La importancia del diseño en la seguridad de una herramienta

ciberprotector logo

Como ya sabes, me llegan muchas peticiones de empresas con suites de seguridad para que las pruebe y escriba sobre ello. En algunos casos accedo, haya o no un acuerdo económico de por medio, y siempre y cuando en verdad crea que ofrecen algo diferenciador que me incita a comentarlo públicamente. Y por esta misma razón muchas de ellas se quedan fuera.

El caso de Ciberprotector (ES) es distinto.

Gerard, de Webempresa, me escribió a finales del mes pasado para comentarme que acababan de sacar esta herramienta, y que si habría forma de que encajase por estos lares.

Le dije, como suelo hacer, que le echaría un vistazo, y realmente lo que vi me motivó lo suficiente no solo como para animarme a hablar sobre ella, sino como para proponerle una colaboración a mayores, que se ha saldado, entre otras cosas, con que ahora Ciberprotector es mecenas corporativo de esta página.

¿Qué es Ciberprotector y por qué me ha gustado su propuesta?

Básicamente estamos ante un 4 en 1:

Es decir, estamos ante una suite de seguridad que NO nace con la pretensión de ser el n-ésimo antivirus del mercado, sino que han cogido tres herramientas muy pero que muy recomendables y las han paquetizado en la misma aplicación, sacando versiones para los principales sistemas operativos, y de paso con un sistema de alertas que se me antoja un gran acierto.

Seguramente más adelante me centre en sus herramientas «core», pero la pieza de hoy va más sobre el aspecto crítico de la buena toma de decisión a la hora de implementar la interfaz de sistemas de seguridad.

Hablemos, por tanto, del último pilar de esta herramienta.

ciberprotector avisos

Sobre los límites entre informar, alertar y decidir por el usuario

Creo que es importante tener en cuenta estos tres principios básicos de usabilidad de cara a pretender crear un servicio digital óptimo. Sea, como es el caso, de una herramienta de seguridad, o en la práctica de cualquier otra herramienta.

  • Tenemos que informar al usuario de todo aquello que pueda ser interesante para el buen funcionamiento de la herramienta y/o su utilidad.
  • Tenemos que alertar al usuario de todo aquello que además de ser interesante, requiere, o debería requerir, una acción inmediata por parte del mismo. Y aquí entra el concepto temporal, ya que debemos elegir el momento adecuado para mostrar dicha alerta, de forma que sea lo menos invasiva posible y lo más útil de cara a la usabilidad y a la propia funcionalidad del sistema.
  • Por último, tenemos que decidir por el usuario que parametrización inicial incluimos, en base al conocimiento que tenemos del mismo, ayudándole así a que por defecto la herramienta funcione de la manera más adecuada a nuestros intereses.

Volviendo a Ciberprotector, me ha gustado una tontería que curiosamente no había visto mucho en la mayoría de servicios VPN: Cada vez que te conectas a una nueva red WiFi, te recomienda mediente una alerta activar la VPN.

Es decir, elimina de un golpe el principal handicap de este tipo de herramientas. No es necesario ni que lleves siempre la VPN activa, ni que recuerdes que antes de conectarte a una red WiFi pública debes activar el servicio. Simplemente es la herramienta quien te lo recuerda, teniendo la opción de activarla o no en el momento, y también de que la aplicación recuerde la decisión de aquí en adelante para esa red en particular.

Y tengo que decir que en mi caso tuve un problema con la red de casa, ya que aunque yo le marcaba que no quería que me lo volviese a recordar, la aplicación lo hacía una y otra vez cada vez que salía y entraba.

Sabía, no obstante, que es un problema muy particular, ya que como ya expliqué en su día por casa tengo montado una red mesh, que entiendo, complica la identificación del SSID (el control que supongo hacían para no volver a mostrar la alerta).

Avisé, por supuesto, al equipo de desarrollo, y me informaron que ya tenían un issue abierto. En cosa de una semana al menos a mi no me ha vuelto a ocurrir.

Otro ejemplo de buena gestión de la información que mostramos y dejamos de mostrar lo veo en que por defecto para abrir Ciberprotector es necesario meter una contraseña numérica.

Esto, para una herramienta que recordemos va a gestionar contraseñas del resto de servicios, me parece crítico. Evitamos que un tercero pueda acceder en un despiste a nuestro terminal, y con él, ver el resto de cuentas que tenemos.

ciberprotector seguridad

Sigo hablando de decisiones de diseño. Como esa que, por defecto, no permite hacer capturas de pantalla dentro de la aplicación.

De esta manera, de nuevo, evitamos que alguien que pueda acceder al terminal y que además haya podido desbloquear Ciberprotector, simplemente haga capturas de nuestras cuentas y se las envíe. O nosotros mismos, sin darnos cuenta, lo hagamos, compartiéndolas de paso con servicios en la nube como Google Photos.

Por supuesto, es una medida de seguridad extra que se puede desbloquear desde ajustes. Pero requiere que sea el usuario proactivamente quien decida hacerlo, ya que por defecto viene activo.

ciberprotector alertas

Termino con el apartado de información, que en la herramienta lo han llamado Seguridad.

Ciberprotector no es un antivirus, y esto me parece un acierto, sobre todo teniendo en cuenta que en sistemas operativos móviles la figura histórica del antivirus ha dejado paso a un sistema de permisos y controles que de base, y presuponiendo que no tenemos rooteado o jailbreakeado el smartphone, se me antoja bastante decente.

¿Por dónde podemos mejorar entonces? Pues en las decisiones que el usuario, consciente o inconscientemente, haya tomado.

De esta manera, la herramienta revisa las principales funciones y permisos del sistema y los cataloga en muy recomendables (aspa rojo), recomendables (check verde) o ya cubiertos (check gris).

Aquí mi sugerencia al equipo es que se plantearan ofrecer al menos un par de niveles, uno enfocado a usuarios básicos y otro a usuarios avanzados, ya que por ejemplo para un servidor las opciones de localización, que me marca como recomendable desactivar (una recomendación de privacidad totalmente lícita), las llevo siempre activas precisamente por seguridad, ya que en caso de extravío del terminal, podría llegar a localizarlo.

Las opciones de desarrollador las tengo activas porque un servidor, de vez en cuando, tiene que hacer pruebas de este tipo. Y lo mismo pasa con la recomendación de no instalar aplicaciones de terceros. Una recomendación de la que estoy totalmente de acuerdo, pero que en mi caso, nuevamente, es algo necesario por trabajo.

Lo bueno, por cierto, es que pinchando en cada una te lleva al sitio donde se puede parametrizar, así que en unos minutos podemos dejar el dispositivo bien segurizado.

En fin, que dejo por aquí estos apuntes para quien le pueda servir.

Seguramente vuelva a hablar sobre Ciberprotector dentro de unas semanas, ya centrándome en algunos puntos específicos del resto de herramientas que ofrece.

Mientras tanto, puedes echarle un ojo a la página del servicio y probar la versión gratuita (ES).

________

Este artículo, y realmente mi trabajo diario en esta página, ha sido posible gracias al mecenazgo de algunas empresas, como es el caso de Ciberprotector (ES). Un apoyo económico que me permite seguir haciendo lo que hago, con la misma libertad de siempre para analizar productos o servicios.

Si crees que a tu organización le podría interesar ser una de ellas, visita la intranet de mecenas o escríbeme y te lo explico todo al detalle.

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias