¿Es posible que alguien infecte mi código y el usuario termine descargando una aplicación con virus o incluso una aplicación diferente afirmando que es la mía?

Si esto sucediera -y de hecho ocurre frecuentemente- mi reputación como desarrollador se vería fuertemente cuestionada. Difícil de revertir. Cuanto más exitosa, atractiva o necesaria sea mi aplicación, mayor es el riesgo de que sea utilizada para distribuir código malicioso.

¿Y qué ocurriría si además esta aplicación es utilizada para administrar información sensible? ¿O mi cuenta bancaria?

Como los más versados en el tema seguramente sepan, existen los certificados de Firma de Código, que permiten la distribución segura de código y de contenido en Internet. Estos certificados agregan el nivel de seguridad y confianza necesario informando la identidad del desarrollador y autor de la misma. De esta forma protege a los usuarios contra la posibilidad de utilizar aplicaciones comprometidas o de terceros intentando impersonar al real autor.

Cuando una aplicación firmada por un desarrollador es modificada o resulta comprometida, una ventana emergente aparece en el navegador para dejar saber a los usuarios que el origen de la aplicación no puede ser verificado.

Todos los dispositivos, tanto computadoras de escritorio como tablets, teléfonos celulares o incluso consolas de juegos disponen del mecanismo necesario para verificar la autenticidad de una aplicación y mostrar los datos de su autor. Así, cuando un usuario instala una aplicación en cualquiera de estos dispositivos, el navegador se encarga de realizar la verificación necesaria y que la misma no ha sido modificada desde su publicación.

Actualmente, con el crecimiento constante de aplicaciones para plataformas móviles y la proliferación de software malicioso, la firma de código ha tomado mayor relevancia que nunca. Para que un desarrollador obtenga su certificado debe pasar por un proceso de autenticación realizado por una de las autoridades certificantes de confianza dentro de los navegadores y dispositivos. De manera similar a como ocurre con los sitios web y el protocolo HTTPS, un modelo de confianza robusto garantiza a todos los actores (desarrollados y usuarios) un ambiente seguro de operación.

Este modelo existe desde hace más de 15 años en Windows y otras plataformas, se ha visto actualizado técnicamente y jerarquizado su importancia. Los emisores de certificados están aplicando procedimientos de validación más estrictos para fortalecer aún más el proceso de identidad del titular.

Estos cambios muestran la importancia y valor que tiene la tecnología de seguridad para las plataformas, sistemas operativos y aplicaciones que los usuarios utilizan sobre redes abiertas.

A continuación, algunas de las situaciones más comunes:

Ataques dirigidos

El tamaño de la empresa en lo que se refiere al número de personas que trabajan en ella, es importante a la hora de determinar el grado de hostigamiento sufrido por ataques informáticos.  Las organizaciones que sufrieron la mayor cantidad de ataques durante el año pasado fueron aquellas cuya cantidad de empleados se encuentra en la cima (39%) y en la base de la pirámide (30%).

Según una encuesta realizada por Symantec, las pequeñas empresas se consideran inmunes a este tipo de ataques,  aunque la imagen real sea completamente distinta. Para los hackers es más fácil atacar y obtener dinero de pequeñas empresas en comparación a obtener los mismos resultados intentando vulnerar a organizaciones y empresas grandes.

Redes Sociales

Algunos de los métodos de engaño más utilizados fueron el envío de ofertas falsas, sin duda la vulnerabilidad detectada de mayor impacto. Estas estafas invitan a los usuarios de redes sociales a unirse a un evento o grupo falso con incentivos tales como tarjetas de regalo gratis. Unirse requiere que el usuario “comparta” sus credenciales de acceso con el atacante o enviar un SMS a un número Premium con la consecuente estafa monetaria.

Otro de los mecanismos utilizado fue el Likejacking; usando falsos botones de “Me gusta”, los atacantes engañan a los usuarios invitándolos a hacer clic en botones que instalan malware y puede enviar actualizaciones en la sección de Noticias o Información del usuario, incrementando la difusión del ataque cuando estos botones son compartidos por los contactos.

