El usuario y los incidentes de seguridad

ebay-elpaisMiguel Ángel García Vega, de El País, me envió una pregunta acerca de eBay y de las garantías de seguridad que ofrece su uso tras el importantísimo incidente de seguridad que la compañía sufrió el pasado mayo, que posibilitó el acceso a información personal (nombre, correo electrónico, dirección física, número de teléfono, fecha de nacimiento y contraseña cifrada) de una cantidad desconocida de su base de datos de más de 145 millones de clientes en todo el mundo.

Tras el incidente, eBay solicitó a todos sus clientes que cambiasen su contraseña. La medida no elimina totalmente el riesgo, dado que los datos comprometidos pueden seguir siendo utilizados para tratar de obtener acceso a otros sitios, y además afecta únicamente a los usuarios activos, calculados en torno a los 128 millones, que son los que reciben el aviso. La medida, además, fueactivada con cierto retraso con respecto a lo que es conveniente en estos casos.

En este tipo de incidentes de seguridad, lo que realmente debemos tratar de averiguar como clientes es lo que se desprende con respecto a las prácticas de seguridad y comunicación de las compañías. En el caso de eBay, el problema fundamental derivó del hecho de mantener una base de datos de clientes en la que el único dato cifrado era la contraseña, un error grave que revela una concepción de la seguridad claramente anticuada. Cualquier dato personal de un cliente ofrece a un hipotético atacante la posibilidad de utilizarlo para tratar de obtener acceso a otros, y debe ser almacenado con las garantías de seguridad apropiadas.

Ninguna compañía está a salvo de un ataque, pero su comportamiento tras el mismo debe permitirnos comprobar si su respeto a las prácticas mínimas de seguridad era aceptable, si se toman las medidas pertinentes de manera responsable, y si la comunicación que se hace del incidente es transparente y adecuada. Es difícil suponer que una compañía cuyas prácticas de seguridad eran un completo desastre se convierta tras un ataque en un modelo de pulcritud, y en cualquier caso, eso debería comenzar con una comunicación transparente y responsable a los posibles afectados. Las compañías que tratan de ocultar el hecho de haber sido objeto de un ataque comprometen mucho más aún al hacerlo la seguridad de sus clientes, un comportamiento claramente irresponsable. Como cliente, no tienes que plantearte dejar de usar los servicios de toda compañía que sufra un ataque, pero sí utilizar esos incidentes para tratar de diagnosticar su actitud al respecto lo mejor que puedas.

Ante la noticia de un ataque de este tipo que afecta a una empresa de la que somos o hemos sido clientes, el comportamiento responsable es tratar de saber si estamos directamente afectados mediante el uso de recursos que listan los nombres de usuario y correos electrónicos en forma de base de datos, y seguir las recomendaciones de la compañía afectada. Si se trata de una compañía en la que ya no tenemos actividad, puede se recomendable volver a acceder para cambiar nuestros datos, para evitar que alguien acceda con nuestras credenciales y actúe en ella haciéndose pasar por nosotros. Una simple búsqueda en una página como Have I been pwned?” permite comprobar si alguna de nuestras cuentas, usuarios o correos electrónicos están incluidos en las bases de datos de los incidentes de seguridad más importantes y recientes. Si es así, se trata de una contraseña que deberías cambiar y no deberías estar utilizando en ningún otro sitio – si es que todavía eres de los que usa la misma contraseña en todas partes, pauta que también deberías evitar. Si vas a cambiar tus contraseñas, recuerda evaluar su seguridad en alguna herramienta que la diagnostique adecuadamente.

Vía: El blog de Enrique Dans

Te recomendamos

México

School

Podcast

Podcast

Compartir