El nivel de comodidad vs seguridad en servicios de consumo masivo

google avanzado

Ayer compartía en la newsletter exclusiva para mecenas (ES), en la que semanalmente tratamos toda la actualidad en materia de seguridad y privacidad enfocada a PYMES y autónomos (principalmente), algunos de los movimientos llevados a cabo por Google en pos de mejorar la seguridad de su sistema de cara al grueso de usuarios, con la evolución de Security Checkup, centrado más en enseñar al usuario los riesgos que simplemente a solventarlos, y también con la protección predictiva de phishing con la que contará a partir de ahora Chrome.

Me reservé, no obstante, para esta pieza tratar en profundidad otro movimiento que si bien no tiene un impacto tan masivo como los dos anteriores, me parece un ejemplo de buena praxis sobre como ofrecer una evolución sana en seguridad a plataformas que, como la de Google, se han vuelto masivas.

Hablamos, en este caso, del Programa de Protección Avanzada (ES) de los chicos de Mountain View.

Seguridad en entornos de consumo masivo

Es un tema, de facto, que hemos tratado en más de una ocasión. Cuando tenemos entre manos una plataforma utilizada por muchísimas personas, al final tenemos que llegar a compromisos que por regla general sacrifican seguridad o privacidad en pos de la usabilidad del sistema.

Por propio sentido común (la usabilidad vende más que los otros dos puntos). Y el corolario es que el negocio escala mucho más rápido si apuntamos al consumidor básico que si lo hacemos al consumidor avanzado. La otra estrategia, utilizada en algún que otro sistema, lleva ineludiblemente a problemas futuros.

Ahora bien, ¿qué hacemos entonces con ese porcentaje de usuarios que demandan mayor seguridad y privacidad en nuestros sistemas, y que están dispuestos incluso a sacrificar parte de la usabilidad de los servicios? Profesionales que, como un servidor, son de facto objetivos de la industria del crimen (y en algunos casos, como la de los activistas, también de la gubernamental). Periodistas, directivos de grandes empresas, influencers o celebrities, representantes de grupos en riesgo de exclusión social…

Es cierto que hay movimientos que mejoran las tres ramas sin afectar negativamente a ninguna. Lo vimos recientemente con la estrategia seguida por FB a la hora de mejorar la usabilidad de su sistema de contraseñas sin que por ello se vea mermada su seguridad, o en el trabajo realizado a nivel de diseño, amparándose en el conocimiento de la neurobiología, para mejorar el impacto de las alertas de seguridad en los sistemas informáticos.

Pero no siempre es, lamentablemente, posible. Por lo que parece que Google se ha decidido al final por ofrecer un nivel extra, aplicable de forma explícita por todo aquel que lo desee, donde activará el nivel más avanzado de seguridad en nuestras cuentas.

Bajo tres pilares fundamentales:

Frente a ataques de ingeniería social y phishing

La Protección Avanzada requiere el uso de claves de seguridad para acceder a tu cuenta. Las claves de seguridad son pequeños dispositivos inalámbricos o USB y se han considerado durante mucho tiempo la versión más segura de un proceso de verificación de dos pasos y la mejor protección contra ataques de phishing, ya que usan criptografía de clave pública y firmas digitales para demostrar a Google la identidad del usuario. Un atacante que no proporcione tu clave de seguridad será bloqueado automáticamente, incluso cuando tenga tu contraseña.

Me resulta interesante cómo los chicos de Google han llegado a la misma conclusión que un servidor cuando analizaba las posibles estrategias detrás de un segundo factor de autenticación.

A día de hoy el más común es el basado en el conocimiento (contraseña) y la posesión (SMS a un número de teléfono). Este es muy cómodo, pero tiene la parte mala de que en efecto ambos pueden ser atacados en remoto, usurpando la identidad de la víctima.

Sin embargo, manteniendo los mismos paradigmas pero realizando las comprobaciones del de posesión con un pincho USB se limita al alcance local cualquier posible ataque hacia la víctima. El atacante tiene que robarle físicamente ese pincho para poder usurparle la identidad, lo que de facto reduce drásticamente el riesgo asociado.

A cambio, por supuesto, obtenemos un sistema menos usable. Dependemos de no perder ese pincho USB, y de que además lo llevemos siempre con nosotros. Queda por ver, para terminar, cómo nos loguearemos entonces en dispositivos que no tengan conector USB, como es el caso de los smartphones o tablets (lo que seguramente nos obligue a llevar además un adaptador a micro-USB).

Sobra decir que entonces el doble factor de autenticación pasa de ser un elemento pedido por el sistema en ocasiones puntuales (cuando nos logueamos por primera vez desde un dispositivo desconocido o cuando lo hacemos desde conexiones distintas a las habituales) a una petición constante.

Control de permisos en la cuenta

A veces, los usuarios proporcionan sin darse cuenta acceso a aplicaciones maliciosas a sus datos de Google. La Protección Avanzada evita que esto ocurra, limitando el acceso completo a tu Gmail y Drive a determinadas aplicaciones. Por ahora, solo se incluyen las aplicaciones de Google, pero esperamos ampliarlas en el futuro.

Otra de las quejas históricas de un servidor, y que recientemente causaba controversia en Edge.

El ecosistema de aplicaciones y extensiones que hemos creado es profundamente inseguro. Por la sencilla razón de que en su desarrollo ha primado siempre más la escalabilidad del producto que su seguridad.

Con esta medida Google cierra el grifo a servicios de terceros (a priori, que lo irá abriendo para algunos grandes desarrolladores certificados), cuyas extensiones únicamente podrán acceder a permisos que no representan un riesgo grave para nuestra seguridad y/o privacidad.

Bloqueo de acceso fraudulento a las cuentas

Otro mecanismo habitual utilizado por los hackers para intentar acceder a tu información es hacerse pasar por ti y fingir que su cuenta (que en realidad es la tuya) ha sido bloqueada. Para los usuarios de la Protección Avanzada, vamos a incorporar una serie de pasos adicionales para evitar que esto suceda durante el proceso de recuperación de la cuenta, incluyendo más comprobaciones y la solicitud de información extra sobre las causas por las que no puedes acceder a tu cuenta.

Ergo, complicar aún más la recuperación de una cuenta. Recientemente he tenido un problema con mi cartera de bitcoin, y me ha sorprendido (para bien y para mal) encontrarme con unas negociaciones que llevan ya casi dos semanas para demostrar que en efecto un servidor es un servidor. Y sí, las estoy haciendo desde el mismo correo de la cuenta, con acceso a los identificadores blockchain de las últimas transferencias y con todo el histórico de correos almacenado.

Entiendo que Google ofrecerá algo parecido. Ya no será tan sencillo como recurrir a una cuenta asociada o a nuestro número de teléfono para cambiar el acceso a la misma. Lo que en efecto complica la vida al usuario que por lo que sea haya extraviado su doble factor o no recuerde la contraseña. Pero que además la complica aún más a aquellos ataques provenientes de terceros.

 

En definitiva, tres estrategias que generan mayor complejidad en eso de identificarse en servicios digitales, únicamente disponibles para todos aquellos usuarios que hayan decidido activarlas, a sabiendas de todo lo que ello supone.

Una funcionalidad que rema hacia los mismos derroteros que otro de los grandes servicios (desconocidos) de la gran G, su sistema anti-DDoS, enfocado también a perfiles muy específicos, y que ha sacado en más de una ocasión a un apuro a alguno de sus clientes.

Para que luego les recordemos a cada paso eso de “Don’t be evil (ES)