Acceso indebido a datos (data breach)

Este tipo de ataques perpetrados durante 2013 tuvieron dos características que llamaron poderosamente la atención: la velocidad y la sofisticación con que fueron realizados. Comprender estos ítems puede ayudarnos a enfrentar las amenazas y reducir las pérdidas financieras y de reputación; resultado indiscutible de este tipo de acciones.

El caso más resonante fue el ataque a la tienda minorista Target en USA, en el mes de diciembre, donde la investigación determinó que se habían sustraído nombres, números de teléfono, direcciones postales y de correo electrónico. En este caso se expusieron 40 millones de identidades.

Spam, phishing, malware

Durante este último año se ha incrementado el malware basado en la web (diferentes tipos de software que tienen como objetivo infiltrarse o dañar una computadora). Los asuntos financieros continúan siendo uno de los principales temas preferidos en la gran mayoría de los correos de phishing (fraude informático caracterizado por intentar adquirir información confidencial de forma fraudulenta). Los troyanos (que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado) se mantuvieron como la forma más popular de malware, y se detectó un número récord de nuevos ejemplares de malware en el tercer trimestre.

Otro tipo de ataque fue el ransomware, abreviatura de “Ransom Software/Malware” que intenta bloquear al usuario el acceso a su sistema o cifrar sus archivos, siendo la única forma de obtener la liberación por medio de un rescate.

Fraude bancario

El fraude a usuarios bancarios también se mantuvo dentro de los principales objetivos de los hackers. Los bancos han tenido que luchar contra distinto tipos de  ataques: Man in the Middle, Man in the Browser, Robo de Identidad, Ingeniería social, Denegación de Servicio y otros mecanismos que intentan obtener las credenciales de acceso o realizar transferencias a cuentas manejadas por ellos. 

Estas actividades devienen en una profunda investigación de la entidad financiera para intentar determinar si el usuario cometió un fraude o fue realmente víctima de una estafa; con un altísimo costo en tiempos de análisis, reputación e imagen para el Banco y pérdida de confianza del cliente.

Para reducir los ataques, algunas entidades establecieron niveles de seguridad adicionales al usuario y contraseña. Entre las metodologías más utilizadas están (ya desde hace varios años) las tarjetas de coordenadas que están llegando al fin de su madurez tecnológica. Podemos dividir los nuevos mecanismos en dos grupos: dentro del primer grupo se incluyen aquellos donde el usuario necesita de un elemento adicional para autenticarse correctamente. Los métodos más difundidos son los certificados digitales que permiten la firma de transacciones logrando la mayor seguridad disponible en transacciones del mercado y los mecanismos de generación de claves de único uso (OTP) a través de un dispositivo de hardware o desde el celular. El segundo grupo son las herramientas de Web Fraud Detection, basadas en una tecnología de evaluación que opera de forma transparente y clasifica la actividad del usuario, mediante la medición de una serie de indicadores de riesgo y su comportamiento habitual, sin que el usuario lo perciba directamente.

Hay varias instituciones en la Argentina que toman en serio la seguridad y que ya tienen implementados algunos esquemas de autenticación complejos. Otros, en cambio, están en etapas de testing o instalación de sistemas antifraude. Esperamos muchas más iniciativas en ese sentido para el 2014.

Las empresas de todo el mundo utilizan desde hace tiempo una Capa de Conexión Segura (SSL/TLS) para proteger las comunicaciones y transacciones de sus clientes y usuarios dentro de sus sitios web y otros servicios. SSL es un protocolo de encriptación diseñado originalmente por Netscape y que se convirtió en un estándar de facto, inicialmente, para ser hace mucho tiempo, el estándar TLS que vemos en todos lados.

El número de sitios a nivel mundial que utilizan este protocolo ha aumentado a más del doble desde 2005 y en la actualidad se estima que más de 4,5 millones de sitios utilizan certificados SSL emitidos por alguna autoridad de certificación. Los usuarios perciben que están bajo una comunicación segura cuando en sus navegadores disponen aparece un icono que indica que se está utilizando este protocolo (suele tratarse de un candado) ubicado sobre la barra de direcciones.

