veo es que no me dan de baja ni a tiros, el anterior propietario todavia sigue de alta...

eduardo abril dijo...

Hoy he estado mirando como darme de baja de telefónica. Preveo que lo voy a necesitar en un futuro (cercano). Y sí, darse de alta es fácil y rápido, pero de baja es una tortura ...

Finalmente, he encontrado un pequeño how-to que explica cómo hacerlo: diciendo que te vas a cambiar de domicilio y que te darás de alta tan pronto como puedas, en cuanto tengas la nueva dirección. "Ingeniería social" aplicada a quitarse de encima trámites absurdos.

Es posible que lo mismo aplique a otras compañías???

La explicación es que los telefonistas suman/restan puntos según los clientes se dan de alta/baja, así que te lo ponen tan difícil como pueden ...

Saludos,

S21sec labs dijo...

Se está investigando con biometría del oído, para poder reconocer si la persona que está al teléfono es quien dice ser. Por ejemplo, al realizar una transferencia en un banco, podrían llamarte al móvil.

Al descolgar sonaría un pitido. Cada persona reacciona de diferente manera, con lo que unas células del oído responden con una emisión otoacústica, de frecuencia e intensidad diferente para cada persona, que es recogida por el terminal, para que se certifique si el oyente es quien dice ser. Aunque se necesitará avanzar más en este aspecto, es una buena noticia para evitar este tipo de ataques.

Un poco más de información en este enlace:
http://www.newscientist.com/article/mg20227035.200-our-ears-may-have-builtin-passwords.html


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login