Este módulo es un recurso para los catedráticos 

 

Medidas de seguridad cibernética y usabilidad 

 

Idealmente, las respuestas a los riesgos deberían diseñarse para proteger la confidencialidad, integridad y disponibilidad de los sistemas, redes, servicios y datos, así como garantizar la usabilidad de estas medidas (NIST, 2018). La usabilidad de dispositivos digitales (es decir, la facilidad de uso) a menudo tiene prioridad sobre la seguridad de estos dispositivos y sus contenidos (Whitten y Tygar, 1999). Sin embargo, la seguridad y la usabilidad no necesariamente son mutuamente excluyentes (Sherwood, Clark y Lynas, 2005). Las medidas de seguridad cibernética pueden ser ambas cosas: seguras y usables.

Las medidas de seguridad cibernética incluyen aquellas que buscan establecer la identidad del usuario para prevenir el acceso no autorizado a los sistemas, servicios y datos. Estas medidas de autenticación incluyen «lo que uno sabe» (p.ej., contraseñas y códigos PIN), «lo que uno tiene» (p.ej., tarjetas inteligentes y tokens) y «lo que uno es» (p.ej., información biométrica, como las huellas digitales) (Lehtinen, Russell, Gangemi Sr., 2006; Griffin, 2015). La autenticación de múltiples factores (AMF) requiere dos o más de estos métodos de autenticación para establecer la identidad del usuario (Andress, 2014).

Otro tipo de medida de seguridad cibernética es el control del acceso. Los controles de acceso, que establecen privilegios, determinan el acceso autorizado y previenen el acceso no autorizado, incluyen medidas de autenticación, y otras medidas diseñadas para proteger las contraseñas y los inicios de sesión a los sistemas, aplicaciones, sitios web, redes sociales (y otras plataformas) y dispositivos digitales (Lehtinen, Russell, Gangemi Sr., 2006). Una medida puntual sería, por ejemplo, limitar el número de intentos permitidos para ingresar una contraseña en un teléfono inteligente. Existe una opción en los teléfonos inteligentes que permite a los usuarios borrar todos los datos en el dispositivo después de un cierto número de intentos fallidos para ingresar la contraseña. Esta característica se creó para permitir que los usuarios protejan los datos en sus dispositivos, en caso el dispositivo digital haya sido robado o que alguien intente acceder sin autorización.

Otros ejemplos de controles de acceso incluyen aumentar progresivamente el plazo de espera cada vez que la contraseña sea mal ingresada o limitar el número diario de intentos de digitación con contraseñas erradas, lo que también podría impedir el acceso del usuario a la cuenta durante un periodo de tiempo determinado (Lehtinen, Russell, Gangemi Sr., 2006). Los controles que regulan los inicios de sesión están diseñados a manera de protección contra los intentos de acceso no autorizado a las cuentas del usuario. Los retrasos de tiempo se diseñan como protección contra los ataques de fuerza bruta.

¿Sabías que...?

La prueba de Turing completamente automática y pública para diferenciar computadoras de humanos (CAPTCHA, por sus siglas en inglés) se ha empleado para prevenir ataques de fuerza bruta. Sin embargo, los estudios demuestran que las imágenes de CAPTCHA también pueden evadirse (p.ej., Bursztein et al., 2014; Sivakorn, Polakis y Keromytis, 2016; Gao et al., 2014).

Un ataque de fuerza bruta es el uso de un script (es decir, programa informático) o bot (discutido en Delitos Cibernéticos Módulo 2Tipos Generales de Delitos Cibernéticos) para adivinar (por ensayo y error) las credenciales de los usuarios (como sus nombres de usuario o contraseña) (para obtener más información sobre los ataques de fuerza bruta, consulte Knusden y Robshaw, 2011, 95-108). Los ataques de fuerza bruta utilizan, entre otras cosas, contraseñas comunes o detalles filtrados de inicio de sesión. En 2018, se reveló que la opción de contraseña maestra, que permitía a los usuarios encriptar las contraseñas que estuvieran guardadas en el buscador de Mozilla Firefox (un buscador web), podían ser fácilmente expuesta utilizando un ataque de fuerza bruta (Trend Micro, 2018).

¿Sabías que...?

Los hackers o script-kiddies hábiles (individuos sin mayores habilidades técnicas) pueden ejecutar ataques de fuerza bruta).

¿Deseas saber más?

INFOSEC Institute. (2018). Popular Tools for Brute-force Attacks .

