Diferentes dominios web para una misma organización es un problema de ciberseguridad

-

imágenes que muestran diferentes dominios web usados por Microsoft
Se asume, y se asume mal, que la ciberseguridad requiere software complejo y técnicos con mucho conocimiento. Se sigue publicando que el eslabón débil está en las personas, algo con lo que estoy muy de acuerdo, siempre que mencionemos que quienes diseñan la seguridad de una empresa son personas, y representan un eslabón débil.

Saber de informática no significa saber de ciberseguridad, no se confunda. Por esta razón, la ciberseguridad de la empresa debe diseñarla alguien de ciberseguridad. 

El caso de los dominios web

Voy a usar un ejemplo con los servicios de Microsoft, no porque tenga algo en contra, sino porque representa un ejemplo perfecto porque:

  • Es uno de los mayores proveedores de tecnología del mundo
  • Se le presume experto en ciberseguridad
  • Sin ninguna duda, miles le usan de ejemplo
Quiero dejar el mensaje claro que si está entrando en un dominio web diferente al de la empresa con la que ha contratado, dude. Por ejemplo si está accediendo a su banco, y el dominio web tiene un nombre diferente entonces dude. 

El caso de Microsoft puede apreciarse en la imagen:
  1. El dominio web de Microsoft es microsoft.com
  2. El dominio web que se abre cuando se va a introducir el usuario y contraseña es live.com
  3. El dominio web al que redireciona para trabajar por ejemplo en Office365 es microsoft365.com 
  4. El dominio web en el que se cambia la contraseña es windowsazure.com 
Un pequeño detalle y no por esto menos importante desde el punto de vista de la ciberseguridad, lo he marcado en la imagen con unos pequeños punteros amarillos. Son los "favicon" de las webs, los asociados a los dominios. En el ejemplo, el dominio microsoft.com y live.com coinciden, pero microsoft365.com tiene uno distinto, y la web en el dominio windowsazure.com ni siquiera tiene favicon, como si lo hubiera hecho alguien de prisa y corriendo.

Estas malas prácticas no ayudan a enseñar al usuario a protegerse. Estos descuidos hacen que los usuarios no estén alerta cuando visiten un sitio que sí intente causar un daño.

¿Qué hago con mi gestor de contraseñas?
Tenemos tantas contraseñas que lo más conveniente es tener un gestor de contraseñas, y no solo porque tenemos un gran número de contraseñas, principalmente porque quienes conocen poco de ciberseguridad obligan a los usuarios a crear contraseñas complejas, extensas, imposibles, y como si fuera poco -los que menos saben, obligan a cambiar las contraseñas con mucha frecuencia. Esto o se escribe en un papel, o se usa un gestor de contraseñas.

Sin embargo, en el ejemplo anterior con el dominio de Microsoft, el gestor se vuelve loco, o tendríamos que actualizar la contraseña en 4 dominios distintos.


Comentarios

Publicar un comentario

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

-
Imagen
 Recibí un correo electrónico enviado desde una cuenta que nunca me había escrito: "noreply.dehu@correo.gob.es". Me indica que tengo una comunicación, y me pide que me dirija a la web: " dehu.redsara.es ".  Primero pensé que era un correo falso, es lo que ha de hacerse siempre, principalmente si lo recibes desde un email que jamás te ha escrito. Segundo porque de todo lo que se puede hacer mal, cómo iba a esperar que el gobierno cree una web sin el subnominio ".gob", eso sería alimentar las malas prácticas. Abrí la web para investigarla después de copiarla en texto, revisar la dirección, y la puse en un navegador seguro. Sorpresa, todo parece correcto. Incluso tiene un cartel que dice que se ha financiado con fondos Next Generation, que son los fondos para la recuperación económica, una página así no tiene sentido que se financie con estos fondos. Pues es real. Es un error de ciberseguridad. Yo le aconsejo que no crea jamás que una web que no lleve el &quo
post anteriores >>

El clavo que sobresale siempre recibe un martillazo

-
Imagen
Encontré esta imagen en el muro de Facebook de una amiga, lo compartí, otro amigo lo compartió de mi muro, pude ver que se había compartido más de 350 veces. Seguramente sólo el hecho de publicar la imagen es suficiente, pero me atrevo a comentarlo también. “es normal” me dijo un colega, después de que habíamos hecho un gran esfuerzo por conseguir algo para una asociación, “solo es posible atacar al que hace algo, los demás son anónimos” –continuó diciendo. Lo malo de la historia es que los clavos que están formados están conformes, y quien hace de martillo lo encuentra normal, digo es su trabajo. La pregunta es: ¿Qué hará el clavo después del golpe? Desde luego lo más sano y menos doloroso es quedarse como están los demás clavos, total si te vuelves a salir recibirás otro golpe. ¿Puedes convencer al martillo?
post anteriores >>

La diferencia entre Suministrador, Proveedor y Partner

-
Imagen
Algunas veces se usan las palabra suministrador, proveedor o partner como si fueran sinónimos, pero son diferentes conceptos aunque las tres se refieren a una organización externa que es parte de la cadena de producción. Antes de hacer referencia a la definición hablemos de qué tipo de recursos y bienes necesita una organización de otra externa. Sin importar si es una empresa privada, una empresa pública, una ONG, o cualquier otro tipo de organización; se necesitan terceros que proporcionen recursos para que la organización pueda construir sus propios servicios. ¿Qué tipos de recursos necesita la organización? Insumos y bienes generales: En la empresa se necesita papel, bolígrafos, grapas, tinta, café, carpetas, y otros insumos que son necesarios e importantes pero que quizá los empleados ni siquiera presten atención a la marca, de dónde vienen o dónde se almacenan. Hay otros posibles insumos y bienes como la electricidad, los teléfonos, Internet, quizá el metro y el autobús; estos
post anteriores >>