Pero no todos los certificados son iguales. Los certificados SSL denominados Extended Validation además cambian la barra de navegación a un color verde que permiten reflejar más fácilmente la empresa dueña del sitio que se está accediendo. Los certificados Symantec Secure Site Pro Extended Validation aumentan la percepción de seguridad para los usuarios, con mayores exigencias para los sitios Web, pero fundamentalmente para los emisores de dichos certificados.

El cumplimiento de una auditoría WebTrust por parte del emisor de los certificados es un elemento muy importante que permite a las empresas verificar que se cumplen acabadamente con los procedimientos más rigurosos establecidos para la industria. Una tendencia seguida por los líderes mundiales de servicios, tales como Google, Facebook o Twitter, es el uso de conexiones SSL para todas las comunicaciones y sitios.

La iniciativa Always On SSL (SSSL) ha sido adoptada por estas y otras empresas como una medida que ayuda a mejorar los procesos, reducir los riesgos de los usuarios y mejorar los niveles de confianza. Esta mejora, que se veía lejana hace simplemente unos años atrás, ha demostrado su eficacia y aceptación, y creemos que se verá incrementada en el futuro próximo para todo tipo de empresa.

Por último, es importante recordar que con el crecimiento de la banda ancha, el surgimiento de la Web 2.0 y las redes sociales, la disponibilidad de acceso desde casi cualquier dispositivo personal, las personas pasan más de la mitad de su tiempo conectadas. Este crecimiento y disponibilidad de acceso viene acompañado de un nuevo panorama de amenazas con la proliferación de botnets, malware, pérdida de datos, phishing y fraudes en línea cada vez más evolucionados. Una internet más segura es una responsabilidad de todos los que estamos “subidos” en ella.

Para pasar del mundo papel al mundo digital, la normativa se basa en la ley 25.506, que reconoció el empleo de la firma electrónica y de la firma digital y su eficacia jurídica, estableciéndose sistemas de comprobación de autoría (toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma) e integridad (si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume que este documento digital no ha sido modificado desde el momento de su firma).

El sistema que las empresas adopten deberá cumplir con una serie de requisitos que aseguren la validez probatoria de los recibos emitidos, como:

• Definir los protocolos y estándares tecnológicos utilizados para garantizar la seguridad, autenticidad, autoría, integridad e inalterabilidad de los recibos emitidos bajo la modalidad electrónica.
• Mecanismos para sustituir el soporte papel, fuera del establecimiento y de forma personal y privada.
• Alternativas que dispondrán los trabajadores para tener acceso pleno a sus recibos.
• Acciones de contingencia para la guarda y recuperación de los recibos, sin afectación alguna de su contenido.

Todo líder de proyecto que tenga en sus manos la responsabilidad de llevar adelante el cambio del recibo en papel al mundo digital deberá tener en cuenta, al momento de la migración, que el sistema que seleccione debe garantizar el resguardo del original y la copia del recibo, certificar la firma del empleador, identificar al empleado titular del certificado, permitir el firmado conforme y no conforme y verificar las firmas.

Las ventajas de este nuevo sistema son enormes. Si bien subirse a este esquema requiere de adecuaciones dentro de la empresa y la aprobación del circuito por parte de la Secretaria de Trabajo, una vez implementado los ahorros de tiempo de empleados circulando por la organización repartiendo los recibos, ahorros de impresora y papel al no tener que imprimir los comprobantes, ahorro de espacio al no tener que almacenar en un archivo físico todos los comprobantes firmados, facilidad de búsqueda y acceso por encontrarse toda la información en formato digital, motiva a las empresas a pensar muy seriamente en una migración.

Nuestra recomendación a las empresas es: busquen un implementador serio, con larga trayectoria en el mercado, con resultados exitosos y comprobables en proyectos relacionados con emisión de certificados y firma de documentos para que los guíen y acompañen a lo largo de todo este nuevo desafío que va a enfrentar.