 Los usuarios o los sistemas pueden generar contraseñas (Adams, Sasse y Lundt, 1997). Las contraseñas generadas por sistemas (es decir, una contraseña creada por un programa) son difíciles de adivinar y podrían resistir a los crackers (descifradores) de contraseñas (aunque esto dependerá de la longitud de las contraseñas). El problema con las contraseñas generadas por sistemas es que son difíciles de recordar. Esto incentiva a los individuos a guardar su contraseña, por ejemplo, escribiéndola o guardándola en su buscador, aplicación o dispositivo digital. Por este motivo, se prefiere el uso de contraseñas generadas por el usuario. No obstante, las contraseñas generadas por el usuario también podrían ser difíciles de recordar. Los sistemas, aplicaciones y plataformas en línea a menudo tienen reglas de creación de contraseñas que son difíciles de cumplir por los usuarios porque requieren, por ejemplo, que las contraseñas tengan un mínimo de longitud e incluyan combinaciones de mayúsculas con minúsculas, números y símbolos. Por ese motivo, al igual que las contraseñas generadas por sistemas, las contraseñas generadas por el usuario también suelen ser difíciles de recordar.

También se anima a las personas a tener una contraseña distinta para cada cuenta (Información del Consumidor de la Comisión Federal de Comercio de los Estados Unidos, 2017). Esta recomendación tiene como objetivo minimizar el daño causado a los individuos en caso las credenciales de una de sus cuentas sean expuestas. En 2017, una compañía de investigación encontró un archivo en línea con 1 400 millones de usuarios y contraseñas de individuos, provenientes de una variedad de redes sociales, sitios de transmisión de juegos, televisión y películas y otros sitios en línea (Matthews, 2017). Si algunas de estas personas reciclan sus contraseñas, esta filtración también pone en peligro sus otras cuentas (aquellas con los mismos usuarios o contraseñas). Si bien el uso de contraseñas complejas y distintas para cada cuenta brinda cierto grado de seguridad a las personas, también impacta la usabilidad de las contraseñas (es decir, la facilidad para recordarlas). Como bien sostienen Adams, Sasse y Lundt (1997), «más restricciones en los mecanismos de autenticación generan más problemas en la usabilidad» (pág. 3).

Se han propuesto opciones de autenticación distintas a las contraseñas. El uso de mecanismos de autenticación alternativos, como la información biométrica, también trae consigo consecuencias adversas de tipo social, legal y hasta de seguridad (Greenberg, 2017a; Greenberg, 2017b). Un caso conocido es el de los iPhones de Apple que vienen con un TouchID, que permite a los usuarios desbloquear sus dispositivos con su huella dactilar, y un FaceID, que con su tecnología de reconocimiento facial permite a los usuarios desbloquear sus dispositivos mostrando el rostro. En Estados Unidos, los agentes de justicia penal no pueden obligar a una persona a compartir sus contraseñas; la misma protección no se ha extendido todavía para las huellas dactilares y demás información biométrica (consulte, por ejemplo, Virginia v. Baust, 2014 y State v. Diamond, 2018, donde los tribunales sostuvieron que las personas pueden ser obligadas a usar sus huellas dactilares para desbloquear un teléfono) (para obtener más información sobre esta práctica en Estados Unidos y las prácticas en otros países como India, Australia y Nueva Zelanda, consulte el siguiente recuadro sobre «La biométrica y el privilegio contra la autoincriminación»).

La biométrica y el privilegio contra la autoincriminación

De acuerdo con la Quinta Enmienda a la Constitución de los Estados Unidos, «Ninguna persona estará obligada a responder por un delito castigado con la pena capital, o con cualquier otra pena, salvo en la presencia o acusación de un gran jurado, a excepción de los casos que se presenten en los territorios de las fuerzas armadas navales o terrestres o en la milicia, cuando se encuentre en servicio activo, en tiempo de guerra o peligro público; ni ninguna persona estará sujeta, por la misma ofensa, a ser puesta dos veces en peligro de perder la vida o la integridad física; ni se le forzará a declarar contra sí misma en ningún juicio penal; ni se le privará de la vida, la libertad o la propiedad sin el debido proceso legal; ni se ocupará su propiedad privada para uso público sin una justa indemnización».

