Valadrem
«Parecen fuegos de artificio»
20 de marzo de 2023
Seguridad mal
Hace unos años, el genial xkcd publicaba una viñeta sobre cómo todos habíamos acabando usando contraseñas difíciles de recordar pero fáciles de adivinar para un ordenador, cuando en realidad todos podríamos estar usando contraseñas mucho más fáciles de recordar y difíciles de adivinar.
La viñeta tuvo gran resonancia, aunque como cualquiera pudo descubrir, era por desgracia de escasa utilidad. La mitad de las páginas en las que intentamos registrarnos nos obligan a usar mayúsculas, números y símbolos, llevándonos directamente a la categoría de difíciles de recordar, mientras que la otra mitad impone restricciones absurdas como longitudes muy cortas, con lo que usar varias palabras queda descartado.
Pese a lo limitado de su aplicación, la viñeta sí que sirve de ejemplo para un problema a menudo olvidado, los consejos mal. Anticonsejos. No empezamos a usar contraseñas difíciles de recordar por capricho, sino porque nos dijeron que era lo mejor. Un consejo que sin duda tenía su parte de verdad, pero acababa siendo negativo para nuestra seguridad. Y muy en el hilo de estos anticonsejos, hay otro consejo tan nefasto que me da sudores fríos cada vez que lo veo: el del candadito.
El saber popular nos dice que cuando queramos estar seguros de que la página en la que estamos es de fiar, tenemos que mirar ahí al lado de la dirección y fijarnos en que haya un candadito. Este consejo, que hace un par de décadas era completamente legítimo, es hoy el mayor disparate que podamos escuchar: el candadito no significa absolutamente nada, ni nos da absolutamente ninguna seguridad. Y podemos dar las gracias a Google por hacer ese candadito completamente inútil.
Cuando nació el consejo, la inmensa mayoría de Internet no estaba encriptado. Las páginas usaban el protocolo http, te conectabas a un servidor, el servidor devolvía la página, y cualquiera que hubiera pinchado tu línea (?) podía ver que estabas poniendo comentarios en el 20 minutos. Únicamente unas pocas páginas, las menos, estaban encriptadas y usaban el protocolo https, con esa s de secure al final y un candadito al lado de la dirección. Así, alguien que estuviera pinchando tu línea (?) sabría que entrabas en la web de tu banco, pero ya no podría ver tu saldo, ni ordenar una transferencia en tu nombre. Por entonces usar certificados https era algo muy exclusivo, únicamente usado por bancos, tiendas electrónicas y sitios por el estilo y era muy, muy improbable que alguien que quisiera hacerse pasar por tu banco hiciese una página https. El consejo de fiarse del candadito tenía sentido.
Cuando Google lanzó su navegador y decidió que solo ellos podían controlar Internet, la cosa cambió. No se habían ellos gastado varios millones en hacer su propio navegador para ver qué páginas visitas y qué haces en ellas, para que luego cualquiera que fuera por ahí pinchando tu línea (?) también pudiera ver lo mismo. Así que Google decidió que todas las páginas deberían pasar a https y empezó a presionar para que se cumpliera su voluntad. Moderadamente encomiable propósito, aunque no pudiera estar más lejos de ser desinteresado, esta decisión supuso la democratización absoluta de los certificados https. Es bastante sencillo para cualquiera con conocimientos de programación el añadir un certificado a un servidor, y para quien no quiera ni molestarse, muchos proveedores de hosting lo incluyen con sus paquetes habituales.
Esta democratización del https supone que ese malvado enemigo que pinchaba nuestra línea (ruso, seguro, siempre son rusos) ya no podrá espiarnos tanto. Sabrá la página porno en la que entramos, pero no sabrá qué vídeo vemos, así que ese oscuro secreto queda entre nosotros y los de la página. Bueno, y Google. Hasta ahí todo maravilloso y fantástico...
Lo que igual es un poco menos maravilloso y fantástico es que ahora nuestro malvado ruso que ya no nos puede espiar puede irse al proveedor de hosting más barato que encuentre, registrar un dominio con el nombre de nuestro banco por ahí en medio y, oh sorpresa, ahora tendrá una página falsa con un maravilloso candadito. ¿Os acordáis de que hemos educado a millones de personas en la asociación candadito = página segura? Bien, enhorabuena, ahora esos millones de personas confiarán en una página maliciosa gracias a que hemos quitado absolutamente cualquier significado al símbolo que anteriormente nos indicaba que podíamos confiar. Gracias, Google.
Por cierto, los efectos secundarios de la genial idea de Google no acaban ahí. Pese a lo masivo de su adopción, https es una tecnología bastante mierder y a lo largo de los últimos años hemos podido ver como, por debajo, las conexiones https iban cambiando continuamente. SSL 3.0, TLS 1.0, TLS 1.1... A medida que se lanzaba un nuevo protocolo, el anterior quedaba abandonado. Como también quedaban abandonados incontables equipos, incapaces ya de conectarse al no recibir actualizaciones.
