Los mensajes de texto con códigos de validación no necesitan escribirse de forma oculta

-

El código de validación no es una contraseña

Un coche es un coche, una manzana es una manzana, y un tv es un tv. Digo esto porque en ciberseguridad más podría ser menos. Porque mezclar mensajes y acostumbrar al usuario a todo tipo de situaciones que parece que mejora la ciberseguridad puede resultar en menos seguridad.

Es normal que al escribir en pantalla la contraseña se oculte detrás de asteriscos para que nadie más pueda leer la contraseña. Esto se hace porque alguien que esté detrás del usuario podría ver la contraseña, o incluso imagine que su pantalla puede ser leída desde un punto externo y con un telescopio por la ventana del sistio donde está ubicada. Por esta razón se oculta la contraseña.

Hice una captura de imagen de uno de los bancos con los que trabajo, que me envió un mensaje al teléfono móvil para validar una actualización, y cuando escribo los dígitos los ocultó igual que si fuera una contraseña. La imagen a continuación:


captura de pantalla de la introducción de un código recibido en el móvil


Voy a responder a la pregunta más importante en el tema de ciberseguridad ¿qué podría pasar si alguien ve el código que ingreso? La respuesta es absoluta y rotundamente nada.

Este tipo de código se crea como una validación para asegurarse de que es el usuario quien realiza la tarea. Es una validación que depende del teléfono, más que validar al usuario valida que sea el usuario que puede acceder al teléfono.

Este tipo de escenario se da para validar el ingreso de un usuario a un sistema, o para validar una transacción. Es un escenario donde el usuario ya ha escrito una contraseña. 

La clave que se envía al teléfono es única para la transacción, ya sea para el ingreso al sistema, o para realizar una tarea. Si por alguna razón se cancela la transacción y se inicia otra transacción se generará un código nuevo. Es decir, solo sirve para lo que el usuario está haciendo en el sistema en ese preciso momento. Por lo tanto, si alguien ve el código no tiene nada en qué usarlo. 

¿Por qué es importante no tratar un código de validación como una contraseña?

La razón más importante es porque no es una contraseña. 

Los usuarios se acostumbran a ciertos estándares. Si cree que está escribiendo una contraseña no entenderá lo que realmente está haciendo. Además podría provocar que escriba la contraseña en vez del código, y que confunda contenido en otros campos. 

Dificulta la escritura del código, lo normal sería que ponga el teléfono a un lado del teclado del PC y escriba los códigos, sin embargo, al no verlos los puede escribir mal. Si todo ocurre en el teléfono móvil entonces es aún más difícil cambiar las pantallas y escribir los códigos sin equivocarse. 

Si se equivoca dos veces lo normal es que tenga que iniciar todo nuevamente. Según el sistema podría provocar un inicio de sesión nuevo, y cada inicio de sesión es un riesgo de ciberseguridad. Los usuarios no deben acostumbrarse a errar y reiniciar. 

Un usuario debe acostumbrarse a que cuando ve un campo con asteriscos está ante una contraseña y debe subir el nivel de concentración.

Comentarios

Publicar un comentario

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

-
Imagen
 Recibí un correo electrónico enviado desde una cuenta que nunca me había escrito: "noreply.dehu@correo.gob.es". Me indica que tengo una comunicación, y me pide que me dirija a la web: " dehu.redsara.es ".  Primero pensé que era un correo falso, es lo que ha de hacerse siempre, principalmente si lo recibes desde un email que jamás te ha escrito. Segundo porque de todo lo que se puede hacer mal, cómo iba a esperar que el gobierno cree una web sin el subnominio ".gob", eso sería alimentar las malas prácticas. Abrí la web para investigarla después de copiarla en texto, revisar la dirección, y la puse en un navegador seguro. Sorpresa, todo parece correcto. Incluso tiene un cartel que dice que se ha financiado con fondos Next Generation, que son los fondos para la recuperación económica, una página así no tiene sentido que se financie con estos fondos. Pues es real. Es un error de ciberseguridad. Yo le aconsejo que no crea jamás que una web que no lleve el ...
post anteriores >>

IA Generativa para resolver un sudoku. La IA alucina con la imagen

-
Imagen
Sudoku es el único juego en el que me gusta invertir tiempo. Estaba resolviendo uno y me quedé estancado, en la tablet solo puedo marcar opciones en las casillas, las tenía marcadas pero no pude avanzar, así que pensé en capturar la imagen, imprimirla, y hacer el ejercicio. Pero, por qué no probar la Inteligencia Artificial generativa.  Como aclaración al título, cuando se dice que una IA alucina significa que ha dado un resultado equivocado y aleatorio al ojo humano. La IA Generativa resolviendo un sudoku Decidí hacer el encargo a Copilot, de Microsoft, y le pedí completar el sudoku adjuntando la imagen que puedes ver.  En la siguiente seuencia se puede ver el resultado. Solo la primera fila es correcta, a partir de la segunda fila cambia incluso los números que ya están dados: ¿Problema del idioma? Pienso que el prompt no está mal, se debería entender, siempre que Copilot sepa qué es un sudoku. Lo intenté en inglés: Como se puede apreciar, Copilot no sabe resolver sudokus. P...
post anteriores >>

La diferencia entre Suministrador, Proveedor y Partner

-
Imagen
Algunas veces se usan las palabra suministrador, proveedor o partner como si fueran sinónimos, pero son diferentes conceptos aunque las tres se refieren a una organización externa que es parte de la cadena de producción. Antes de hacer referencia a la definición hablemos de qué tipo de recursos y bienes necesita una organización de otra externa. Sin importar si es una empresa privada, una empresa pública, una ONG, o cualquier otro tipo de organización; se necesitan terceros que proporcionen recursos para que la organización pueda construir sus propios servicios. ¿Qué tipos de recursos necesita la organización? Insumos y bienes generales: En la empresa se necesita papel, bolígrafos, grapas, tinta, café, carpetas, y otros insumos que son necesarios e importantes pero que quizá los empleados ni siquiera presten atención a la marca, de dónde vienen o dónde se almacenan. Hay otros posibles insumos y bienes como la electricidad, los teléfonos, Internet, quizá el metro y el autobús; estos...
post anteriores >>