Uno de los derechos provistos bajo la Quinta Enmienda es el privilegio contra la autoincriminación (también conocida como el derecho contra la autoincriminación forzada). En Schmerber v. California (1966), la corte sostuvo que «el privilegio protege a un acusado solo de ser obligado a testificar contra sí mismo, o de brindar al Estado evidencia de naturaleza testimonial o comunicativa» (761). En contraste, la Quinta Enmienda a la Constitución de los EE. UU. «no ofrece protección contra la imposición de entregar huellas dactilares, fotografías o medidas,... comparecer ante el tribunal, pararse, adoptar una postura, caminar, o hacer algún gesto particular» (United States v. Wade, 1967, 223). De hecho, los tribunales en los Estados Unidos pueden obligar a los acusados a entregar una muestra de sangre o saliva, una muestra de voz en audio, entre otras (Schmerber v. California, 1966; U.S. v. Dionisio, 1973; People v. Smith, 1982).

Tomando United States v. Wade (1967) como precedente, el juez a cargo del caso Virginia v. Baust (2014) concluyó que como la huella dactilar no requiere una comunicación de conocimiento del acusado, tampoco está bajo protección de la Quinta Enmienda; lo mismo aplica para las llaves y el ADN del acusado (3). Por esta razón, mientras que las contraseñas están protegidas en la Quinta Enmienda, esa misma protección no se extiende para las huellas dactilares (y, por extensión, a las demás muestras de información biométrica). La falta de protección de la información biométrica bajo la Quinta Enmienda se reafirmó en State v. Diamond (2018).

Por último, en Estados Unidos, «lo que uno es» puede ser impuesto (es decir, que puede obligarse a los individuos a brindar sus huellas dactilares y, por extensión, a desbloquear teléfonos inteligentes con la tecnología de reconocimiento facial), mientras que «lo que uno sabe» generalmente no puede recabarse de manera forzada de acuerdo con la Quinta Enmienda a la Constitución de EE. UU. (por el privilegio contra la autoincriminación). De manera similar, otros países (p. ej., Australia, Nueva Zelanda, India, por mencionar algunos) y los tribunales de derechos humanos (p. ej., el Tribunal Europeo de Derechos Humanos) no consideran la imposición de mostrar el rostro, huellas dactilares, u otra información biométrica (como las huellas de los pies) como una violación al privilegio contra la autoincriminación (consulte, p. ej., Sorby v. Commonwealth, 1983; Nueva Zelanda, King v. McLellan, 1974; India, State of U.P. v. Sunil, 2017 y Saunders v. United Kingdom, 1996).

Los seres humanos son vistos como el eslabón más débil en la cadena de la seguridad cibernética (Crossler et al., 2013; Grossklags y Johnson, 2009; Sasse, Brostoff, y Weirich, 2001; Schneier, 2000). De hecho, múltiples estudios han demostrado que los incidentes relacionados con la seguridad cibernética (como filtraciones o ataques en las redes, sistemas, servicios o datos) son el resultado del error y fracaso del ser humano en la implementación de medidas de seguridad (Safa y Maple, 2016; Pfleeger, Sasse y Furnham, 2014; Crossler et al. 2013). Sin embargo, a pesar que se presta mucha atención al papel que juegan los seres humanos en los incidentes relacionados con la seguridad cibernética, las medidas de seguridad cibernética que están implementadas al momento del problema pueden jugar un papel importante en el incidente. La realidad es que las medidas de seguridad cibernética (lo que en verdad se puede hacer) y las expectativas que tienen los usuarios sobre el desempeño de esas medidas (lo que piensan que hacen) a menudo no son iguales (Ur et al., 2016; Gunson, et al., 2011; Furnell, 2005).

La literatura y las investigaciones sobre las interacciones entre los humanos y las computadoras establecen que la seguridad de los dispositivos, sistemas, programas, aplicaciones, plataformas digitales en línea, entre otros, debería desarrollarse pensando en los usuarios (es decir, la seguridad en el diseño; consulte Eloff y Eloff, 2002; Cranor y Garfinkel, 2005; Sasse y Flechais, 2005; Karat, Karat y Brodie, 2005; Dix et al., 2004; Balfanz, et al., 2004). Esto, sin embargo, no es una práctica común. La práctica común es construir sistemas y después intentar modificar las interacciones del usuario con el sistema, para llegar a cumplir los requerimientos de seguridad (Nurse et al., 2011; Yee, 2004).

¿Sabías que...?

En la Unión Europea, la Ley de Seguridad Cibernética de 2018 creó un «marco para certificaciones europeas de seguridad cibernética para productos, procesos y servicios» con el fin de promocionar la seguridad en el diseño, a través de la «incorporación de las características de seguridad en las etapas tempranas del... diseño y desarrollo técnico» de los dispositivos digitales (Comisión Europea, 2018).

¿Deseas saber más?

Lean: Comisión Europea. (2018). Ley de Seguridad Cibernética.
 
Siguiente: Prevención situacional de delitos
Volver al inicio