seguridad privacidad activos informacionales

Recientemente dos miembros de la Comunidad me comentaban situaciones vividas en sus compañías que les habían llevado a echar para atrás proyectos que buscaban precisamente mejorar la digitalización de las empresas… debido a políticas de desarrollo en dichas herramientas que comprometían la privacidad de las comunicaciones.

El primero de Juan S. Romero, que cito textualmente por aquí:

Estoy comenzando a organizar la infraestructura de una entidad gubernamental en donde acabo de ingresar a trabajar y me informaron las credenciales de acceso (estamos haciendo un traspaso), el asunto es que me encontré con una necesidad de gestión de contraseñas y entre lo más conocido a lo más infame, recordé varias opciones.

Me tocó que me envíen una planilla de cálculos con algunas credenciales, situación que deseo cambiar para poder robustecer el perímetro de información crítica y confidencial, entonces me dedique unas horas a algunos análisis de soluciones posibles. Dado que es un organismo público y los gastos son muy acotados, decidí emprender por las soluciones open source, como primera instancia porque me interesa saber qué es lo que hace lo que voy a instalar para gestionar tan preciado paquete de información.

El asunto es que san Google me condujo a una web app que prometía el oro y el moro, passbolt, que asegura guardar contraseñas cifradas con GnuPG (bien!) y permite también la posibilidad de intercambiar las credenciales con un equipo de trabajo (mejor!).

Al ser una solución que brinda esos dos puntos interesantes, decidí a ver los tutoriales de instalación y chusmear un poco cómo está hecha, me encontré con php y el framework cake… Estaba a punto de crear una virtual para comenzar una instalación de prueba cuando encontré el botón de «demo» en el sitio (lo tenía a la vista y no lo habia visto :P) y allí fuí.

El deploy de la instancia fue genial, super rápido con una demo de 14 días, ¡que ansiedad!, pero el motivo de este mail estaba por aparecer. Resulta que con la excusa de evitar un tampering de información en el navegador, para poder usar el sistema, me requería la instalación de una extensión en el navegador, cosa que ya no me gusto mucho ya que como sabemos los que estamos en este mundillo, las extensiones de los navegadores normalmente, requieren demasiados permisos, como por ejemplo, la posibilidad de ver y editar todos los sitios que uno navega.

Resumiendo, la extensión me requería una abusiva cantidad de permisos, sin límites y bastante riesgoso para la gestión no solo de contraseñas sino de mi navegador.

El otro de Nacho por el grupo privado de mecenas, muy al hilo de lo anteriormente comentado:

Hoy hemos quitado un tracker de recomendaciones de un cliente porque metían el pixel de seguimiento desde js como base64. Hasta aquí todo normal, pero lo hacían como jpg y añadían código específico al final del fichero que nadie les había pedido para reenviar info a otro tracker. Ese el nivel.

Es un tema, de hecho, del cual ya hemos hablando en alguna que otra ocasión.

Las extensiones de navegador las carga el diablo, y a poco que no andemos listos revisando bien su funcionamiento, pueden hacer que en efecto esa nueva implementación que viene a mejorar los procesos dentro de la empresa se salde con una ruptura de la política de privacidad, exponiendo a mayor riesgo los activos informacionales de la misma.

Todo porque, y esto ya son conjeturas mías, como en su día pasó con los sistemas operativos móviles, los markets de extensiones para el navegador aún están muy verdes en esto del control de permisos.

Al igual que no tiene sentido que una aplicación de linterna pida acceso a la lectura de SMS o a la agenda, qué sentido tiene un gestor de contraseñas realice por ejemplo ¿un tracking de usuarios?… si no es con idea de revender esa información a terceros.

Así que que sirva de aviso a navegantes este artículo.

En el momento de la toma de decisión sobre qué tecnología o servicio vamos a utilizar, es recomendable estudiar no solo el funcionamiento de dicha tecnología o servicio, sino también el del resto de componentes que utiliza la herramienta para ofrecer su funcionalidad.

Porque puede que en efecto la herramienta cumpla todos nuestros requerimientos, y además lo haga con unas medidas de seguridad y privacidad adecuadas… que si luego el usuario la va a utilizar mediante una extensión de navegador abusiva, el riesgo es el mismo que si hubiera una mala gestión por parte del propio core.

Que al final en seguridad y privacidad somos tan débiles como débil sea el más débil de toda la cadena de suministro de la información.

Ya bastante tenemos con la gestión centralizada en entornos híbridos y cloud, como para meterle mayor complejidad al asunto…