Historias de autenticación

fingerprintNo sé si son ustedes conscientes de que si han adquirido un móvil a través de una operadora de telefonía sujeto a un contrato de permanencia, una vez éste ha expirado la operadora de telefonía está obligada a proporcionarles el código de liberación; y les anticipo que si les dicen que el trámite de obtención de dicho código llevará de diez a quince días, mienten. El caso, y lo que es pertinente a esta entrada, es que el pasado sábado llame para realizar dicha gestión “en nombre” de mi pareja (les confieso que obtengo una extraña sensación de satisfacción “conversando” con los operadores telefónicos de los grandes proveedores de servicio como las telecos o energéticas). Lo que me llamó la atención y me dejó descolocado fue que, después de haberle dado a la operadora todos los datos correctamente, incluyendo DNI, nombre y apellidos, IMEI, número de teléfono, marca y modelo, y lugar y fecha aproximada de compra (algo, esto último, que no está escrito en ningún sitio), debió pensar que una voz de hombre no es propia de una mujer, y me pidió hablar con ella. Claro está que la operadora no tenía medio de saber que ella era quien decía ser, pero al parecer, eso la satisfizo, porque un par de minutos después, retomamos la conversación, asegurada ya la autenticidad de mi petición por una voz de mujer que podía ser la de cualquiera.

Hace ya bastante tiempo, a través del blog de Bruce Schneier llegué a este artículo, titulado “Security by Letterhead“; ya lo comenté en diciembre de 2007, en una entrada titulada “Seguridad diseñada por idiotas profundos“, pero me ha parecido relevante recuperarla para la ocasión; algunas cosas no pasan de moda. Esta divertida historia ejemplifica en un conversación de una docena de líneas otro de esos absurdos procedimientos de autenticación, en este caso basado única y exclusivamente en que una petición determinada sea remitida en una carta con membrete de la compañía, independientemente de que el destinatario conozca o no el formato de ésta (“So you know what my company letterhead looks like? […] Not specifically. But […] we’d know it if we saw it).

Por último, y en el lado opuesto de la balanza, el otro día comentaba con un amigo, llamémosle Óscar, que aunque él tiene que presentar el DNI cada vez que quiere alquilar una película en el videoclub de su barrio, su hermano sólo necesita decir su nombre y apellidos (los de Óscar), sin que en ningún momento se verifique su identidad; por tanto, cualquier persona espabilada y con mucha cara puede alquilar una película en nombre de Óscar. En efecto, no es la primera vez que observo este tipo de procedimientos, comunes en establecimientos que trabajan con carnés de socio o similares; existe un titular, al cual se le exije mostrar un documento identificativo, y “autorizados”, a los que se les permite hacer uso del servicio únicamente diciendo el número de socio o nombre y apellidos del titular. Yo mismo he alquilado una película simplemente diciendo el nombre de mi hermano (que aunque era mi hermano, podía haber sido el que estaba en día anterior delante de mí en la cola) muchas veces. Este es, sin duda, uno de los ataques de ingeniería social más frecuentes: hacer pensar a la víctima que se ha ejecutado un procedimiento de autenticación que en realidad no tiene ninguna base, como ya contamos en esta otra entrada La solución en este caso, obviamente, pedir el DNI a todo el mundo.

En definitiva, estos ejemplos vienen a mostrar algunos típicos errores en relación con la seguridad, que evidencian que aunque en un futuro el hardware y el software no tengan vulnerabilidades, las personas somos mucho más difíciles de “parchear” (y por lo general, se invierte mucho menos en ello)

[Fotografía por bcymet, en Flickr].

Comments

  1. Supongo que cuando fuiste a recoger la pelicula te pidio el DNI, porque sino el fallo no es del sistema de autentificacion del videoclub, creo. :P

  2. xavitxu, me refería exactamente a eso, a que la solicitud del DNI únicamente se produce cuando éste es el titular y no cuando alguien dice que es familiar del titular (por ejemplo).

  3. Francisco Benet says

    A mi me resulta familiar este tipo de fallo de seguridad en las medianas/grandes empresas que concentran su atención al usuario, donde uno puede valerse de estos fallos al ocultarse detrás de un telefóno en una ubicación remota.

    Muy clarificador el post, si señor.