Diferentes dominios web para una misma organización es un problema de ciberseguridad

imágenes que muestran diferentes dominios web usados por Microsoft
Se asume, y se asume mal, que la ciberseguridad requiere software complejo y técnicos con mucho conocimiento. Se sigue publicando que el eslabón débil está en las personas, algo con lo que estoy muy de acuerdo, siempre que mencionemos que quienes diseñan la seguridad de una empresa son personas, y representan un eslabón débil.

Saber de informática no significa saber de ciberseguridad, no se confunda. Por esta razón, la ciberseguridad de la empresa debe diseñarla alguien de ciberseguridad. 

El caso de los dominios web

Voy a usar un ejemplo con los servicios de Microsoft, no porque tenga algo en contra, sino porque representa un ejemplo perfecto porque:

  • Es uno de los mayores proveedores de tecnología del mundo
  • Se le presume experto en ciberseguridad
  • Sin ninguna duda, miles le usan de ejemplo
Quiero dejar el mensaje claro que si está entrando en un dominio web diferente al de la empresa con la que ha contratado, dude. Por ejemplo si está accediendo a su banco, y el dominio web tiene un nombre diferente entonces dude. 

El caso de Microsoft puede apreciarse en la imagen:
  1. El dominio web de Microsoft es microsoft.com
  2. El dominio web que se abre cuando se va a introducir el usuario y contraseña es live.com
  3. El dominio web al que redireciona para trabajar por ejemplo en Office365 es microsoft365.com 
  4. El dominio web en el que se cambia la contraseña es windowsazure.com 
Un pequeño detalle y no por esto menos importante desde el punto de vista de la ciberseguridad, lo he marcado en la imagen con unos pequeños punteros amarillos. Son los "favicon" de las webs, los asociados a los dominios. En el ejemplo, el dominio microsoft.com y live.com coinciden, pero microsoft365.com tiene uno distinto, y la web en el dominio windowsazure.com ni siquiera tiene favicon, como si lo hubiera hecho alguien de prisa y corriendo.

Estas malas prácticas no ayudan a enseñar al usuario a protegerse. Estos descuidos hacen que los usuarios no estén alerta cuando visiten un sitio que sí intente causar un daño.

¿Qué hago con mi gestor de contraseñas?
Tenemos tantas contraseñas que lo más conveniente es tener un gestor de contraseñas, y no solo porque tenemos un gran número de contraseñas, principalmente porque quienes conocen poco de ciberseguridad obligan a los usuarios a crear contraseñas complejas, extensas, imposibles, y como si fuera poco -los que menos saben, obligan a cambiar las contraseñas con mucha frecuencia. Esto o se escribe en un papel, o se usa un gestor de contraseñas.

Sin embargo, en el ejemplo anterior con el dominio de Microsoft, el gestor se vuelve loco, o tendríamos que actualizar la contraseña en 4 dominios distintos.


Comentarios

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

La diferencia entre Suministrador, Proveedor y Partner

El clavo que sobresale siempre recibe un martillazo