¿Tienes en un cajón algún teléfono viejo con Android 2 o alguna BlackBerry anterior a BB10? Enciende tu cacharro y disfruta de emocionantes errores que te impedirán abrir ninguna de las páginas que guardaste en marcadores. Puede que sólo quieras ver el tiempo y no te importa que nadie te espíe, no importa, por tu seguridad, tu teléfono es ahora un ladrillo que te impedirá acceder a cualquier página. Guarda sitio para cuando todos y cada uno de los dispositivos que tienes ahora y aun funcionen sigan el mismo camino a medida que la tecnología siga avanzando y la obsolescencia progra... uh... quiero decir, la tu seguridad los haga completamente inútiles. La misma seguridad que lleva a que millones de personas hoy confíen en un candado que no significa absolutamente nada. Gracias, Google.
Pese a lo limitado de su aplicación, la viñeta sí que sirve de ejemplo para un problema a menudo olvidado, los consejos mal. Anticonsejos. No empezamos a usar contraseñas difíciles de recordar por capricho, sino porque nos dijeron que era lo mejor. Un consejo que sin duda tenía su parte de verdad, pero acababa siendo negativo para nuestra seguridad. Y muy en el hilo de estos anticonsejos, hay otro consejo tan nefasto que me da sudores fríos cada vez que lo veo: el del candadito.
Cuando nació el consejo, la inmensa mayoría de Internet no estaba encriptado. Las páginas usaban el protocolo http, te conectabas a un servidor, el servidor devolvía la página, y cualquiera que hubiera pinchado tu línea (?) podía ver que estabas poniendo comentarios en el 20 minutos. Únicamente unas pocas páginas, las menos, estaban encriptadas y usaban el protocolo https, con esa s de secure al final y un candadito al lado de la dirección. Así, alguien que estuviera pinchando tu línea (?) sabría que entrabas en la web de tu banco, pero ya no podría ver tu saldo, ni ordenar una transferencia en tu nombre. Por entonces usar certificados https era algo muy exclusivo, únicamente usado por bancos, tiendas electrónicas y sitios por el estilo y era muy, muy improbable que alguien que quisiera hacerse pasar por tu banco hiciese una página https. El consejo de fiarse del candadito tenía sentido.
Cuando Google lanzó su navegador y decidió que solo ellos podían controlar Internet, la cosa cambió. No se habían ellos gastado varios millones en hacer su propio navegador para ver qué páginas visitas y qué haces en ellas, para que luego cualquiera que fuera por ahí pinchando tu línea (?) también pudiera ver lo mismo. Así que Google decidió que todas las páginas deberían pasar a https y empezó a presionar para que se cumpliera su voluntad. Moderadamente encomiable propósito, aunque no pudiera estar más lejos de ser desinteresado, esta decisión supuso la democratización absoluta de los certificados https. Es bastante sencillo para cualquiera con conocimientos de programación el añadir un certificado a un servidor, y para quien no quiera ni molestarse, muchos proveedores de hosting lo incluyen con sus paquetes habituales.
Lo que igual es un poco menos maravilloso y fantástico es que ahora nuestro malvado ruso que ya no nos puede espiar puede irse al proveedor de hosting más barato que encuentre, registrar un dominio con el nombre de nuestro banco por ahí en medio y, oh sorpresa, ahora tendrá una página falsa con un maravilloso candadito. ¿Os acordáis de que hemos educado a millones de personas en la asociación candadito = página segura? Bien, enhorabuena, ahora esos millones de personas confiarán en una página maliciosa gracias a que hemos quitado absolutamente cualquier significado al símbolo que anteriormente nos indicaba que podíamos confiar. Gracias, Google.
¿Tienes en un cajón algún teléfono viejo con Android 2 o alguna BlackBerry anterior a BB10? Enciende tu cacharro y disfruta de emocionantes errores que te impedirán abrir ninguna de las páginas que guardaste en marcadores. Puede que sólo quieras ver el tiempo y no te importa que nadie te espíe, no importa, por tu seguridad, tu teléfono es ahora un ladrillo que te impedirá acceder a cualquier página. Guarda sitio para cuando todos y cada uno de los dispositivos que tienes ahora y aun funcionen sigan el mismo camino a medida que la tecnología siga avanzando y la obsolescencia progra... uh... quiero decir, la tu seguridad los haga completamente inútiles. La misma seguridad que lleva a que millones de personas hoy confíen en un candado que no significa absolutamente nada. Gracias, Google.
Etiquetas: Google, Seguridad, Tecnología
🔗 | Publicado: 14:14
Archivo
- octubre 2014
- noviembre 2014
- diciembre 2014
- enero 2015
- febrero 2015
- abril 2015
- mayo 2015
- junio 2015
- julio 2015
- agosto 2015
- octubre 2015
- noviembre 2015
- diciembre 2015
- febrero 2016
- junio 2016
- septiembre 2016
- octubre 2016
- noviembre 2016
- septiembre 2017
- octubre 2017
- diciembre 2017
- mayo 2018
- octubre 2018
- mayo 2019
- junio 2019
- julio 2019
- agosto 2019
- septiembre 2019
- noviembre 2019
- mayo 2020
- abril 2021
- julio 2021
- agosto 2021
- septiembre 2021
- octubre 2021
- diciembre 2021
- febrero 2022
- abril 2022
- mayo 2022
- junio 2022
- julio 2022
- agosto 2022
- septiembre 2022
- diciembre 2022
- marzo 2023
- abril 2023
- mayo 2023
- junio 2023
- julio 2023
- agosto 2023
- septiembre 2023
- octubre 2023
- diciembre 2023
- marzo 2024
- abril 2024