Los hábitos que se crean en los usuarios son fundamentales en la ciberseguridad

-

Imagine el absurdo en el que usted visita una feria de hamburguesas, elige ponerse en una cola, y cuando llega al mostrador le preguntan si le apetece una hamburguesa, pero no contentos, cuando responde positivamente, le piden que firme que quiere una hamburguesa.

Como he dicho, es un escenario absurdo, pero real en otro entorno, en la RedSARA y Dehu el Servicio de Notificaciones del Gobierno de España

captura de pantalla de la página de redSARA

Ciberseguridad

La mayoría de las trampas en las que cae un usuario están basadas en el diseño de la trampa. Es decir, si pinto una puerta con un cocodrilo enfadado es poco probable que alguien quiera abrirla, pero si la pinto con un diseño de lingotes de oro y un cartel que diga gratis, más de un incauto abrirá la puerta. El diseño de el ataque es fundamental. 

El primer error de diseño del sistema de notificaciones de redSARA está en el dominio web, es un absoluto y enorme error que sea un .es, algo que cualquiera puede adquirir. La Moncloa tiene el dominio moncloa.gob.es, un dominio que solo una entidad de gobierno puede adquirir y que además se valida manualmente.

El segundo gran error, y que quizá tenga una gran escusa, está en la forma de acceder a las notificaciones. La ruta va más o menos como sigue:

  1. Visitas la web
  2. Das al ícono para acceder a las notificaciones
  3. Autenticación con un certificado o uno de los elementos de autenticación, y se realiza el protocolo
  4. Ves el buzón y tienes que marcar si quieres acceder al buzón. Curiosamente hay un botón para no acceder lo que bastaría con cerrar la ventana
  5. Una vez en el buzón se ve la notificación y toca dar clic a la notificación en un botón que dice leer
  6. Abre una ventana que pregunta si realmente quiere leer la notificación
  7. Finalmente abre la notificación

Es el ejemplo absurdo ¿crees que he visitado la web de Dehu porque estaba aburrido y pasaba por ahí? ¿Crees que me he autenticado con el certificado digital por error?

¿Por qué es un problema de ciberseguridad y no solo de usabilidad?

Porque las personas se acostumbran a los sistemas y dejan de leer. 

¿Cuántos seres humanos cree que acceden a Dehu al día? De media, unas 1.280.000 personas (o empresas) acceden cada día a la plataforma. Hay que recordar que es de caracter obligatorio. 

Por lo tanto, el gobierno está entrenando a millones de sus ciudadanos para que den clic, tras clic, tras clic, clic. Qué ocurre, que se deja de leer y se hace hábito.


Comentarios

Publicar un comentario

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

-
Imagen
 Recibí un correo electrónico enviado desde una cuenta que nunca me había escrito: "noreply.dehu@correo.gob.es". Me indica que tengo una comunicación, y me pide que me dirija a la web: " dehu.redsara.es ".  Primero pensé que era un correo falso, es lo que ha de hacerse siempre, principalmente si lo recibes desde un email que jamás te ha escrito. Segundo porque de todo lo que se puede hacer mal, cómo iba a esperar que el gobierno cree una web sin el subnominio ".gob", eso sería alimentar las malas prácticas. Abrí la web para investigarla después de copiarla en texto, revisar la dirección, y la puse en un navegador seguro. Sorpresa, todo parece correcto. Incluso tiene un cartel que dice que se ha financiado con fondos Next Generation, que son los fondos para la recuperación económica, una página así no tiene sentido que se financie con estos fondos. Pues es real. Es un error de ciberseguridad. Yo le aconsejo que no crea jamás que una web que no lleve el ...
post anteriores >>

IA Generativa para resolver un sudoku. La IA alucina con la imagen

-
Imagen
Sudoku es el único juego en el que me gusta invertir tiempo. Estaba resolviendo uno y me quedé estancado, en la tablet solo puedo marcar opciones en las casillas, las tenía marcadas pero no pude avanzar, así que pensé en capturar la imagen, imprimirla, y hacer el ejercicio. Pero, por qué no probar la Inteligencia Artificial generativa.  Como aclaración al título, cuando se dice que una IA alucina significa que ha dado un resultado equivocado y aleatorio al ojo humano. La IA Generativa resolviendo un sudoku Decidí hacer el encargo a Copilot, de Microsoft, y le pedí completar el sudoku adjuntando la imagen que puedes ver.  En la siguiente seuencia se puede ver el resultado. Solo la primera fila es correcta, a partir de la segunda fila cambia incluso los números que ya están dados: ¿Problema del idioma? Pienso que el prompt no está mal, se debería entender, siempre que Copilot sepa qué es un sudoku. Lo intenté en inglés: Como se puede apreciar, Copilot no sabe resolver sudokus. P...
post anteriores >>

La diferencia entre Suministrador, Proveedor y Partner

-
Imagen
Algunas veces se usan las palabra suministrador, proveedor o partner como si fueran sinónimos, pero son diferentes conceptos aunque las tres se refieren a una organización externa que es parte de la cadena de producción. Antes de hacer referencia a la definición hablemos de qué tipo de recursos y bienes necesita una organización de otra externa. Sin importar si es una empresa privada, una empresa pública, una ONG, o cualquier otro tipo de organización; se necesitan terceros que proporcionen recursos para que la organización pueda construir sus propios servicios. ¿Qué tipos de recursos necesita la organización? Insumos y bienes generales: En la empresa se necesita papel, bolígrafos, grapas, tinta, café, carpetas, y otros insumos que son necesarios e importantes pero que quizá los empleados ni siquiera presten atención a la marca, de dónde vienen o dónde se almacenan. Hay otros posibles insumos y bienes como la electricidad, los teléfonos, Internet, quizá el metro y el autobús; estos...
post anteriores >>