APP GRATIS

¿Qué debe hacer ETECSA para proteger a sus usuarios del robo de cuentas Nauta?

¿Cómo puede hacer ETECSA para proteger a sus usuarios del robo de cuentas Nauta? La falta de conocimiento de parte del usuario no es razón para cargarle toda la culpa. La falta de opciones de seguridad por parte del proveedor sí es. Aquí está el meollo del asunto. El proveedor sí puede hacer por mejorar la seguridad para evitar este tipo de ataque.

 ©

Este artículo es de hace 7 años

ETECSA no usa ningún sistema diferente de lo ya conocido en el mundo de la informática para permitir el acceso a sus usuarios a internet (o correo electrónico o lo que sea).

De hecho, técnicamente, ETECSA no es más que un proveedor de conectividad a internet a través de un servicio conocido como hotspot tal y como pueden haber en los aeropuertos, hoteles y universidades del planeta.

Un hotspot no es más que una forma de controlar quién navega a internet (o no) a través de una red pública WiFi en dependencia de si esta persona puede mostrar o demostrar que conoce o posee una identidad que le autorice a navegar. Si lo demuestra navega, si no lo demuestra, no navega. ETECSA está utilizando claves tradicionales (es decir una serie de numeros que son un usuario y/o una clave para identificar al usuario).

Lo reportado el día de hoy (ver aquí) que a usuarios de nauta le han robado sus credenciales era algo de esperar. ¿Por qué? Porque si usan un sistema conocido, y este sistema puede ser objeto de técnicas conocidas para atacarle, entonces era cuestión de tiempo para que sucediera.

Lo que pasó, técnicamente, es que engañaron burdamente al usuario haciéndole conectar a un punto de acceso con un nombre similar (reportan que en vez de WIFI_ETECSA le pusieron WIFI_ ETECSA con un espacio delante de ETECSA), el usuario entra a una red que no es la suya donde le simulan el mismo portal cautivo (un sitio web como el que el usuario espera ver), entonces entrega a ese sitio sus credenciales y luego no puede navegar (o quizá sí).

Posiblemente es normal que los usuarios a ratos no puedan navegar por el nivel de congestionamiento de las redes WIFI, por lo que el usuario lo toma natural pensando "ah tiene problemas.... intento luego!". El atacante se puede retirar y hacer uso de los datos robados con total impunidad.

El atacante tiene un arma para ganar que es que todos los interesados en navegar usan un mismo sistema de hotspot, no hay alternativas, no hay opciones a más de esta. Por lo tanto: o le usas o le usas. Y él puede gastar todos sus recursos en planificar, preparar y ejecutar un ataque contra esta plataforma.

¿Qué podemos hacer como usuarios?

Hablemos de opciones prácticas pues claro en otros lugares la mejor opción sería la de usar otro servicio con mayor preocupación por el cliente. Pero seamos realistas:

Realmente tenemos pocas opciones: no le quiero dar herramientas al atacante indicándole opciones. Pero realmente poco podemos hacer más que confiar que no nos pase.

Lo que yo sugiero es la opción de la menor pérdida: no comprar tarjetas con mucho cupo, sino pequeñas, para que ante el robo, se pierda menos.

La otra es fijarse del nombre al que nos conectamos, aquí SÍ importan los tipos de letra. No es lo mismo WIFI_ETECSA que WiFi_ETECSA (vean las i)

Reportar al proveedor y a la OSRI (Oficina de Seguridad para las Redes Informáticas) a través del correo reportes@osri.gob.cu para que los organismos de seguridad informática del país puedan ir conociendo la magnitud del evento. Efectivamente no puedo garantizar que se vaya a devolver el dinero, pero si nadie reporta el problema, el proveedor posiblemente no se entere ni actúe para arreglarlo. Sin embargo si se generan suficientes reportes, eventualmente el proveedor actuará.

¿Qué puede hacer el proveedor?

La falta de conocimiento de parte del usuario no es razón para cargarle toda la culpa. La falta de opciones de seguridad por parte del proveedor sí es. Aquí está el meollo del asunto. El proveedor sí puede hacer por mejorar la seguridad para evitar este tipo de ataque.

La mejor de todas es utilizar algún método de autenticación en dos etapas, este tipo de autenticación dificulta en grado extremo el proceso de robo de identidad pues el usuario tiene que demostrar que algo existe a través de un proceso adicional.

Por ejemplo:

  1. La tarjeta puede venir impresa con un ícono, o con un código de varios dígitos, y al entrar yo en el hotspot los datos de mi tarjeta, el servidor de hotspot debe enviarme de regreso este código (junto con otros códigos o imágenes incorrectas) y preguntarme cuál es el válido, si no coincide el código que me envían con el que tengo cierro la ventana o digo que no acepto comenzar a navegar. El atacante no conoce este código, y sin él no hace mucho robándome el resto de los datos. No le servirá la tarjeta.
  2. Usar lo que se conoce como una tarjeta índice. Es una matriz de, por ejemplo 10x6, con 60 números dentro de esa matriz. Y preguntarle al usuario por la clave del número presente en el cruce de una fila y un columna de esta tarjeta... esta forma es menos segura porque se le puede convencer al usuario que entregue todos los números de la matriz y almacenarlos. Pero puede combinarse con el paso anterior.

Estas opciones son muy simples pero no dejan de tener efectividad. Podemos hablar de muchas variantes más. Solamente quiero demostrar que es posible que ETECSA tome acciones para corregir este ataque.

La realidad sea dicha: el proveedor sí es responsable por evitar que ocurran fraudes con su información. Tal y como en la vida real se persigue al que usa documentos de identidad o pasajes forjados y no se culpa al dueño original porque le falsificaron su documento o ticket.

ETECSA tiene que tomar medidas reales e inmediatas para evitar esto. Este problema no es aislado, si ya ocurrió lo más seguro es que suceda de nuevo pues el atacante buscará provecho de lo que está haciendo, incluso vendiendo o cediendo a otros el sistema que utiliza.

¿Qué opinas?

COMENTAR

Archivado en:


¿Tienes algo que reportar?
Escribe a CiberCuba:

editores@cibercuba.com

 +1 786 3965 689