Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.


Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

suplantacion arp

Seguridad en la información

Hasta este fin de semana Google era vulnerable a un ataque de spoofing (suplantación) de información en sus Google Cards.

Y digo que hasta este fin de semana, porque justo hoy (domingo), al ponerme a escribir esta pieza, he visto que al menos el enlace que tenía en seguimiento (ES) y cuyo pantallazo muestro en la foto que acompaña el artículo ya muestra los resultados correctos, alertando que “La preferencia de Búsqueda Segura estará activada en las próximas búsquedas”.

Básicamente lo que permitía este ataque (EN) era que, al entrar en una URL de búsqueda específica (por ejemplo, quién es el presidente del gobierno de España), Google mostrase en su tarjeta el contenido de otra página, en vez del correcto.

Y no hablo de un spoofing de URL. Realmente era la propia Google quien mostraba el resultado.

El truco, por supuesto, es que en la URL que el usuario entraba se había hecho la búsqueda, y además se le había forzado mediante unos comandos (kgmid y kgonly) que Google debe mostrar la información de Knowledge Graph de un tema concreto (el identificador que le demos como variable) y que además debe solo mostrar dicha información (para evitar que luego aparezcan enlaces que, como cabría esperar, demuestren lo contrario).


Para ello, por supuesto, es necesario que la información que queremos mostrar cuente ya con una entrada en el gráfico de conocimiento de la compañía (una página en la Wikipedia, un dato que tenga registrado Google…), y si al usuario le da a volver a buscar, se cargará los comandos y ya mostraría los datos correctos.

Pero no deja de ser una manera ingeniosa de engañar a muchas personas.

Se me ocurre que resultaría relativamente sencillo crear alguna campaña (redes sociales, publicidad…) que lleve a toda esa audiencia a una búsqueda que simpatiza con los objetivos (económicos, religiosos, políticos, sociales…) de los interesados.

Lo que me llama la atención es que en sí el ataque sigue siendo posible. Google no se ha cargado los comandos, sino que ha incluido dentro del filtro de Búsqueda Segura, creado en principio para evitar que se muestre contenido explícito (pornografía, por ejemplo) los posibles resultados cuya URL contenga estos comandos.

De esta manera por defecto los usuarios no verán dichos resultados… a no ser, claro está, que desactiven proactivamente las Búsquedas Seguras.

Así que toca decidir el equilibrio justo que deseamos entre seguridad y censura.

Véase ahí otra de las múltiples paradojas de este Internet que hemos entre todos creado.


________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias