Mi primera contribución a este blog hablaba de la “falta de cultura en seguridad”, que es a todas luces es uno de los motivos por los que los usuarios no cambiamos las contraseñas, usamos contraseñas fáciles de “cazar”, etc.
He de decir en descargo de los usuarios que en este tipo de actitudes no es justo cargar toda la culpa en el “pobre” usuario final, sino que algo tendrá que ver que nuestra “sociedad de la información / sociedad TI” parece demasiado a menudo la “sociedad del cachondeo informático”, lo que yo llamo “Sociedad CHI”. Pero si hay cachondeo no hay seriedad ni mucho menos SEGURIDAD, y vamos a ver porqué.
Empecemos por algo básico y casi trivial: obtener una entrada de cine, descargar la factura de la luz de casa, una cita con el médico, buscar un hotel, etc. Para todo esto (y mucho más), hace falta que nos demos de alta en una web, generemos una contraseña y no se cuántas cosas más, sin dejar de lado que la contraseña ha de ser alfanumérica y chiripitiflaútica. Si además de eso eres una empresa que pretendes vender a alguien, has de darte de alta en SU web (todo el mundo tiene una), te asignan SU numerito, te generan SU clave, has de confirmar que no eres una máquina con un texto ilegible que cuesta, ya no leer, sino interpretar, y además hazlo rápido o simplemente te “tira” de la web y vuelta a empezar.
A la vista de esto ¿suena o no a cachondeo? Muy serio (o profesional o “ingenieril”) no parece.
Los que nos movemos en el mundo de la seguridad queremos que la gente “se culturice”, que cambie sus contraseñas y utilice claves “seguras”. Pero, con lo que cuestan los procesos de alta y autenticación, y toda la parafernalia existente alrededor de la informática y la seguridad, lo que más se hace en ocasiones es “desincentivar” la SEGURIDAD. Veamos algunos ejemplos de la “Sociedad CHI”:
- Cada web es distinta. En unas para identificarte te denominan “usuario”, en otras “empresa”, en otras te denominan “identificación”, en unas el campo está a la derecha, en otras a la izquierda y en otras donde les da la gana.
- Cada web funciona con el navegador que su padre o su madre les dio a entender y no te informan de cuál utilizar (adivina adivinanza: prueba con este y si no va con este, y si con esos dos no va, prueba con este). Puedes perder una hora intentando que el maldito formulario funcione y para resolver dudas se ofrece un 902 que te cuesta dinero y no ofrecen (como exige la ley) un teléfono “normal”, en el que se pasan cinco minutos diciéndote que te van a grabar, que puedes reclamar por lo de la LOPD y por no se cuántas chorradas más… ¿es o no es cachondeo?
- Hay bancos que te piden usuario y contraseña para entrar. Si haces una transferencia has de añadir una clave de firma, generan una clave de una tarjeta (que te dieron en su día) y (además) te envían un SMS con otra clave a introducir… ¡por Tutatis! Solo faltaría que nos hiciesen rezar el “Yo Pecador”.
- ¿Y qué me dicen de las firmas digitales? En unos casos se admiten solo las de la FNMT, en otros solo las de Camerfirma, en otros solo las de entidades de firma locales como Generalitat Valenciana. ¿Existe alguna razón que no sea la de reírse del usuario? Y si a esto le añadimos la exigencia de enviar facturación electrónica a un cliente, apaga y vámonos. Por ejemplo, grandes compañías españolas, algunas administraciones incluidas, han hecho “su propia factura electrónica” que no es compatible con el formato de la Facturae del Ministerio de Hacienda (¿existe mayor disparate?). Incluso te exigen que para poder introducir la factura en “su portal” delegues la firma digital DE TU FACTURA en otra empresa (totalmente verídico). Lo mejor viene cuando estas grandes compañías te exigen que “introduzcas” tu factura en su plataforma y ésta comienza a dar errores de Java, momento en el que sabes que puedes dar la mañana por perdida.
Sigamos. ¿Y cuando los Ministerios, Dios los guarde, piden (más bien exigen bajo pena de excomunión y sanción económica) que cumplimentes una encuesta (cada una de las cuales funciona o no en un navegador distinto y en una versión distinta)? Has de introducir numerosos datos que son públicos (que la Administración podría perfectamente “recolectar sin molestar”) y te piden opiniones sobre algo tan heterogéneo como si tu producto es o no de series de televisión o de morcillas de arroz… ¿Para qué les sirve tener tu CNAE?
Luego están las webs oficiales donde depositas tus datos para que sean de dominio público y que luego tienes que documentar “físicamente” en un despacho para que se valide. ¿Pero, no habíamos entrado con certificado digital? ¿Pero, no habíamos introducido la clave que ellos nos habían dado? ¿Pero, pero, pero?
Si esto estuviese pasando (p.ej.) en la industria del automóvil tendríamos coches con todas las ruedas a la izquierda, otros con volante en el portamaletas, algunos con retrovisores mirando al cielo (por si los drones), pero sin embargo todas las marcas tienden a “normalizar”: ruedas redondas, volantes donde toca, estándares de seguridad que hay que cumplir, estándares de producción de gases a respetar, estándares de residuos a eliminar en su reciclaje, etc. Sin embargo, ya sea porque no se quiere, no se sabe, el mercado no está suficientemente maduro, no hay un organismo regulador que “obligue” (como sucede en la industria del automóvil) o sencillamente, alguien se está riendo de nosotros, el caso es que hoy por hoy nuestra “Sociedad TI” es más “Sociedad CHI” y demasiado a menudo un completo despropósito.
El problema de esto es que cuando tenemos esa sensación de que “todo vale” no es posible tomar nada en serio y eso incluye la seguridad. Los responsables somos todos: usuarios, diseñadores, administración, informáticos, etc. ¿Cómo vamos a querer que un cachondeo sea seguro? Primero hagamos de esto un tema serio, ya que no puedo exigir a un niño que me tome en serio si le estoy haciendo cosquillas o llevo nariz de payaso.
Ahí van unas cuantas modestas propuestas de mi cosecha, basadas en mi experiencia personal:
- todas las identificaciones estarán en el centro (para no herir susceptibilidades) y tendrán dos identificadores o siete me da igual, pero TODAS igual. Normalicemos, por favor.
- Como parece imposible conseguir que todos los navegadores funcionen igual o al menos que interpreten igual el código HTML, las webs indicarán en su publicidad con que navegador funcionan.
- Java. Sin comentarios.
- Las contraseñas no pueden caducar sin avisar. Deben caducar, pero no está mal que nos informen de ello previamente.
- Incorporemos un comando universal para la web, tan sencillo como “adelante-atrás”. Os garantizo que en muchas no existe.
- Esto es una cruzada personal. Las encuestas pedirán solo datos que no puedan obtener de fuentes públicas (Registro Mercantil o similar).
- La firma digital ha de ser universal. Si tenemos algo llamado Fábrica Nacional de Moneda y Timbre, será para algo.
- De la factura electrónica mejor no hablar porque está escrito en el BOE. Así que sólo hace que se ponga en marcha.
Los pasos siguientes os los dejo a vuestra imaginación. Seguro que se os ocurren unos cuantos.