Buenas tardes, en este octavo capítulo de la serie Arquitectura de Sistemas Seguros para Aplicaciones Web en Salud Digital continuaremos la lista de Vectores de Ataque con el Vector Usuario. Tal como se explicó en el capítulo 6, este vector engloba a las amenazas que involucran a cómo el usuario administra sus credenciales y privilegios asociados de una aplicación en Salud Digital.
Las amenazas presentes en este vector pueden ser separadas en 2 tipos: Malas Prácticas Baásicas de Administración de Credenciales Personales y Bajas defensas contra el Malware o la Ingeniería Social. Procedemos a describirlas y posteriormente a especificar las principales estrategias para tratar con ellas.
Tipos de amenazas
-
Malas Prácticas de Administración de Credenciales
a. Los usuarios usan contraseñas débiles y fáciles de descifrar
El 75% de los estadounidenses se frustran al tratar de recordar y administrar sus contraseñas, y como solución emplean contraseñas fáciles de recordar y de descifrar. Obtenida desde comparitech.com.b. Los usuarios reutilizan la misma contraseña en muchos otros servicios distintos a la aplicación desarrollada
Más de la mitad de los usuarios reutilizan sus contraseñas. Obtenida desde comparitech.com.c. Los usuarios comparten sus credenciales con otras personas
4 de cada 10 usuarios comparten sus contraseñas. Obtenida desde comparitech.com. -
Bajas defensas contra el Malware y la Ingeniería Social
a. Los usuarios no poseen una noción de legitimidad de los mensajes que reciben o de los servicios a los que acceden. Por ejemplo, si recibe un email que comunica que ha ganado un premio esta información puede no ser cierta, y existen distintos mecanismos mediante los cuales es posible verificar su legitimidad.
Medidas de seguridad
Es posible imponer medidas de seguridad asociadas a una Administración Segura de Credenciales como se vio más específicamente en el Capítulo 4 de esta serie. Con respecto a éstas se tienen las siguientes recomendaciones
-
Imponer contraseñas con al menos 8 caracteres, minúsculas, mayúsculas, números y símbolos.
Una contraseña con números minúsculas, mayúsculas y símbolos de 8 caracteres es muy fuerte comparada con una de sólo números y 8 caracteres. Obtenidas desde my1login.com. -
Imponer autenticación de segundo factor para administradores de información sensible. Para muchos usuarios la autenticación de segundo factor es aún de muy difícil uso, sin embargo para administradores de información sensible este es un requerimiento insalvable.
-
Promover el seguimiento de las buenas prácticas de administración de credenciales personales. Aún muchos usuarios desconocen estas buenas prácticas, como por ejemplo la mayoría no usa un administrador de contraseñas lo que imposibilita que las recuerden y/o almacenen de manera segura y consistente, repitiendolas a lo largo de los distintos servicios y haciéndolas fácilmente descifrables.
Menos de 1 entre 4 usuarios usa un administrador de contraseñas, a pesar de la gran cantidad de personas que reconocen que necesitan un mejor modo de administrarlas. Obtenida desde comparitech.com.
Por otro lado están las prácticas para verificar la legitimidad de los recursos que emplean y de las entidades con las que se comunican nuestros usuarios
-
Informar adecuadamente a usuario sobre sensibilidad de información tratada al interior de la aplicación
-
Aclarar adecuadamente que esta información nunca será solicitada de manera directa, ni debiera serlo por una entidad asociada a la aplicación o externa.
En los últimos 5 años los sitios dedicados a robar información sensible mediante técnicas de Ingeniería Social se han multiplicado por 10. Obtenida desde tessian.com.
Esta última recomendación apunta a la posibilidad de que entidades externas pueden llegar a solicitar injustificadamente información sensible, mediante lo que en el próximo capítulo trataremos más específicamente debido a su gran relevancia: el aunto de la Ingeniería Social.
→ Link al Capítulo anterior
→ Link al Capítulo siguiente
Referencias
-
Más de 25 estadisticas asociadas al uso de contraseñas 25+ Password Statistics that may change your password habits
-
55 Estadístias asociadas al uso de contraseñas 55 Important Password Statistics You Should Know: 2021 Breaches & Reuse Data - Financesonline.com
-
Más de 50 estadístias asociadas la Phishing Phishing Statistics (Updated 2021) | 50+ Important Phishing Stats | Tessian
-
Los mejor considerados administradores de contraseñas para el 2021 The Best Password Managers for 2021 | PCMag
-
¿Qué es el phishing? ¿Cómo evitarlo? Phishing: ¿qué es y como evitarlo? - Panda Security